Страницы: 1 2 След.
RSS
Win32/MBRlock.C троянская программа
 
После бестолкового кликания по баннерам подхватил трояна (как выяснилось позже). Собственно после одного из кликов машина пошла в ребут и из него уже не вышла. Пытался загрузиться с первого найденного WinPE. Увидел лишь диск C, причем пустой. Диск D не видит вообще. Винды ессно тоже.
Вытащил винт, пошел на рабочую машину подключил. После того как система обнаружила новое устройство и подключила диск (оба тома, только буквы другие и даже данные на месте!) NOD32SS закричал о наличии в boot-секторе Win32/MBRlock.C и этот диск отключился, т.е. его тома уже не были видны в системе. Я быстренько выключил машину, отключил "больной" винт и проверил машину. Вроде бы всё чисто. Теперь думаю, что делать.
Зараженный винт: Seagate 500Gb IDE, на нем два тома С и D, две системы - XP (на диске С) и Win7 (на диске D).
Подскажите, как лучше поступить дальше?
Я понимаю, надо править MBR и Boot-сектор, но у меня две ОС, не будет ли проблем?
Есть какие-нибудь нюансы при восстановении двух ОС?
Win7 мне не нужна, но очень нужно сохранить XP.
Изменено: Alex80x - 25.04.2017 05:02:02
 
Сделайте образ автозапуска с WinPE
http://forum.esetnod32.ru/forum27/topic2102/
Правильно заданный вопрос - это уже половина ответа
 
Попробую, но я не уверен, что загрузившись с диска смогу увидеть тома и указать папку винды.
 
проверьте с помощью testdisk, не повреждена ли таблица разделов

http://forum.esetnod32.ru/forum27/topic5601/
 
Сделал всё пунктам, сейчас идет проверка цифровых подписей. Также посмотрел TestDisk'ом, нашел таблицы разделов, вроде бы всё нормально. Загружался из HirensBootCD - забэкапил все важные данные на другой винт.
Вопрос: у меня на диске С стоит WinXP SP3, а на диске D - Win7, образ создал выбрав каталог C:\Windows. Нужно ли создать еще один образ - для D:\Windows7 ?
 
давайте ссылку на образ с системой на C
Изменено: santy - 12.03.2013 05:34:00
 
Уже сделал оба образа, так, на всякий случай:

WinXP - http://rghost.ru/44439040

Win7 - http://rghost.ru/44439053

Кстати, забыл написать, загрузка видны виснет в самом начале. Т.е. после того как биос тестит память и обнаруживает винты, вместо скрина, где можно выбрать какую ось загружать (Windows7 или предыдующая версия Windows), на экране слева вверху появляется мигающий курсор (символ подчеркивания) и всё, висяк.

И еще, может пригодится: на диске С в автозагрузке uVS нашел экзешник, как я понимаю это сам троян. Физически этого файла уже нет, т.к. где-то недели две назад я уже "ловил" винлок в WinXP и потом удалил данный файл руками, загрузившись в Windows7. Скорее всего это последствия того трояна.
Изменено: Alex80x - 12.03.2013 10:17:14
 
Сейчас вспомнил, что тот экзешник сохранял на всякий случай в архив.
 
выполните в uVS (из под LiveCD с выбором системы WinXP) скрипт из файла

файл скрипта скачайте отсюда
http://rghost.ru/private/44439698/a6ddc3e88b3dd6954177104f54c243a8

после выполнения скрипта перегрузите систему,

пишем результат
Изменено: santy - 12.03.2013 11:15:14
 
Загрузился с CD, выполнил скрипт, перезагрузился. Всё ОК!  ;)
Большое спасибо!

И последний вопрос: планируется ли добавить этот троян в базу обновлений, чтобы не допустить повторного заражения?
У меня NOD32 SmartSecurity 4.2.64.12.
Страницы: 1 2 След.
Читают тему (гостей: 1)