Объявление


Форум находится в режиме только для чтения, для комментариев есть блог.

#1 21.10.2015 15:51:36

burton-fzz
New member
Зарегистрирован: 21.10.2015
Сообщений: 3

Измененный MBR после вероятного зловреда [решено]

Кратчайшая преамбула

так получилось - комп, с лицензионной windows xp (знаю что 2015 год, комп не мой), антивирь avast free (знаю, знаю...), пользователь с самыми начальными навыками (да знаю что 2015 год, с 2003 можно было научится, но это не ко мне =) ). По большей части винда в стоке, в том числе почта outlook, на которую часто приходит всякая дрянь. Вроде "ничего не открывали", но посреди дня комп перестал открывать любой софт, висит рабочий стол, я смог открыть лишь диспетчер задач, непонятный процесс, доселе мной невиданный висит и жрёт ресурсы, при этом ничего не работает больше. Было решено первым делом пройтись live cd antisms. После проверки написал, что "предположительно изменена MBR, отправьте mbr и лог на форум". Компьютер фирменный IBM, подозреваю, что со скрытым разделом для восстановления с oem виндой от ibm и т.д., возможно mbr поэтому изменён (самим ibm), а может дрянь какая сидит.

Сейчас пишу из под dr web live cd, сканируя компьютер, решил пока сканируется отправить файлы, и после небольших траблов с регистрацией я тут.

Буду рад квалифицированной помощи

Собственно файлы:
http://rghost.net/64XzVTLv5
http://rghost.net/6Ns9Z9VXV

 

#2 21.10.2015 17:53:27

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 904

Re: Измененный MBR после вероятного зловреда [решено]

Могет быть просто дохнет диск....
P.S. Стандартно: AntiSMS -> CureIt -> Malwarebytes Anti-Malware -> AVZ. (вроде как всегда хватает такой связки.)

Отредактировано happywanderer (21.10.2015 18:00:01)


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

 

#3 21.10.2015 19:47:45

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: Измененный MBR после вероятного зловреда [решено]

burton-fzz
Загрузочный сектор не вредоносный, мог быть создан программой IBM для восстановления системы при загрузке. Остальные файлы в логе по самим путям не вызывают сильных подозрений, однако наверняка можно сказать только после анализа этих файлов, а их вы решили не выкладывать. Имя подозрительного процесса и его файл вы тоже не выложили. Для нормального анализа просто недостаточно данных.

 

#4 22.10.2015 11:26:13

burton-fzz
New member
Зарегистрирован: 21.10.2015
Сообщений: 3

Re: Измененный MBR после вероятного зловреда [решено]

пароль на архив "forum.simplix" без ковычек crazy
http://rghost.ru/782Hyxvh7

сейчас прохожусь из под безопасного режима kaspersky virus removal tool, прошёлся avz,  пока вроде без приключений. Хорошо если просто дохнет диск, и наконец человек перейдёт из "еще не делает бекап" в "уже делает бекап" biggrin

Отредактировано burton-fzz (22.10.2015 11:29:08)

 

#5 22.10.2015 18:56:44

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: Измененный MBR после вероятного зловреда [решено]

burton-fzz
Эти файлы не вредоносные.

 

#6 23.10.2015 11:46:16

burton-fzz
New member
Зарегистрирован: 21.10.2015
Сообщений: 3

Re: Измененный MBR после вероятного зловреда [решено]

Спасибо. А на будущее - по какому алгоритму определяется вредоносность файлов? Просто сканируется антивирусом? Или на основании личного опыта и по местоположению файла и возможного нанесения вреда оттуда? Или де-ассемблируется и анализируется каким то образом? Как в будущем можно самостоятельно проанализировать, и достаточно ли просто проверить файлы антивирусом на другой системе?

 

#7 23.10.2015 12:32:08

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: Измененный MBR после вероятного зловреда [решено]

burton-fzz
Лучший способ для вас - проверить файлы на virustotal.com.

 

Board footer


© simplix