Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

[ Закрыто ] Win32/MBRlock.C троянская программа

После бестолкового кликания по баннерам подхватил трояна (как выяснилось позже). Собственно после одного из кликов машина пошла в ребут и из него уже не вышла. Пытался загрузиться с первого найденного WinPE. Увидел лишь диск C, причем пустой. Диск D не видит вообще. Винды ессно тоже.
Вытащил винт, пошел на рабочую машину подключил. После того как система обнаружила новое устройство и подключила диск (оба тома, только буквы другие и даже данные на месте!) NOD32SS закричал о наличии в boot-секторе Win32/MBRlock.C и этот диск отключился, т.е. его тома уже не были видны в системе. Я быстренько выключил машину, отключил "больной" винт и проверил машину. Вроде бы всё чисто. Теперь думаю, что делать.
Зараженный винт: Seagate 500Gb IDE, на нем два тома С и D, две системы - XP (на диске С) и Win7 (на диске D).
Подскажите, как лучше поступить дальше?
Я понимаю, надо править MBR и Boot-сектор, но у меня две ОС, не будет ли проблем?
Есть какие-нибудь нюансы при восстановении двух ОС?
Win7 мне не нужна, но очень нужно сохранить XP.
Изменено: Alex80x - 25.04.2017 05:02:02
Сделайте образ автозапуска с WinPE
http://forum.esetnod32.ru/forum27/topic2102/
Правильно заданный вопрос - это уже половина ответа
Попробую, но я не уверен, что загрузившись с диска смогу увидеть тома и указать папку винды.
проверьте с помощью testdisk, не повреждена ли таблица разделов

http://forum.esetnod32.ru/forum27/topic5601/
Сделал всё пунктам, сейчас идет проверка цифровых подписей. Также посмотрел TestDisk'ом, нашел таблицы разделов, вроде бы всё нормально. Загружался из HirensBootCD - забэкапил все важные данные на другой винт.
Вопрос: у меня на диске С стоит WinXP SP3, а на диске D - Win7, образ создал выбрав каталог C:\Windows. Нужно ли создать еще один образ - для D:\Windows7 ?
давайте ссылку на образ с системой на C
Изменено: santy - 12.03.2013 05:34:00
Уже сделал оба образа, так, на всякий случай:

WinXP - http://rghost.ru/44439040

Win7 - http://rghost.ru/44439053

Кстати, забыл написать, загрузка видны виснет в самом начале. Т.е. после того как биос тестит память и обнаруживает винты, вместо скрина, где можно выбрать какую ось загружать (Windows7 или предыдующая версия Windows), на экране слева вверху появляется мигающий курсор (символ подчеркивания) и всё, висяк.

И еще, может пригодится: на диске С в автозагрузке uVS нашел экзешник, как я понимаю это сам троян. Физически этого файла уже нет, т.к. где-то недели две назад я уже "ловил" винлок в WinXP и потом удалил данный файл руками, загрузившись в Windows7. Скорее всего это последствия того трояна.
Изменено: Alex80x - 12.03.2013 10:17:14
Сейчас вспомнил, что тот экзешник сохранял на всякий случай в архив.
выполните в uVS (из под LiveCD с выбором системы WinXP) скрипт из файла

файл скрипта скачайте отсюда
http://rghost.ru/private/44439698/a6ddc3e88b3dd6954177104f54c243a8

после выполнения скрипта перегрузите систему,

пишем результат
Изменено: santy - 12.03.2013 11:15:14
Загрузился с CD, выполнил скрипт, перезагрузился. Всё ОК!  ;)
Большое спасибо!

И последний вопрос: планируется ли добавить этот троян в базу обновлений, чтобы не допустить повторного заражения?
У меня NOD32 SmartSecurity 4.2.64.12.
Читают тему