http://forum.esetnod32.ru Новое в теме Вирус что-то сделал с разделами. форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 19:56:55 +0300 Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
Пока нет ясного понимания как исправить тип файловой системы, обратимся к разработчику uVS, возможно он поможет решить эту проблему.
=============

Есть ли программы для корректировки типа файловой системы ?

http://yandex.ru/yandsearch?text=%D0%9A%D0%BE%D1%80%D1%80%D0%B5%D0%BA%D1%82%D0%B8%D1%80%­D0%BE%D0%B2%D0%BA%D0%B0+%D1%84%D0%B0%D0%B9%D0%BB%D0%BE%D0%B2­%D0%BE%D0%B9+%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B&from=fx3&clid=46510&lr=213

Надо почитать...
Может, что есть полезного !
03.11.2011 15:59:24, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22722/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22722/ Thu, 03 Nov 2011 15:59:24 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
NightSniper пишет:
Вот мне вспомнилось, что раньше в биосе был такой параметр как запрет записи в загрузочный сектор, похоже он снова обретает актуальность.
=============
В ESET NOD32 5 версии реализована возможность управления: разрешения, запрещения к прямому доступу к диску - возможно и это в будущем поможет при правильных настройках защиты
03.11.2011 15:58:32, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22721/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22721/ Thu, 03 Nov 2011 15:58:32 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
в таких случаях, проблема не может долго стоять, поэтому обращаться туда, где ее быстрее решат . Пока нет ясного понимания как исправить тип файловой системы, обратимся к разработчику uVS, возможно он поможет решить эту проблему.
Это если не использовать код разблокировки. .
03.11.2011 15:56:13, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22720/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22720/ Thu, 03 Nov 2011 15:56:13 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
Интересно было бы посмотреть образ автозапуска этой системы, сделанный из под WinPe&uVS с выбором текущей (X) системы для анализа, поскольку uVS в любом случае создает записи по всем загрузчикам всех доступных дисковых устройств с указанием типа файловой системы. Возможно, при этом можно было бы внести исправление в тип файловой системы на жестком носителе.

----

плиз, если есть у кого подобный инфектор, можно скинуть в личку ссылку на него.
=============
Будет еще что-то подобное, а оно обязательно будет! Обращусь за инструкциями.
Вот мне вспомнилось, что раньше в биосе был такой параметр как запрет записи в загрузочный сектор, похоже он снова обретает актуальность.
03.11.2011 15:51:56, NightSniper.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22719/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22719/ Thu, 03 Nov 2011 15:51:56 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
marshal64 пишет:
Это, кстати, полезное наблюдение на будущее.

Фактически "abc12345" - единственный адекватный набор символов в записи. Подобный эвристический анализ записи в mbr может в ряде случаев сильно упрощать задачу разблокировки.
=============
Возможно на этом свойстве работает утилитка UnXor by thyrex для получения кода разблокировки для некоторых типов MBRLock.
03.11.2011 15:50:01, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22718/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22718/ Thu, 03 Nov 2011 15:50:01 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Интересно было бы посмотреть образ автозапуска этой системы, сделанный из под WinPe&uVS с выбором текущей (X) системы для анализа, поскольку uVS в любом случае создает записи по всем загрузчикам всех доступных дисковых устройств с указанием типа файловой системы. Возможно, при этом можно было бы внести исправление в тип файловой системы на жестком носителе.
----
плиз, если есть у кого подобный инфектор, можно скинуть в личку ссылку на него.
03.11.2011 15:46:08, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22717/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22717/ Thu, 03 Nov 2011 15:46:08 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
код разблокировки видно в mbr
=============
Это, кстати, полезное наблюдение на будущее.
Фактически "abc12345" - единственный адекватный набор символов в записи. Подобный эвристический анализ записи в mbr может в ряде случаев сильно упрощать задачу разблокировки.
03.11.2011 15:32:29, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22715/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22715/ Thu, 03 Nov 2011 15:32:29 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
понятно,
видимо, локер дополнительно меняет что-то в определении файловой системы.
код разблокировки видно в mbr, надо конечно только знать, что это код разблокировки. .

03.11.2011 11:35:52, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22676/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22676/ Thu, 03 Nov 2011 11:35:52 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
какой код вы ввели, напишите подробнее? код разблокировки?
=============
Код abc12345. Подкинули ребята из Каспера. Говорят похожая штука ,была вот здесь -  http://virusinfo.info/showthread.php?t=111847.
Делала им снимок с помощью tdsskiller. Вот сам снимок -  http://ifolder.ru/26710805.
После введения кода, компьютер ругнулся на русском языке на неправильную таблицу разделов. После перезагрузки загрузилась XP.
03.11.2011 11:15:54, NightSniper.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22675/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22675/ Thu, 03 Nov 2011 11:15:54 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
какой код вы ввели, напишите подробнее? код разблокировки?
03.11.2011 10:50:49, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22673/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22673/ Thu, 03 Nov 2011 10:50:49 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
перевод системной даты на 2099 г очевидно не помог в данном случае.  .
=============
Ввела код, а потом уже пролечила машину и накатила последние обновления Windows. Спасибо большое за отзывчивость. Удачного дня!
03.11.2011 10:41:25, NightSniper.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22671/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22671/ Thu, 03 Nov 2011 10:41:25 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
перевод системной даты на 2099 г очевидно не помог в данном случае. .
03.11.2011 07:37:54, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22640/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22640/ Thu, 03 Nov 2011 07:37:54 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
можно, конечно, в крайнем случае пробовать перезаписать MBR и с перезаписью таблицы разделов, если bootice умеет найти копию таблицы разделов. (честно говоря, не приходилось еще такое делать.)
надо проверять.
------
но вначале проверьте перезапись MBR без перезаписи таблицы разделов, поможет это или нет, тому чтобы диски появились в доступе.
03.11.2011 07:32:44, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22638/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22638/ Thu, 03 Nov 2011 07:32:44 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
похоже на MBRLock
http://www.virustotal.com/file-scan/report.html?id=9e6d77d8320933589128ae24f749e3df156e82a10462f3b0da6589da4­0fb2015-1320288228

далее, проблема. затронута таблица разделов или нет.
если нет (не затронута), тогда можно перезаписать mbr (без перезаписи таблицы разделов) из того же bootice и пробовать создать образ автозапуска из под winpe&uVS (не перегружая систему в нормальный режим), иначе возможно повторное заражение, если есть какой-то инфектор в автозапуске.
описание инфектора.
03.11.2011 07:29:06, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22637/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22637/ Thu, 03 Nov 2011 07:29:06 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сняла копии чего смогла. Код от вируса был abc12345.

====quote====
santy пишет:

====quote====
NightSniper пишет:

Вот такая картина. Дистрибутив с рутрекера. Завтра попробую на сд записать другую версию. Паралельно сделаю копию разделов и погоняю чем-нибудь типа r-studio и getdataback.


=============

версия нормальная, видно по рисунку, что bootice на месте,

надо только внутрь подкаталога войти, там видно что 0.9**** - это подкаталог для версии 0.9 bootice

т.е. в командном окне надо выполнить команду от приглашения x:\UserApp\bootice

cd  полностью имя подкаталога

а уже из подкаталога запускать

bootice.exe
=============

Архив.zip
03.11.2011 06:33:59, NightSniper.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22633/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22633/ Thu, 03 Nov 2011 06:33:59 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
NightSniper пишет:
Вот такая картина. Дистрибутив с рутрекера. Завтра попробую на сд записать другую версию. Паралельно сделаю копию разделов и погоняю чем-нибудь типа r-studio и getdataback.

=============
версия нормальная, видно по рисунку, что bootice на месте,
надо только внутрь подкаталога войти, там видно что 0.9**** - это подкаталог для версии 0.9 bootice
т.е. в командном окне надо выполнить команду от приглашения x:\UserApp\bootice
cd полностью имя подкаталога
а уже из подкаталога запускать
bootice.exe
02.11.2011 17:33:32, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22603/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22603/ Wed, 02 Nov 2011 17:33:32 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Какая у Вас операционная система?

Попробуйте следующее, возможно поможет.

Если Windows XP:



====quote====
В BIOS нужно установить загрузку с CD-ROM'а, поместить в лоток CD-ROM'а загрузочный диск с установочным пакетом Windows XP Professional и перезагрузиться. Когда установщик Windows XP загрузит свои файлы в оперативную память ПК, появится диалоговое окно "Установка Windows XP Professional", содержащее меню выбора, из которого нас интересует пункт "*Чтобы восстановить Windows XP с помощью консоли восстановления, нажмите [R=Восстановить]".
Нажмите R. Загрузится консоль восстановления. Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C:, то появится следующее сообщение:
1: C : \WINDOWS
В какую копию Windows следует выполнить вход?
Введите 1, нажмите Enter
Появится сообщение:
Введите пароль администратора:
Введите пароль, нажмите Enter (если пароля нет, просто нажмите Ente).
Появится приглашение системы:
C : \WINDOWS>
Введите fixboot
Появится сообщение:
Конечный раздел: C:.
Хотите записать новый загрузочный сектор в раздел C:?
Введите y (что означает 'yes').
Появится сообщение:
Файловая система в загрузочном разделе: NTFS (или FAT32).
Команда FIXBOOT записывает новый загрузочный сектор.
Новый загрузочный сектор успешно записан.
На появившееся приглашение системы: C : \WINDOWS>
введите fixmbr
Появится сообщение:
**ПРЕДУПРЕЖДЕНИЕ**
На этом компьютере присутствует нестандартная или недопустимая основная загрузочная запись. При использовании FIXMBR можно повредить имеющуюся таблицу разделов. Это приведет к утере доступа ко всем разделам текущего жесткого диска.
Если отсутствуют проблемы доступа к диску, рекомендуется прервать работу команды FIXMBR.
Подтверждаете запись новой MBR?
Введите y (что означает 'yes').
Появится сообщение:
Производится новая основная загрузочная запись на физический диск \Device\Harddisk0\Partition0.
Новая основная загрузочная запись успешно сделана.
На приглашение системы C : \WINDOWS>
введите exit, начнется перезагрузка ПК. Нажмите Del, войдите в BIOS Setup и установите загрузку с жесткого диска.
=============

02.11.2011 16:45:41, Валентин.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22599/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22599/ Wed, 02 Nov 2011 16:45:41 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот такая картина. Дистрибутив с рутрекера. Завтра попробую на сд записать другую версию. Паралельно сделаю копию разделов и погоняю чем-нибудь типа r-studio и getdataback.

====quote====
santy пишет:
вот что еще.

в каталоге X:\UserApp\bootice

в него можно перейти из окна cmd

можно запустить программу bootice.exe и сделать копию mbr, partition table.

сохраните копии на флэшку,

а копию MBR можно сюда запостить для проверки.
=============


02.11.2011 15:36:06, NightSniper.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22590/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22590/ Wed, 02 Nov 2011 15:36:06 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
вот что еще.
в каталоге X:\UserApp\bootice
в него можно перейти из окна cmd
можно запустить программу bootice.exe и сделать копию mbr, partition table.
сохраните копии на флэшку,
а копию MBR можно сюда запостить для проверки.
02.11.2011 14:25:39, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22583/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22583/ Wed, 02 Nov 2011 14:25:39 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
угу, uVS не смог опознать систему ни на одном из разделов. впрочем, это и следовало ожидать.
02.11.2011 14:22:45, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22581/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22581/ Wed, 02 Nov 2011 14:22:45 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вероятно я где-то торможу или что-то пропустила в инструкции к uvs
Картина вот такая, после загрузки с флешки
.
====quote====
santy пишет:
Если это разновидность MBRLock, то запустится ли консоль восстановления?

-------

Возможно MBRLock некорректно вписался в MBR и перезаписал таблицу разделов.



в любом случае, можно сделать образ автозапуска с помощью WinPe&uVS

http://forum.esetnod32.ru/forum6/topic2102/

по образу можно будет проверить заражена MBR или нет.
=============

====quote====
santy пишет:
Если это разновидность MBRLock, то запустится ли консоль восстановления?

-------

Возможно MBRLock некорректно вписался в MBR и перезаписал таблицу разделов.



в любом случае, можно сделать образ автозапуска с помощью WinPe&uVS

http://forum.esetnod32.ru/forum6/topic2102/

по образу можно будет проверить заражена MBR или нет.
=============


02.11.2011 12:54:18, NightSniper.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22576/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22576/ Wed, 02 Nov 2011 12:54:18 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Валентин пишет:

====quote====
santy пишет:

Если это разновидность MBRLock, то запустится ли консоль восстановления?
=============

Я имел в виду консоль восстановления с загрузочного диска windows    

NightSniper, проделайте инструкции от Santy выше.
=============

Консоль с флешки запускается и видит только винду на флешке

Сейчас сделаю вышенаписанную инструкцию.

02.11.2011 12:34:42, NightSniper.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22571/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22571/ Wed, 02 Nov 2011 12:34:42 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
Если это разновидность MBRLock, то запустится ли консоль восстановления?
=============
Я имел в виду консоль восстановления с загрузочного диска windows  
NightSniper, проделайте инструкции от Santy выше.
02.11.2011 12:02:35, Валентин.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22569/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22569/ Wed, 02 Nov 2011 12:02:35 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Если это разновидность MBRLock, то запустится ли консоль восстановления?
-------
Возможно MBRLock некорректно вписался в MBR и перезаписал таблицу разделов.

в любом случае, можно сделать образ автозапуска с помощью WinPe&uVS
http://forum.esetnod32.ru/forum6/topic2102/
по образу можно будет проверить заражена MBR или нет.
02.11.2011 11:41:53, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22565/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22565/ Wed, 02 Nov 2011 11:41:53 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Загрузка компьютера проходит до строчки verifying DMI Pool Data. Дальше появляется всего две строчки. Первая - Желтым - Введите код.
=============
То есть банер появляется ещё до начала загрузки операционной системы? Можно попробовать восстановить загрузочную запись диска с помощью консоли восстановления windows. Если так, распишу подробнее.
02.11.2011 11:00:56, Валентин.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22561/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22561/ Wed, 02 Nov 2011 11:00:56 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
Какой загрузочный диск использовали?
=============
Alkid, VasAlex и безымяный Live c Windows 7. Тип разделов смотрела Acronis.
02.11.2011 10:37:07, NightSniper.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22557/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22557/ Wed, 02 Nov 2011 10:37:07 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Какой загрузочный диск использовали?
02.11.2011 08:54:30, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22553/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22553/ Wed, 02 Nov 2011 08:54:30 +0400 Обнаружение вредоносного кода и ложные срабатывания Вирус что-то сделал с разделами. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Загрузка компьютера проходит до строчки verifying DMI Pool Data. Дальше появляется всего две строчки. Первая - Желтым - Введите код.
Вторая - Красным - Так вышло, что ваш компьютер заблокирован. Для разблокировки компьютера вам необх и дальше надпись не видно. Загрузка с Live Cd показывает два основных раздела неизвестного типа. Первый раздел 7C, второй 035H. Как спасти свои данные???
02.11.2011 07:04:06, NightSniper.]]> http://forum.esetnod32.ru/messages/forum6/topic2640/message22551/ http://forum.esetnod32.ru/messages/forum6/topic2640/message22551/ Wed, 02 Nov 2011 07:04:06 +0400 Обнаружение вредоносного кода и ложные срабатывания