Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Вирус что-то сделал с разделами.

RSS
 
NightSniper
NightSniper
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 02.11.2011
Размещено 02.11.2011 07:04:06
Загрузка компьютера проходит до строчки verifying DMI Pool Data. Дальше появляется всего две строчки. Первая - Желтым - Введите код.
Вторая - Красным - Так вышло, что ваш компьютер заблокирован. Для разблокировки компьютера вам необх и дальше надпись не видно. Загрузка с Live Cd показывает два основных раздела неизвестного типа. Первый раздел 7C, второй 035H. Как спасти свои данные???

Ответы

Пред. 1 2 3
 
santy
santy
Администратор
Сообщений: 17969
Баллов: 14375
Регистрация: 16.03.2010
Размещено 03.11.2011 11:35:52
понятно,
видимо, локер дополнительно меняет что-то в определении файловой системы.
код разблокировки видно в mbr, надо конечно только знать, что это код разблокировки. :).
mbr.jpg (46.07 КБ)
Изменено: santy - 03.11.2011 11:37:07
[ Как создать образ автозапуска? ]
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 03.11.2011 15:32:29
Цитата
код разблокировки видно в mbr
Это, кстати, полезное наблюдение на будущее.
Фактически "abc12345" - единственный адекватный набор символов в записи. Подобный эвристический анализ записи в mbr может в ряде случаев сильно упрощать задачу разблокировки.
 
santy
santy
Администратор
Сообщений: 17969
Баллов: 14375
Регистрация: 16.03.2010
Размещено 03.11.2011 15:46:08
Интересно было бы посмотреть образ автозапуска этой системы, сделанный из под WinPe&uVS с выбором текущей (X) системы для анализа, поскольку uVS в любом случае создает записи по всем загрузчикам всех доступных дисковых устройств с указанием типа файловой системы. Возможно, при этом можно было бы внести исправление в тип файловой системы на жестком носителе.
----
плиз, если есть у кого подобный инфектор, можно скинуть в личку ссылку на него.
Изменено: santy - 03.11.2011 15:46:55
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17969
Баллов: 14375
Регистрация: 16.03.2010
Размещено 03.11.2011 15:50:01
Цитата
marshal64 пишет:
Это, кстати, полезное наблюдение на будущее.

Фактически "abc12345" - единственный адекватный набор символов в записи. Подобный эвристический анализ записи в mbr может в ряде случаев сильно упрощать задачу разблокировки.
Возможно на этом свойстве работает утилитка UnXor by thyrex для получения кода разблокировки для некоторых типов MBRLock.
Изменено: santy - 03.11.2011 15:50:27
[ Как создать образ автозапуска? ]
 
NightSniper
NightSniper
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 02.11.2011
Размещено 03.11.2011 15:51:56
Цитата
santy пишет:
Интересно было бы посмотреть образ автозапуска этой системы, сделанный из под WinPe&uVS с выбором текущей (X) системы для анализа, поскольку uVS в любом случае создает записи по всем загрузчикам всех доступных дисковых устройств с указанием типа файловой системы. Возможно, при этом можно было бы внести исправление в тип файловой системы на жестком носителе.

----

плиз, если есть у кого подобный инфектор, можно скинуть в личку ссылку на него.
Будет еще что-то подобное, а оно обязательно будет! Обращусь за инструкциями.
Вот мне вспомнилось, что раньше в биосе был такой параметр как запрет записи в загрузочный сектор, похоже он снова обретает актуальность.
 
santy
santy
Администратор
Сообщений: 17969
Баллов: 14375
Регистрация: 16.03.2010
Размещено 03.11.2011 15:56:13
в таких случаях, проблема не может долго стоять, поэтому обращаться туда, где ее быстрее решат :). Пока нет ясного понимания как исправить тип файловой системы, обратимся к разработчику uVS, возможно он поможет решить эту проблему.
Это если не использовать код разблокировки. :).
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17969
Баллов: 14375
Регистрация: 16.03.2010
Размещено 03.11.2011 15:58:32
Цитата
NightSniper пишет:
Вот мне вспомнилось, что раньше в биосе был такой параметр как запрет записи в загрузочный сектор, похоже он снова обретает актуальность.
В ESET NOD32 5 версии реализована возможность управления: разрешения, запрещения к прямому доступу к диску - возможно и это в будущем поможет при правильных настройках защиты
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 03.11.2011 15:59:24
Цитата
santy пишет:
Пока нет ясного понимания как исправить тип файловой системы, обратимся к разработчику uVS, возможно он поможет решить эту проблему.

Есть ли программы для корректировки типа файловой системы ?

http://yandex.ru/yandsearch?text=%D0%9A%D0%BE%D1%80%D1%80%D0%B5%D0%BA%D1%82%D0%B8%D1%80%­D0%BE%D0%B2%D0%BA%D0%B0+%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2­%D0%BE%D0%B9+%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B&from=fx3&clid=46510&lr=213

Надо почитать...
Может, что есть полезного !
Изменено: RP55 RP55 - 03.11.2011 16:01:04
 
Пред. 1 2 3
Читают тему