Вирус в загрузочном секторе Windows
Намедни заочно познакомился с новым вирусом (где Вы их находите, ей богу?), который просит перевести примерно 25 долларов на определённый кошелёк в Webmoney в счёт погашения штрафа за просмотр, копирование и тиражирование видео взрослого характера.
Под «заочно» я подразумеваю, что сам я вирус не удалял, поэтому могу ошибаться. Скриншот прислали по ммс, и, судя по всему, вирус грузится до загрузки Windows.
Кроме удаления вируса, мы сегодня попутно научимся восстанавливать загрузочный сектор Windows XP и 7.
В первую очередь нам нужно узнать, когда загружается вирус. Определить это довольно просто — нужно проверить реакцию ПК на стандартные комбинации клавиш:
- Windows+L — смена пользователя
- Ctrl+Alt+Del или Ctrl+Shift+Esc — диспетчер задач
Если по нажатию Ctrl+Alt+Del происходит перезагрузка ПК или вообще ничего не происходит, то можно сказать, что вирус грузится до запуска системы и находится в MBR секторе (загрузочный сектор Windows). Есть два варианта решения данной проблемы:
Восстанавливаем загрузочный сектор Windows.
Кстати, аналогичным способом восстанавливают повреждённый загрузчик Windows в том случае, когда на экране Вы видите такое сообщение: disk read error occurred press ctrl+alt+del to restart или NTLDR is missing.
Нам понадобится диск с Windows, желательно той (или такой же), которая уже установлена на ПК. В Bios выставляем загрузку с диска и дожидаемся запуска установки Windows. Дальнейшие действия зависят от системы:
При Windows XP .
При появлении надписи «Вас приветствует мастер установки» (текстовая часть загрузки) нажимаем кнопку R (или F10), чтобы запустить консоль восстановления. Появится консольная строка, если есть пароль администратора — вводим его, затем вводим команды:
- CD \
- fixboot c: (если система на диске C)
- exit (будет перезагрузка)
Опять загружается в консоль, и вводим эти команды:
Вынимаем диск и пробуем загрузить как обычно. Если система загрузились удачно, начинаем устанавливать все типы антивирусов и искать вредоносный файл, так как, после перезагрузки вирус может снова появится. Не перезагружаем компьютер, пока его не находим.
Если антивирусы не находят, пробуйте поиск файлов Windows (F3) по дате (предположительного заражения), включая скрытые и системные файлы с маской *.EXE или *.BAT. Пока точно где он не могу сказать, так как не сталкивался.
Если загружается опять вирус — проделываем оба предыдущих шага, плюс вводим ещё эти команды:
При Windows 7.
Вставляем диск и загружаемся с него.
При загрузке с диска выбираем «Восстановление системы» («Repair your computer»). Далее выбираем нашу систему (Windows 7 на диске C:). В окне «Параметры восстановления системы» выбираем «Командная строка» («Command Prompt»). В консоле пишем:
- bcdedit /export C:\BCD_Backup
- c:
- cd boot
- attrib bcd -s -h -r
- ren c:\boot\bcd bcd.old
- bootrec /RebuildBcd
Это перестроит и восстановит загрузочную область Windows 7. Перезагружаемся без диска. Поиск вируса аналогичен варианту с Windows XP.
Если вирус блокирует любые действия в Windows
Если вирус грузится в самой системе, и Вы не можете ничего сделать кроме перезагрузки ПК, то можно попробовать такой способ разблокировки:
- Зажимаем Ctrl+Shift+Esc (Ctrl+Alt+Del) до момента, пока не начнёт мерцать диспетчер задач.
- Не отпуская клавиш, ищем процесс вируса и кликаем «Cнять задачу».
- Далее нажмите «новая задача» и введите «regedit» (редактор реестра)
- Переходим в раздел HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
- Проверяем два параметра «Shell» и «Userinit».
- Значением параметра Shell должно быть «Explorer.exe» .
- Значение Userinit – «C:\WINDOWS\system32\userinit.exe,» (в конце запятая обязательно).
- Перезагружаем ПК.
- Обязательно проверьте компьютер на вирусы установленным антивирусом или утилитой.
- В случае неудачи — проделайте этот способ в безопасном режиме.
Для сканирования подойдут бесплатные утилиты:
Второй способ описан в тексте статьи «Вирус — заставка просит отправить СМС«. Если ничего не помогает, пишем в комментарии и пробуем разобраться вместе.
Лечимся от вируса блокирующего загрузку Windows. (Предлагаю закрепить тему)
(Предлагаю закрепить тему)
Лечимся от вируса блокирующего загрузку Windows(Trojan.MbrLock и подобные)
Последнее время участились случаи заражения компьютера так называемым Trojan.MbrLock.
Он прописываеться в MBR и даже не даёт загрузить «Безопасный режим». Он просит отправить деньги на какой либо счёт. И так что же нам делать!
Садимся за незараженый компьютер (например идём в интернет-кафе)
1. Идём на сайт доктора
2. Вводим номер телефона/кошелька.
3. Если нам показало код разблокировки, разблокируем кодом, вышло, проверяем систему хорошим антивирем, нет, идём дальше!
— следующие два пункта для тех кому не лень потратить пару часиков.
4. Если ничего не вышло идём сюда
5. Ищем свой вирус (Trojan.MbrLock 2-ой в списке) и перебираем коды.
Попытка 2(если не вышла 1):
1. До загрузки окна с просьбой отправить деньги жмём DEL или F2 (у кого как).
2. В BIOS пробуем изменить дату на день вперёд.
3. Пробуем загрузиться. Если ничего не вышло изменяем на день назад.
Попытка 3(если не вышла 1 и 2):
1. Качаем DrWebLiveUSB или DrWebLiveCD.
2. Устанавливаем образ на флешку/диск(если старый BIOS то лучше CD).
3. Грузимся с носителя(диск/флешка).
4. Выбираем DrWeb-LiveCD (Default)
5. Появляется Центр Управления Dr.Web для Linux, сворачиваем/закрываем.
6. Жмём кнопку пуск.
7. Жмём Report Bug.
8. Подождите минуты 2.
9. Закрываем появившееся окно.
10. Открываем Midnaght Commander (он находится на рабочем столе).
11. Идём в папку /tmp в правой части экрана.
12. Кликаем 2 раза по bugreport
tar.gz.(картинка 2)
13. Жмём на mbr-sda.bin или mbr-hdc.bin и F3
14. Прямо по центру файла должен быть код разблокировки.(картинка 3)
15. Вводим код радуемся проверяем систему на вирусы, удаляем кеш всех браузеров.
Если вы не можете найти код в файле, загрузите его через FireFox в эту тему на форум, я вам обязательно помогу.
Попытка 4(если не вышла 1, 2 и 3):
1. Делаем шаги от 1 до 5 и 10 и 11 шаг включительно из «Попытки 3»
2. Жмём на файл sectors.dmp и нажимаем F3
3. Ищем строчку Enter code или Enter code3, чуть ниже должен быть код разблокировки.(картинка 1)
4. Повторяем 15 шаг с прошлой попытки.
Если вы не можете найти код в файле, загрузите его через FireFox в эту тему на форум, я вам обязательно помогу.
Попытка 5(если не вышла 1, 2 и 3 и 4):
Внимание я не несу ответственность за последствия!
1. Берём оригинальный диск вашей Windows.
2. Грузимся с него.
3. Жмём R.
4. Жмём 1.
5. Вводим fixboot потом fixmbr(со всем соглашаемся).
6. Загружаемся с любого лайв диска (доктора или касперского например).
7. Проверяем систему на вирусы.
8. Чистим кеш всех браузеров.
(Если не удаётся выполнить пункт 6, как только загрузиться Windows ставте проверку вашим антивирусом всех дисков).
Ну вот и всё!
(Материал был собран с различных сайтов, и обьеденён мной!)
Как удалить Windows 7 и вернуть нормально загрузку Windows Vista 86
Поставил 7 второй системой — работало всё нормально. Понадобилось её удалить — удалил согласно.
Восстановить загрузку 2-ой операционной системы — Windows 7 проф, при зашитой Windows 7 базовая
На ноуте была установлена Вин 7 базовая. Базовую стерли поставили 7 про, при обновлении произошел.
Как в загрузочном меню Windows 10 прописать загрузку Windows XP?
Друзья! Есть хард (МBR традиционная) с двумя разделами (C и E) NTFS, на разделе С стоит Windows XP.
Как добавить к загрузке Windows ХР загрузку Windows 7?
Я выставил время «0» для выбора операционки: windows 7 Другая операционка. А другая это ХР.
Тема стара как мир, при нормальной навигации по форуму, особенно если внимательно почитать сообщения в разделе компьютерная безопасность, инфы наберётся не мало. Хотя труд и собранная инфа c4boomb, можно оценить на 5 баллов, может кому-то и действительно поможет
Привет всем.
Я расскажу про Winlock который не трогает MBR.
Способ приведенный ниже работает, пользуюсь им, не встречал не одного блокиратора который не смог снять самостоятельно.
Все что ниже мое имхо, и личный опыт, на основе статей других людей и форумов.
Итак начнем с того что такое блокиратор — это программа которая средствами Windows добавляет себя в загрузки ОС. Антивирусные решения в большинстве случаев бессильны, т.к. криптографию ни кто не отменял, поведенческий анализ может и работает но я не видел. Слышал только что KAV 2012 самостоятельно избавился от вредоносной программы при обычном запуске компьютера.
Все делается довольно просто. Наша задача загрузиться с любого BOOT Девайса (USB,CD,DVD,HDD) с Winsows PE (до установочная версия), или в Linux как в Касперский Рескью Диск.
1) Первым делом определяем загрузочный диск и директорию Windows. Сразу лезем в «Windwos\Temp\» и все удаляем.
2) Удаляем все *.exe файлы в корне этого диска (C:\) чьи имена напоминают 481741312312.exe fdaf3rfdf.exe.
3) Смотрим реестр зараженной машины, я пользуюсь «EDR Commander». В «Касперский Рескью Диск» встроена хорошая программа для этих нужд, все найдет сама.
В реестре идем по пути:
HKEY_Local_MACHINE\SOFTWARE\Microsoft\Windwos NT\CurrentVersion\Winlogon
смотрим параметры Shell — должен быть explorer.exe
Userinit — C:\Windows\system32\userinit.exe, (после запятой все удаляем)
Если эти файлы были изменены (перезаписаны), то с собой носите копии для всех версий Windows. Смотрим размер, версии, дату изменения. Так же не плохо посмотреть System32\ все не подписанные файлы с новой датой изменения.
так же можно заглянуть и в:
HKEY_Local_MACHINE\SOFTWARE\Microsoft\Windwos NT\CurrentVersion\Windwos
параметр AppInit_DLLs — если у вас стоит например Касперский то тут будут его DLL, если название левые удаляйте. Это для избавления от программ блокирующих доступ к web страницам.
И еще, удаляем все лишнее с автозагрузки:
HKEY_Local_MACHINE\SOFTWARE\Microsoft\Windwos\CurrentVersion \Run и RunOnce
Проверяем, лишнее удаляем. Тут он сидит редко.
Еще смотрим нашего пользователя:
HKEY_Current_User\SOFTWARE\Microsoft\Windwos\CurrentVersion\ Run и RunOnce
Чаще всего находится тут с надписями по пути Temp и случайным именем *.exe.
4) Далее, спрашиваем из под какого пользователя данной рабочей станции был получен вредоносный код (этот путь мы так же могли видеть в реестре). Затем проходим по пути: «Documents and Settings\*UserName\Local Settings\Temp\» — удаляем все что можем, что не можем пытаемся переименовать. — для Windows XP
В Windows 7 путь будет «Users(Пользователи)\UserName\Local Settings\Temp\»
И удалить подозрительные файлы с директории «Загрузки» данного пользователя.
5) Если все прошло хорошо, то компьютер должен загрузиться нормально. Теперь главное не выходя в сеть интернет открыть браузер (или все что есть) с которого прошла загрузка вредоносной программы. Удалить там всю историю просмотра, все временные файлы через стандартные настройки данного браузера.
Скачать DrWeb CureIT! и проверить машину на заражения дополнительно.
Был случай что на зараженной машине не было DVD-Rom, и при себе не оказалось CD с требуемым софтом, USB не грузились. Дело решилось след образом. Взял CD диск, с установленным Arconis и зашел на машину через него, встроенным обзором файлов удалил все из папок «Temp» и вуаля, машина грузиться нормально.
В интернете много подборок Live-CD/DVD/USB/HDD для данных нужд, берите любой на свой вкус.
Как найти и удалить вирус на компьютере. Самостоятельно.
Не каждый медленный или плохо работающий компьютер заражен вредоносным ПО. Вот как проверить, есть ли у вас вирус — и является ли этот подозрительный процесс опасным.
Это десятилетия назад, вирусы часто были простыми шалостями, которые использовали много системных ресурсов. Современные вредоносные программы, скорее всего, будут скрытны и тихонечко работать в фоновом режиме. Сейчас, современные вредоносные программы создаются преступниками для того, чтобы заработать денег, а хорошо продуманные вредоносные программы вообще не вызовут каких-либо заметных проблем с ПК.
Тем не менее, внезапная низкая производительность ПК может быть одним из признаков того, что у вас вредоносное ПО. Странные приложения в вашей системе также могут указывать на вирус, но, опять же, нет гарантии.
Не существует единого доказательства, наличия вируса, подходящего для всех, без фактического сканирования компьютера на наличие вредоносных программ.
Единственный способ узнать наверняка, есть ли у вас вредоносная программа, — это проверить вашу операционную систему.
Как проверить, является ли процесс вирусом или нет
Узнать, есть ли на компьютере вирус, так как вы видели странный процесс в диспетчере задач Windows, который можно открыть, нажав Ctrl + Shift + Esc или щелкнув правой кнопкой мыши панель задач Windows и выбрав «Диспетчер задач».
В диспетчере можно увидеть довольно много процессов — нажмите «Подробнее», если вы видите меньший список. Многие из этих процессов имеют странные, запутанные имена. Это нормально.
Windows включает в себя довольно много фоновых процессов, некоторые из них добавлены производителем вашего ПК, а устанавливаемые вами приложения часто добавляют свои.
Вредоносное ПО часто использует большой объем ресурсов ЦП, памяти или диска и может быть заметен здесь. Если вам интересно, является ли конкретная программа вредоносной, щелкните ее правой кнопкой мыши в диспетчере задач и выберите «Поиск в Интернете», чтобы найти дополнительную информацию.
Если поиск в выводит информацию о вредоносном ПО, это 100% признак того, что у вас вирус.
Однако не думайте, что ваш компьютер не содержит вирусов только потому, что какой то незнакомый процесс выглядит законным. Процесс может лгать и говорить, что он, например, «Google Chrome» или «chrome.exe», но это может быть просто вредоносная программа, имитирующая Google Chrome, которая находится в другой папке вашей системы.
Если вам лень проверять с помощью поиска в интернете из диспетчера задач, как рассказывалось выше, но вы обеспокоены тем, что у вас могут быть вредоносные программы, мы рекомендуем выполнить проверку на наличие вредоносных программ.
Как сканировать компьютер на вирусы
В Windows 10 откройте меню «Пуск», введите «Безопасность» и щелкните ярлык «Безопасность Windows», чтобы открыть его. Вы также можете перейти в «Настройки»➣ «Обновление и безопасность»➣ «Безопасность Windows»➣ «Открыть безопасность Windows».
Чтобы выполнить проверку на наличие вредоносных программ, нажмите «Защита от вирусов и угроз».
Нажмите «Быстрое сканирование» для сканирования вашей системы на наличие вредоносных программ. Windows Security выполнит сканирование и выдаст вам результаты. Если какая-либо вредоносная программа найдена, она предложит удалить ее с вашего компьютера автоматически.
Если вам нужен другой способ поиска вирусов — а ваш основной антивирус ничего не находит — вы можете выполнить сканирование и с помощью другого приложения безопасности.
Список ссылок на скачивание бесплатных вирусных сканеров для домашнего использования
Бесплатные сканеры или ознакомительные версии антивирусных программ.
- Ссылка для скачивания Сканера безопасности Microsoft откроется на новой вкладке Microsoft Safety Scanner — это диагностический инструмент, предназначенный для поиска и удаления вредоносных программ с компьютеров Windows.
- Ссылка на Домашние пользовательские версии откроется на новой вкладке Spybot Search and Destroy — пакет безопасности все-в-одном включают в себя много дополнительных инструментов и функций, в том числе защиту от вирусов.
- Ссылка для скачивания онлайн сканера Bitdefender, откроется на новой вкладке Bitdefender Virus Scanner — используются передовые технологии, такие как машинное обучение, чтобы защитить вас от фишинга и других типов мошеннического контента.
- Ссылка на Mac App Store откроется на новой вкладке также для MacOS — Bitdefender Virus Scanner легко обнаруживает вредоносное ПО на MacOS
- Ссылка на бесплатный Kaspersky Security Scan откроется на новой вкладке Kaspersky Security Scan — бесплатный сканер вирусов Kaspersky Security Scan
- Ссылка на продукт, руководство или утилиту ремонта Центра загрузки Avira откроется на новой вкладке Avira PC Cleaner — Центр загрузки антивирусных продуктов Avira
- Ссылка скачивания бесплатной ознакомительной версии Malwarebytes откроется на новой вкладке Malwarebytes — Ваша первая линия обороны от шпионских программ. (Malwarebytes for Windows, Malwarebytes for Mac, Malwarebytes for Android)
Windows 7 не включает встроенное антивирусное программное обеспечение. Для бесплатного антивируса вы можете скачать Microsoft Security Essentials и запустить сканирование с ним. Это обеспечивает защиту, аналогичную программному обеспечению безопасности Защитника Windows, встроенному в Windows 10.
Если ваше антивирусное приложение обнаруживает вредоносное ПО, но не может удалить его, попробуйте выполнить сканирование в безопасном режиме. Вы также можете убить абсолютно все вирусы и вредоносное ПО, вернув Windows 10 в состояние по умолчанию.