Нестандартный MBR Drive0.bin
Еще нестандартный MBR http://rghost.ru/37306849 Продолжать выкладывать?
Нестандартный MBR
http://rghost.ru/37372842
MBTY сообщает:
Вишмастер (в простонародьи вишенка, вишня) работает не на основе автозапуска, а просто трет таблицу разделов при ручном запуске утилиты и первый раздел тотально накрывается. Тут никакой антисмс не поможет, да и проги восстановления данных не особо спасают. Нужно автивирус иметь, который эту бяку запустить не даст.
Распространяется исключительно в пределах анонимных борд типа iichan.ru / 0chan.ru и конечно же 2ch.so как проверка для новичков. Скачали/запустили - значит новичики, которым тут не рады. Типа как проверка "Если хочешь стать админом, нажми Alt+F4", но гораздо смешнее, как по мне.
Просто так в сети не валяется, потому как не приносит выгоды распространителю вируса.
Это так. Для общего сведения
Не ваша правда, этот троян лечится двумя дисками, 1) С помощью консоли восстановления сначала перезаписываем MBR 2) Берем последний Hirens Boot CD в загрузочном меню запускаем мини Windows XP после запуска ищем в списке тулз утилиту под названием MiniTool Partition Wizard Home Edition и восстанавливаем раздел, все просто, прогонял на Windows XP такой способ лечения от этой заразы 3 раза.
Regards...
Нестандартный MBR : http://rghost.ru/37412898
simplix, может Вам будет полезно для модернизации Вашей программы, то что выловил антивирус после блокировки Windows ХР SР3.
Использовал AntiSMS 1.6 (небыло возможности записать 1.8), запустил AntiSMS 1.6, перезагрузился в рабочую систему, выполнил быструю проверку - нашел троян в корне С:/, переместил в папку инфектед, заархивировал, восстановил автозагрузку и службы, перезагрузился, после загрузки системы поизошла автоматическая перезагрузка и снова заблокировалась Windows. Повторно прошелся AntiSMS после загрузки в рабочую систему Windows загрузилась в Выборочный запуск и слител модуль SpIDer Gate в Dr.Web 6. Повторно выполнил быструю проверку и снова нашел троян в корне С:/, переместил в папку инфектед, заархивировал. Странно, антивирус нашел один вирус, а в папке инфектед оказалось 2 файла с одним временем.
http://files.mail.ru/QG9TRY
Пароль virus
P.S.
Напишите маленькое FAQ что Вам высылать в таких случаях для анализа.
Хорошее дело делаете.
Спасибо.
С ув. Gennadiy
simplix
1) в архиве из сообщения выше только bak зараженного mbr, т.е. быстрая проверка нашла только файл, который создала AntiSMS.
Может данный файл лучше помещать в архив с паролем "virus"? А получается, после быстрой проверки пользователь вводится в заблуждение (думает, что антивирус прибил заразу).
2) в инфо для неопытного пользователя сказано, что сначала нужно проверить антивирусом, а затем включить автозапуск. но "быстрая проверка" производит поиск зловредов в определенных папках, а также файлы, которые прописаны в автозапуске. может лучше советовать сначала включить автозапуск , а затем проверять антивирусом?
3) опять же возвращаясь к сообщению выше... может в архив к копии mbr также копировать файлы, которые были отключены? Т.е. если антивирус не находит заразу, то пользователь сможет отправить этот архив в антивирусные лаборатории.
Опять же в процессе лечения AntiSMS может генерировать txt файл во временную папку, в котором будет указана инфо для опытного/неопытного пользователя, а также ссылка на данный архив и ссылки для отправки в антивирусные лаборатории (http://support.kaspersky.ru/virlab/helpdesk.html и т.п.)
Отредактировано art9 (05.04.2012 07:54:17)
Прога супер! Но мне также понравилась Вин ПЕ, аналогов по наименьшей емкости я не встречал (у меня есть 42 мб. хорошо грузится на старых машинах) а эта еще лучше. Понравилось что нет ничего лишнего. Но единственное хочу добавить тотал командер - знаю что не по теме. Но может кто поможет? Добираюсь до Antisms.iso\BOOT\WinPE.IS_\WinPE.iso\Programs\tools\зная что проги лежат здесь и все на этом. Тоесть как мне интегрировать тотал сюда? Ултраисо не получается.
Так что получается, вирус не удален? а что это за второй файл в архиве? и что необходимо сделать?
Отредактировано GenAleks (05.04.2012 23:30:27)
FAQ, РАБОТА С ФОРУМОМ, Рекомендация 6 сообщает:
Не нужно цитировать предыдущее сообщение, его и так видно!
GenAleks
опираясь на свое чисто субъективное мнение, нужно проверить компьютер разными антивирусными сканерами, причем выполнять не быструю, а полную проверку.
http://www.kaspersky.ru/antivirus-removal-tool
http://www.malwarebytes.org/products/malwarebytes_free
http://www.surfright.nl/en/downloads/
И заметьте, что АнтиСМС полностью справился со своей задачей.
Спасибо art9, учту рекомендации.
Полная проверка проводилась, к сожалению не видел что еще нашел антивирус, но со слов было найдено пару вирусов и они были удалены.
Что касается АнтиСМС, насколько я понял, он не удаляет вирусы, а восстанавливает, тоесть разблокирует Виндовс - "Вылечиваются все известные MBR-блокировщики", с этой задачей АнтиСМС справился на 150%. Почему MbrLockX.bak определяется как троян.
Отредактировано GenAleks (05.04.2012 23:24:41)
GenAleks сообщает:
Почему MbrLockX.bak определяется как троян.
Так это и есть вирус, который находит AntiSMS. Он копирует зараженный MBR в этот файл, а уже потом лечит MBR от локера
Voha56 сообщает:
Мне понравилась Вин ПЕ, аналогов по наименьшей емкости я не встречал (у меня есть 42 мб. хорошо грузится на старых машинах) а эта еще лучше. Понравилось что нет ничего лишнего. Но единственное хочу добавить тотал командер - знаю что не по теме. Но может кто поможет? Добираюсь до Antisms.iso\BOOT\WinPE.IS_\WinPE.iso\Programs\tools\зная что проги лежат здесь и все на этом. Тоесть как мне интегрировать тотал сюда? Ултраисо не получается.
Открываешь образ в UltraIso.Извлекаешь файл-архив-образ WinPE.IS_
на жесткий диск.Образ сжат в CAB. Архив распаковываешь утилитой CABTools:
https://forum.oszone.net/thread-93596-2.html
,после установки появляется в контекстном меню Отправить 2 новых пункта:
Cжать в CAB
Распаковать CAB
Жмешь распаковать-получаешь: WinPE.ISO
редактируешь образ в UltraISO:
Кидаешь Total в папку tools. Скачиваешь на сайте: WinPE ModelRam исходник
https://forum.simplix.info/viewtopic.php?id=193
Создан он в NSUS-скачать бесплатно можно здесь:
http://nsis.sourceforge.net/Main_Page
Редактируешь файл под себя в блокноте (Размещение иконок,ярлыков)
После установки NSUS в контекстном меню появляется строчка "Compile NSUS Script"
После компиляции, получаем файл: ModelRam.exe
В сборке ModelRam находится в папке Windows\system32
Меняешь на свой ModelRam и собираешь образ в обратном порядке.
Автору сборку Большое спасибо!!! Переделал под себя. Советую открыть отдельную тему по переделки данной LiveCD.
Отредактировано vladshishkin_Forever (09.04.2012 09:21:41)
Нестанд. MBR http://rghost.ru/37466677 Локера не было.
simplix
Частенько запускаю AntiSMS на компах для профилактики. Так же заметил на многих системах не стандартный MBR, при этом локера не было. Выкладывать такие MBR для анализа?
Sergikaz сообщает:
Частенько запускаю AntiSMS на компах для профилактики.
Смысл в таком запуске ? Убить МБР что ли ?
Herz
Утилита отлично чистит временные файлы, хорошо чистит автозагрузку, чистит hosts, удаляет autorun.inf с разделов. Это то, с чего надо начинать работу (чистку-профилактику) на любом компе, который впервые попал к вам в руки.
Именно так. Раньше все это делал ручками. Не шибко долго, но время отнимало. А теперь antisms тынц и готово. Красота!
Отредактировано DJeir (09.04.2012 16:06:41)
И снова здравствуйте!
Пара вопросиков по AntySMS 1.8
Проверяется ли ветка реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls] ?
насколько понял, не проверяется , хотя теоретически зловреды её могут использовать для своего запуска
по "нестандартным MBR"
у меня попросила опубликовать их, публикую http://www.mediafire.com/file/4bggvgjzh … 9_12-05.7z
все mbr на всех 3 дисках стандартные, единственное, на одном из дисков (который разбит на 4 раздела) один из разделов отведён под AcronisSecureZone - наверно ругается на неё.
Отредактировано Amigos (09.04.2012 09:11:54)
"нестандартный MBR" http://www.mediafire.com/file/o1dd6niuq … 0_11-05.7z
ноутбук Samsung. Возможно под "не стандарт" попал самсунговский "раздел восстановления"
Спасибо!
Эту заразу +79133995791 вылечил за 15 минут, включая запись флэшки.
Касперский опростоволосился - час гонял и фиг-вам...
Огромное СПАСИБО!
Нестандартный MBR http://rghost.ru/37540197
Новая версия - 1.8.2, в неё добавлены известные загрузочные секторы, присланные вами. Изменений в основном алгоритме нет, поэтому обновляться не обязательно.