После форматирования диска троян не удаляетса, После форматирования диска троян не удаляетса Опции

Перезаписать mbr это через fixmbr?Что такое cureit.
Я просто не понимаю некоторых понятий обьясни по простому .

Сообщение отредактировал hayl - 17.11.2008, 20:06

Очистка mbr довольно просто делается любым liveCD c Linux. Доcтаточно загрузиться и выполнить команду:

dd if=/dev/zero of=/dev/sda bs=512 count=1

mbr забивается нулями. После этого можно делать fixmbr, 100% вируса там не будет
Единственный совет - если вы в линуксе ни бум бум, то рекомендую предварительно отключить все неиспользуемые винты. В том случае если винт sata то будет sda, если ide, то hda (c большой вероятностью ;) )

Я вообще не думаю, что это бутовый вирус.

Сообщение отредактировал Disaron - 17.11.2008, 21:50

Да и еще: написано с учетом того, что винт потом подлежит полному форматированию. Данная операция очистит MBR, в котором помимо всего прочего хранится таблица разделов, она тоже пропадет.

hayl

fixmbr,fixboot. CureIt - это бесплатная антивирусная утилита от Dr.Web.
Но,если будешь форматировать винт,то она не понадобится. Вируса ,после форматирования,точно не будет на жестком диске.

Вируса, после форматирования, точно не будет на жестком диске.

Увы это не так - недавно убедился, что банальное форматирование может не помочь от такой заразы. Вылечили livecd Dr. Web`ом, форматирование не спасало, fixmbr тоже. Так что или лечить или обнулять.

Сделал fixmbr fixboot потом отформатировал через консоль.Вроде щяс всё нормально.
Поработаю пока посмотрю если вирус остался то он проявитса.

Disaron

Увы это не так - недавно убедился, что банальное форматирование может не помочь от такой заразы.

ну и где же он будет лежать? очистили бут, очистили партиции, файловые таблицы убиты. Где и как он будет работать? Опять городские легенды

fixboot не делали, а вот fixmbr походу не чистит бут, а только загрузчик прописывает. Ну вообщем говорю, то что видел
Если конечно все очищено, то лежать ему негде А так лежит в буте - пока не почистили.

Сообщение отредактировал Disaron - 18.11.2008, 15:06

Disaron

интересно,и где же был вирус?

Обьясняю для непонятливых: мы не делали fixboot, а именно он обнуляет по-вашему виндузячьему ;) бут-сектор харда, помимо бут-сектора есть еще mbr (главная загрузочная запись) ее мы обнулили. И там и там может жить потенциально бутовый вирус. Где облажались тогда - теперь понятно. При форматировании ни то ни другое не обнуляется.

Проверился Malwarebytes' выдаёт такую тему в разделе производителя
Hijack.MtartMenu
Spyware.OnlineGame

Наверно винт == вирус :D :D :D

Если серьезно, а случайно не левая сборка винды используется?

Сообщение отредактировал Disaron - 18.11.2008, 17:31

Disaron

Не хочу расстраивать,но при установке ОС,выборе форматирование раздела MBR полностью перезаписывается. И не требуется его обнулять.
К чему эти сказки?

А бут-сектор обнуляется? Причем тут сказки? бут-сектор != MBR

бут-сектор - это начало считывания данных о разделах, находится в конкретном месте на винчестере (обычно в начале). бут-сектор указывает на mbr - загрузочную запись. запись может располагаться и в бут-секторе, так и вне его (например загрузчик lilo у линукса, из-за него многие впадают в ступор, когда форматируя винт не могут поставить винду - бутсектор указывает на левые данные и винда не загружается). Адрес бутсектора прописан обычно в винчестере, в нем может быть код (блин, вот не помню точно, там вроде всего 512 байт и не зависит от размера сектора), код указывает на дальнейшую загрузку.
И мбр, и бутсектор переписывается fdisk'ом. В консоли винды32 есть разные команды для работы с ними. Если вирус сделал свой мбр (перенес себя в другое место, т.к. 512 байт ему мало ), то пофиксив бут-сектор все перестанет загружаться, так же и вирус не сможет загрузиться, указателя на него ведь нету

+1
fixboot должен спасать по любому , но не fixmbr.

ну можно и фиксмбр, если только винда стоит на том же диске и первой партиции

Причем здесь boot sector? Когда удаляются все разделы,затем форматируются,что и MBR и Boot Sector перезаписываются.Вирус теоритически может там находиться,но после перезаписи,винт становится девственно чистым,до установки ОС.

если диск установочныйwindows, в норме там ничего не надо писать, все разруливается меню и вариантами выбора. Если предполагается восстановить данные, то форматирование последнее что нужно, оно как раз данные окончательно удалит.

Причем здесь boot sector? Когда удаляются все разделы,затем форматируются,что и MBR и Boot Sector перезаписываются.Вирус теоритически может там находиться,но после перезаписи,винт становится девственно чистым,до установки ОС.

Увы. При удалении разделов очищаются только их блоки описания в MBR (4 блока по 20 байт для главных разделов, далее для логических разделов в начале каждой тройки логических разделов), но код не перезаписывается. Загрузочные секторы в главных разделах не удаляются, а освобождаются, и при быстром форматировании могут не быть перезаписаны.

Так что для гарантии dd if=/dev/zero of=/dev/sda и потерпеть, пока перезапишется нулями весь диск.

Наверно винт == вирус :D :D :D

Если серьезно, а случайно не левая сборка винды используется?

Ещё смешнее. У него троян записался на служебную дорожку диска. Тут не поможет ни форматирование, ни обнуление -- теоретически он может оттуда считаться снова.

Восстановить эту дорожку можно специальной программой (очень сильно зависящей от марки диска).

Мужик поймал дюже инновационный троян, однако... Спишемся через недельку, уточним, ибо я с хардами имею дело давно, но про такое ещё не слышал.