Как вылечить загрузочный вирус

Борьба с загрузочными вирусами

Данная статья расскажет вам, как бороться с загрузочными вирусами. Вы узнаете, как они отражаются на работе ПК и самые простые способы избавления от них.

Способы избавления от загрузочных вирусов:

1. Первый и самый доступный способ избавления от загрузочных вирусов – это снятие жесткого диска и его подключение к другому ПК, где стоит антивирус. Просканируйте винчестер на наличие вирусов.

2. Второй способ – использование загрузочного «аварийного» диска, который содержит антивирус. Перед этим проверьте, чтобы загрузка в BIOS стояла с CD-ROM’а.

3. Третий способ является самым надежным – перезапись загрузочной записи «вручную». Чтобы это сделать, вам нужен загрузочный диск, на котором присутствует консоль восстановления. Установите в BIOS загрузку с диска, предварительно поместив загрузочный диск в CD-ROM. Теперь перезагрузите компьютер. После этого перед вами должно открыться окно, которое содержит несколько пунктов выбора. Вам нужно воспользоваться восстановлением Windows XP консолью восстановления.

Дальше вам потребуется нажать R – должна загрузиться консоль восстановления. При наличии на ПК одной операционной системы, которая находится на диске С, появится следующее окно:
C:WINDOWS
Далее нужно выбрать копию, в которую будет выполнен вход.

Далее должно появиться системное сообщение: C:WINDOWS>.
Вам нужно ввести fixmbr – после чего должно появиться ПРЕДУПРЕЖДЕНИЕ. (ПК содержит нестандартную загрузочную запись)
При отсутствии проблем доступа к диску желательно остановить команду FIXMBR.

Подтвердите создание новой записи MBR. Должна создаться новая загрузочная запись на диск. Далее появится приглашение системы C:WINDOWS>, где нужно ввести fixboot.
Должен появиться конечный раздел С. На вопросы, которые появятся далее, отвечайте положительно.
С помощью команды FIXBOOT будет производиться создание нового загрузочного сектора.

На приглашение C:WINDOWS> ответьте exit и перезагрузите компьютер. Затем нажмите Del и выберите в BIOS Setup загрузку с жёсткого диска.

Данная статья рассказала вам, как избавляться от загрузочных вирусов на вашем ПК. Последний способ желательно использовать только продвинутым пользователям ПК, так как ошибка может привести к полной очистке винчестера.

Почему вирус называется загрузочным? Потому что он при запуске системы сразу же грузится в память и перехватывает управление всей системой. Наверняка многие сталкивались с такой проблемой, что после посещения некоторых, пусть даже безобидных сайтов, компьютер при следующей загрузке выдавал предупреждение, что он заблокирован, якобы за посещение пoрнo-сайтов, или за рассылку спама, или за другие неблагие действия. Чтобы разблокировать аппарат, нужно якобы пополнить счет на телефоне или положить деньги на определенный кошелек. Или просто отправить смс, и якобы придет код, введя который, вы разблокируете аппарат. Разумеется, ничего разблокировано при этом не будет, так как в такие вирусы даже не закладывается такой возможности. Антивирус против них зачастую бессилен, так как они запускаются сразу же при загрузке системы, блокируя все антивирусы и защитные программы. Итак, как же с ними бороться?

Бывает две его разновидности. Первая разновидность – когда сообщение о блокировке появляется лишь в углу экрана, при этом возможно частичное управление компьютером. Такой вирус относится к троянам, семейству Trojan.Winlock (далее – винлок). При попытке открыть диспетчер задач, чтобы убить вредный процесс, он запускаться, скорее всего, не будет. Точнее, будет запускаться и сразу исчезать, так как он тоже блокируется вирусом. Это самая «легкая» форма загрузочного вируса.

Для начала попробуйте загрузиться в безопасном режиме. (Удерживайте F8 перед загрузкой системы, в появившемся меню выберите «Безопасный режим»). Если в безопасном режиме все чисто, лечится такой вирус довольно просто. Нужно открыть окно настройки системы (Пусквыполнить, в открывшемся окне написать msconfig и нажать enter). Затем перейти на вкладку «автозагрузка», внимательно изучить список. Если видите что-то подозрительное (абракадабра в названии элемента или странная запись в столбце «команда»), просто отключайте данную запись из автозагрузки, перезагружайте аппарат, и все в порядке.

Если же вы не видите ничего странного, просто выключайте разом всю автозагрузку и перезагружайтесь. Если все чисто, значит, вирус запускается именно оттуда. Тогда всего лишь включайте постепенно записи и смотрите, после активации которой вирус проявляется. После того, как вы найдете вредную запись и отключите ее, можете перейти по пути, указанному в поле «команда», и удалить зловредный файл(ы), их скорее всего будет несколько.

Если нет возможности ни зайти в безопасный режим, ни открыть окно настройки системы – заходите через безопасный режим с поддержкой командной строки. В настоящее время большинство винлоков не может его заблокировать. После загрузки нужно запустить редактор реестра и отследить там подозрительные записи. Для начала нужно проверить раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, конкретно в параметре Shell должно храниться значение explorer.exe, в параметре Userinit – C:WINDOWSSystem32userinit.exe, именно с запятой. Если в этом разделе ничего подозрительного нет, необходимо проверить в разделе HKEY_CURRENT_USER. Также стоит проверить ветки, где прописаны автозагружаемые программы, например, HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun. В случае присутствия записей, вызывающих подозрение, их нужно заменить на стандартные значения (в случае с автозагрузкой удалить). После перезагрузки компьютера останется лишь удалить зловредную программу.

Однако бывает, что у нас нет доступа даже к меню загрузки Windows. Такие вирусы называются «буткиты». Они вписывают себя в MBR (Master Boot Record, главная загрузочная запись) и запускаются оттуда, полностью либо частично вытесняя загрузчик Windows. Это второй тип загрузочных вирусов. С ними бороться тоже довольно просто. Необходим установочный диск Windows. На экране, где написано «Нажмите R для запуска консоли восстановления», нажимайте. Выполняйте вход в свою копию системы и набирайте одну за другой команды fixmbr (появится предупреждение, отвечайте утвердительно) и fixboot (также отвечайте утвердительно), и все готово. Восстановлена загрузочная запись, можете запускать систему.

Если уж совсем ничего не помогает, придется сносить систему, обязательно с форматированием системного (только системного) раздела. А чтобы заражения вирусом не произошло, используйте антивирусы и с осторожностью относитесь к скачиваемым документам. Они ни в коем случае не должны иметь расширение .exe. И если файл называется, например, music.mp3.exe или photo.jpg.exe, то это определенно вирус. 

Êîìïàíèÿ Symantec ñîîáùèëà îá îáíàðóæåíèè íîâîãî îáðàçöà õàêåðñêîãî ïðîãðàììíîãî îáåñïå÷åíèÿ, ñïîñîáíîãî èçìåíÿòü çàãðóçî÷íûé ñåêòîð ãëàâíîãî æåñòêîãî äèñêà êîìïüþòåðà.  êîìïàíèè îòìå÷àþò, ÷òî îáíàðóæåííîå ÏÎ îòíîñèòñÿ ê ñðåäñòâàì óäàëåííîãî àäìèíèñòðèðîâàíèÿ (ðóòêèò) è ïðåäíàçíà÷åíî äëÿ ðàáîòû ñ Windows.

Ïî ñëîâàì ýêñïåðòîâ Symantec, îáíàðóæåííûé êîä – ýòî ïðèíöèïèàëüíî íîâàÿ ðàçðàáîòêà, êîòîðàÿ íå èñïîëüçóåò êàêèå-ëèáî ðàíåå çàäåéñòâîâàííûå âðåäîíîñíûå êîäû, ïîýòîìó íà ñåãîäíÿ äàëåêî íå âñå àíòèâèðóñû ñïîñîáíû îáíàðóæèâàòü íîâûé ðóòêèò.

Ðóòêèò ìîäèôèöèðóåò êîä ãëàâíîãî çàãðóçî÷íîãî ñåêòîðà (master boot record), ãäå õðàíèòñÿ èíôîðìàöèÿ îá îïåðàöèîííîé ñèñòåìå èëè ñèñòåìàõ (åñëè èõ íåñêîëüêî), êîòîðîé ñëåäóåò ïåðåäàòü óïðàâëåíèå êîìïüþòåðîì ïîñëå ïðîâåðêè BIOS.

“Òðàäèöèîííûå ðóòêèòû èíñòàëëèðóþòñÿ â ñèñòåìå êàê äðàéâåðû, ïðèìåðíî òàêæå êàê è îñòàëüíîå ïðîãðàììíîå îáåñïå÷åíèå è ôàéëû. Ýòè äðàéâåðû ãðóçÿòñÿ âìåñòå ñ îïåðàöèîííîé ñèñòåìîé íà ýòàïå âêëþ÷åíèÿ êîìïüþòåðà, íî íîâûé ðóòêèò çàïèñûâàåò ñåáÿ åùå äî îïåðàöèîííîé ñèñòåìû è íà÷èíàåò âûïîëíÿòñÿ äî ñòàðòà ÎÑ”, – ãîâîðèò Îëèâåð Ôðåäðèõ, ðóêîâîäèòåëü àíòèâèðóñíîãî ïîäðàçäåëåíèÿ Symantec.

“Òàêîé ìåòîä äàåò áåñïðåöåäåíòíûé êîíòðîëü íàä êîìïüþòåðîì, ôàêòè÷åñêè êîä ïðÿ÷åòñÿ òàì, ãäå íè îäèí ðóòêèò äî íåãî íå ïðÿòàëñÿ”, – ãîâîðèò îí.

Ïî äàííûì èññëåäîâàòåëåé èç èíñòèòóòà SANS, ñòàòèñòè÷åñêèé àíàëèç ïîêàçàë, ÷òî íà ñåãîäíÿ äàííûì ðóòêèòîì çàðàæåíû íåñêîëüêî òûñÿ÷ êîìïüþòåðîâ ïî âñåìó ìèðó, à ïåðâûå ïðèçíàêè íîâîãî âðåäîíîñíîãî êîäà ïîÿâèëèñü â ñåðåäèíå äåêàáðÿ 2007 ãîäà. Êðîìå òîãî, â SANS ñîîáùèëè, ÷òî îáíàðóæèëè íåñêîëüêî ñàéòîâ, ïðè ïîìîùè êîòîðûõ ðóòêèò ðàñïðîñòðàíÿåòñÿ.

“Ýòî î÷åíü ñåðüåçíàÿ óãðîçà è îíà ïîêàçûâàåò íàâûêè ðÿäà êîìïüþòåðíûõ ïðåñòóïíèêîâ. Íåñìîòðÿ íà òî, ÷òî êîíöåïöèÿ íåñàíêöèîíèðîâàííîãî ìîäèôèöèðîâàíèÿ íå íîâà, ïðèìåíåííûé ïîäõîä ðàíåå ïî÷òè íå èñïîëüçîâàëñÿ. Î÷åâèäíî, ÷òî çäåñü ïîðàáîòàëè ïðîôåññèîíàëû, êîòîðûå â ïîñëåäñòâèè íà áàçå ýòîãî êîäà ìîãóò ñîçäàòü è äîïîëíèòåëüíûå ñõåìû ïîõèùåíèÿ äàííûõ è ïîëó÷åíèÿ êîíòðîëÿ íàä ïîëüçîâàòåëüñêèì êîìïüþòåðîì”, – ãîâîðÿò â Symantec.

 Verisign îòìåòèëè, ÷òî ïåðâàÿ âîëíà àòàê íîâîãî ðóòêèòà, ñóäÿ ïî äàííûì òðàôôèêà, áûëà 12 äåêàáðÿ, âòîðàÿ – 19 äåêàáðÿ 2007 ãîäà. Ïî ñëîâàì Ìýòüþ Ðè÷àðäñà, äèðåêòîðà VeriSign iDefense Labs, íà ñåãîäíÿ îêîëî 5 000 êîìïüþòåðîâ çàðàæåíû ðóòêèòîì.

 Symantec ãîâîðÿò, ÷òî ïîëó÷åííûå íà äàííûé ìîìåíò ñâåäåíèÿ ñâèäåòåëüñòâóþò î òîì, ÷òî êîä ðàáîòàåò òîëüêî â Windows XP, ïîëüçîâàòåëè Windows Vista ïîêà íàõîäÿòñÿ âíå îïàñíîñòè, òàê êàê äëÿ ñâîåé ðàáîòû ðóòêèò òðåáóåò àäìèíèñòðàòèâíûõ ïðèâèëåãèé, à Vista ïðè ïîäîáíûõ îáðàùåíèÿõ âûâîäèò çàïðîñ íà âûïîëíåíèå.

Åùå îäíà îïàñíîñòü êîäà çàêëþ÷àåòñÿ â òîì, ÷òî èç-çà íàõîæäåíèÿ â ãëàâíîé çàãðóçî÷íîé çàïèñè åãî êðàéíå òðóäíî îáíàðóæèòü èç îïåðàöèîííîé ñèñòåìû ñðåäñòâàìè àíòèâèðóñà. “Åäèíñòâåííûé âåðíûé ñïîñîá óäàëèòü ýòîò êîä – çàïóñê êîíñîëè âîññòàíîâëåíèÿ Windows c èíñòàëëÿöèîííîãî äèñêà, òàêæå ñëåäóåò âîñïîëüçîâàòüñÿ êîìàíäîé fixmbr â êîìàíäíîé ñòðîêå.  ðÿäå BIOS åñòü ôóíêöèé äëÿ çàïðåùåíèÿ çàïèñè â çàãðóçî÷íûé ñåêòîð, ñåé÷àñ ýòà ôóíêöèîíàëüíîñòü ìîæåò îêàçàòüñÿ ïîëåçíîé”, – ãîâîðèò Ýëèÿ Ôëîðèî, àíòèâèðóñíûé àíàëèòèê Symantec.

Áîëåå ïîäðîáíûå äàííûå î ðóòêèòå ìîæíî ïîëó÷èòü ïî àäðåñó gmer.net/
mbr/

https://www.cybersecurity.ru/news/39211.html

[Èñïðàâëåíî: Batmah, 26.06.2009 23:47]

Если Ваш П К «глухо» зависает сразу после прохождения тестов BIOS, а форматирование жесткого диска и переустановка операционной системы не помогают, то возможной причиной этого является наличие на Вашем винчестере так называемых загрузочных вирусов, поражающих загрузочный сектор диска (хотя до поры до времени загрузочные вирусы могут и ничем не выдавать своего присутствия!). Трудность обнаружения загрузочных вирусов заключается в том, что они загружаются в оперативную память ПК до антивирусной программы (т.е. в таком случае антивирус практически «убит»). Для удаления загрузочного вируса нужно перезаписать загрузочную запись (при этом вся остальная информация на жестком диске будет в целости и сохранности). Способов «лечения» несколько.

Во-первых, можно снять Ваш жесткий диск и подключить к другому ПК, на котором установлен надежный (постоянно обновляемый!) антивирус и просканировать его на предмет выявления и лечения обнаруженных вирусов.
Во-вторых, можно воспользоваться загрузочным «аварийным» диском, содержащим антивирус со свежими базами. Предварительно в BIOS нужно установить загрузку с CD-ROM’а.

И самый надежный способ — перезаписать загрузочную запись «вручную».
Для этого, если у Вас установлена ОС Windows ХР, Вам потребуется загрузочный диск с консолью восстановления (или дискеты аварийного восстановления). В BIOS нужно установить загрузку с CD-ROM’а, поместить в лоток CD-ROM’а загрузочный диск с установочным пакетом Windows XP Professional и перезагрузиться. Когда установщик Windows XP загрузит свои файлы в оперативную память ПК, появится диалоговое окно «Установка Windows XP Professional», содержащее меню выбора, из которого нас интересует пункт «*Чтобы восстановить Windows XP с помощью консоли восстановления, нажмите [R=Восстановить]».

Нажмите R. Загрузится консоль восстановления. Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, то появится следующее сообщение:

1: C: WINDOWS
В какую копию Windows следует выполнить вход?

Введите 1, нажмите Enter

Появится сообщение:
Введите пароль администратора:

Введите пароль, нажмите Enter (если пароля нет, просто нажмите Ente).

Появится приглашение системы:
C: WINDOWS>

Введите fixboot

Появится сообщение:
Конечный раздел: C:.
Хотите записать новый загрузочный сектор в раздел C:?

Введите y (что означает ‘yes’).

Появится сообщение:
Файловая система в загрузочном разделе: NTFS (или FAT32).
Команда FIXBOOT записывает новый загрузочный сектор.
Новый загрузочный сектор успешно записан.

На появившееся приглашение системы: C: WINDOWS>
введите fixmbr

Появится сообщение:
**ПРЕДУПРЕЖДЕНИЕ**
На этом компьютере присутствует нестандартная или недопустимая основная загрузочная запись. При использовании FIXMBR можно повредить имеющуюся таблицу разделов. Это приведет к утере доступа ко всем разделам текущего жесткого диска.
Если отсутствуют проблемы доступа к диску, рекомендуется прервать работу команды FIXMBR.
Подтверждаете запись новой MBR?

Введите y (что означает ‘yes’).

Появится сообщение:
Производится новая основная загрузочная запись на физический диск DeviceHarddisk0Partition0.
Новая основная загрузочная запись успешно сделана.

На приглашение системы C: WINDOWS>
введите exit, начнется перезагрузка ПК. Нажмите Del, войдите в BIOS Setup и установите загрузку с жесткого диска.

ПРИМЕЧАНИЯ
1. Поскольку описываемые методы лечения потенциально опасны (можно ухудшить ситуацию!), если Вы не чувствуете себя достаточно подготовленным, — обратитесь к специалистам!
2. Если на Вашем П К установлено несколько операционных систем, чтобы при перезаписи MBR не затереть загрузчик другой ОС, — обратитесь к специалистам!
3. Рекомендую пользоваться надежными антивирусными программами (Panda, Norton, Касперский) с регулярно (не менее одного раза в неделю) обновляемыми базами.
4. Почаще делайте так называемый «бэкап», храните копии наиболее ценной информации на разных носителях (например, диски CD-RW, флэшки и т. д.).
5. Удаление загрузочных вирусов в ОС Windows 98/ME происходит путем перезаписи загрузочной записи MBR (команда FDISK /MBR). Ее можно выполнять и при работе в среде Windows (через сеанс MS-DOS).
6. Есть еще один эффективный способ лечения — низкоуровневое форматирование. Но, во-первых, этот способ деструктивен — уничтожает информацию на жестком диске, а во-вторых, опасен тем, что при неумелых действиях может вывести HDD из строя. Поэтому может быть рекомендован только специалистам.

Всего Вам доброго!