Как вылечит загрузочный вирус

Почему вирус называется загрузочным? Потому что он при запуске системы сразу же грузится в память и перехватывает управление всей системой. Наверняка многие сталкивались с такой проблемой, что после посещения некоторых, пусть даже безобидных сайтов, компьютер при следующей загрузке выдавал предупреждение, что он заблокирован, якобы за посещение пoрнo-сайтов, или за рассылку спама, или за другие неблагие действия. Чтобы разблокировать аппарат, нужно якобы пополнить счет на телефоне или положить деньги на определенный кошелек. Или просто отправить смс, и якобы придет код, введя который, вы разблокируете аппарат. Разумеется, ничего разблокировано при этом не будет, так как в такие вирусы даже не закладывается такой возможности. Антивирус против них зачастую бессилен, так как они запускаются сразу же при загрузке системы, блокируя все антивирусы и защитные программы. Итак, как же с ними бороться?

Бывает две его разновидности. Первая разновидность – когда сообщение о блокировке появляется лишь в углу экрана, при этом возможно частичное управление компьютером. Такой вирус относится к троянам, семейству Trojan.Winlock (далее – винлок). При попытке открыть диспетчер задач, чтобы убить вредный процесс, он запускаться, скорее всего, не будет. Точнее, будет запускаться и сразу исчезать, так как он тоже блокируется вирусом. Это самая «легкая» форма загрузочного вируса.

Для начала попробуйте загрузиться в безопасном режиме. (Удерживайте F8 перед загрузкой системы, в появившемся меню выберите «Безопасный режим»). Если в безопасном режиме все чисто, лечится такой вирус довольно просто. Нужно открыть окно настройки системы (Пусквыполнить, в открывшемся окне написать msconfig и нажать enter). Затем перейти на вкладку «автозагрузка», внимательно изучить список. Если видите что-то подозрительное (абракадабра в названии элемента или странная запись в столбце «команда»), просто отключайте данную запись из автозагрузки, перезагружайте аппарат, и все в порядке.

Если же вы не видите ничего странного, просто выключайте разом всю автозагрузку и перезагружайтесь. Если все чисто, значит, вирус запускается именно оттуда. Тогда всего лишь включайте постепенно записи и смотрите, после активации которой вирус проявляется. После того, как вы найдете вредную запись и отключите ее, можете перейти по пути, указанному в поле «команда», и удалить зловредный файл(ы), их скорее всего будет несколько.

Если нет возможности ни зайти в безопасный режим, ни открыть окно настройки системы – заходите через безопасный режим с поддержкой командной строки. В настоящее время большинство винлоков не может его заблокировать. После загрузки нужно запустить редактор реестра и отследить там подозрительные записи. Для начала нужно проверить раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, конкретно в параметре Shell должно храниться значение explorer.exe, в параметре Userinit – C:WINDOWSSystem32userinit.exe, именно с запятой. Если в этом разделе ничего подозрительного нет, необходимо проверить в разделе HKEY_CURRENT_USER. Также стоит проверить ветки, где прописаны автозагружаемые программы, например, HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun. В случае присутствия записей, вызывающих подозрение, их нужно заменить на стандартные значения (в случае с автозагрузкой удалить). После перезагрузки компьютера останется лишь удалить зловредную программу.

Однако бывает, что у нас нет доступа даже к меню загрузки Windows. Такие вирусы называются «буткиты». Они вписывают себя в MBR (Master Boot Record, главная загрузочная запись) и запускаются оттуда, полностью либо частично вытесняя загрузчик Windows. Это второй тип загрузочных вирусов. С ними бороться тоже довольно просто. Необходим установочный диск Windows. На экране, где написано «Нажмите R для запуска консоли восстановления», нажимайте. Выполняйте вход в свою копию системы и набирайте одну за другой команды fixmbr (появится предупреждение, отвечайте утвердительно) и fixboot (также отвечайте утвердительно), и все готово. Восстановлена загрузочная запись, можете запускать систему.

Если уж совсем ничего не помогает, придется сносить систему, обязательно с форматированием системного (только системного) раздела. А чтобы заражения вирусом не произошло, используйте антивирусы и с осторожностью относитесь к скачиваемым документам. Они ни в коем случае не должны иметь расширение .exe. И если файл называется, например, music.mp3.exe или photo.jpg.exe, то это определенно вирус. 

Борьба с загрузочными вирусами

Данная статья расскажет вам, как бороться с загрузочными вирусами. Вы узнаете, как они отражаются на работе ПК и самые простые способы избавления от них.

Способы избавления от загрузочных вирусов:

1. Первый и самый доступный способ избавления от загрузочных вирусов – это снятие жесткого диска и его подключение к другому ПК, где стоит антивирус. Просканируйте винчестер на наличие вирусов.

2. Второй способ – использование загрузочного «аварийного» диска, который содержит антивирус. Перед этим проверьте, чтобы загрузка в BIOS стояла с CD-ROM’а.

3. Третий способ является самым надежным – перезапись загрузочной записи «вручную». Чтобы это сделать, вам нужен загрузочный диск, на котором присутствует консоль восстановления. Установите в BIOS загрузку с диска, предварительно поместив загрузочный диск в CD-ROM. Теперь перезагрузите компьютер. После этого перед вами должно открыться окно, которое содержит несколько пунктов выбора. Вам нужно воспользоваться восстановлением Windows XP консолью восстановления.

Дальше вам потребуется нажать R – должна загрузиться консоль восстановления. При наличии на ПК одной операционной системы, которая находится на диске С, появится следующее окно:
C:WINDOWS
Далее нужно выбрать копию, в которую будет выполнен вход.

Далее должно появиться системное сообщение: C:WINDOWS>.
Вам нужно ввести fixmbr – после чего должно появиться ПРЕДУПРЕЖДЕНИЕ. (ПК содержит нестандартную загрузочную запись)
При отсутствии проблем доступа к диску желательно остановить команду FIXMBR.

Подтвердите создание новой записи MBR. Должна создаться новая загрузочная запись на диск. Далее появится приглашение системы C:WINDOWS>, где нужно ввести fixboot.
Должен появиться конечный раздел С. На вопросы, которые появятся далее, отвечайте положительно.
С помощью команды FIXBOOT будет производиться создание нового загрузочного сектора.

На приглашение C:WINDOWS> ответьте exit и перезагрузите компьютер. Затем нажмите Del и выберите в BIOS Setup загрузку с жёсткого диска.

Данная статья рассказала вам, как избавляться от загрузочных вирусов на вашем ПК. Последний способ желательно использовать только продвинутым пользователям ПК, так как ошибка может привести к полной очистке винчестера.

Если Ваш П К «глухо» зависает сразу после прохождения тестов BIOS, а форматирование жесткого диска и переустановка операционной системы не помогают, то возможной причиной этого является наличие на Вашем винчестере так называемых загрузочных вирусов, поражающих загрузочный сектор диска (хотя до поры до времени загрузочные вирусы могут и ничем не выдавать своего присутствия!). Трудность обнаружения загрузочных вирусов заключается в том, что они загружаются в оперативную память ПК до антивирусной программы (т.е. в таком случае антивирус практически «убит»). Для удаления загрузочного вируса нужно перезаписать загрузочную запись (при этом вся остальная информация на жестком диске будет в целости и сохранности). Способов «лечения» несколько.

Во-первых, можно снять Ваш жесткий диск и подключить к другому ПК, на котором установлен надежный (постоянно обновляемый!) антивирус и просканировать его на предмет выявления и лечения обнаруженных вирусов.
Во-вторых, можно воспользоваться загрузочным «аварийным» диском, содержащим антивирус со свежими базами. Предварительно в BIOS нужно установить загрузку с CD-ROM’а.

И самый надежный способ — перезаписать загрузочную запись «вручную».
Для этого, если у Вас установлена ОС Windows ХР, Вам потребуется загрузочный диск с консолью восстановления (или дискеты аварийного восстановления). В BIOS нужно установить загрузку с CD-ROM’а, поместить в лоток CD-ROM’а загрузочный диск с установочным пакетом Windows XP Professional и перезагрузиться. Когда установщик Windows XP загрузит свои файлы в оперативную память ПК, появится диалоговое окно «Установка Windows XP Professional», содержащее меню выбора, из которого нас интересует пункт «*Чтобы восстановить Windows XP с помощью консоли восстановления, нажмите [R=Восстановить]».

Нажмите R. Загрузится консоль восстановления. Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C, то появится следующее сообщение:

1: C: WINDOWS
В какую копию Windows следует выполнить вход?

Введите 1, нажмите Enter

Появится сообщение:
Введите пароль администратора:

Введите пароль, нажмите Enter (если пароля нет, просто нажмите Ente).

Появится приглашение системы:
C: WINDOWS>

Введите fixboot

Появится сообщение:
Конечный раздел: C:.
Хотите записать новый загрузочный сектор в раздел C:?

Введите y (что означает ‘yes’).

Появится сообщение:
Файловая система в загрузочном разделе: NTFS (или FAT32).
Команда FIXBOOT записывает новый загрузочный сектор.
Новый загрузочный сектор успешно записан.

На появившееся приглашение системы: C: WINDOWS>
введите fixmbr

Появится сообщение:
**ПРЕДУПРЕЖДЕНИЕ**
На этом компьютере присутствует нестандартная или недопустимая основная загрузочная запись. При использовании FIXMBR можно повредить имеющуюся таблицу разделов. Это приведет к утере доступа ко всем разделам текущего жесткого диска.
Если отсутствуют проблемы доступа к диску, рекомендуется прервать работу команды FIXMBR.
Подтверждаете запись новой MBR?

Введите y (что означает ‘yes’).

Появится сообщение:
Производится новая основная загрузочная запись на физический диск DeviceHarddisk0Partition0.
Новая основная загрузочная запись успешно сделана.

На приглашение системы C: WINDOWS>
введите exit, начнется перезагрузка ПК. Нажмите Del, войдите в BIOS Setup и установите загрузку с жесткого диска.

ПРИМЕЧАНИЯ
1. Поскольку описываемые методы лечения потенциально опасны (можно ухудшить ситуацию!), если Вы не чувствуете себя достаточно подготовленным, — обратитесь к специалистам!
2. Если на Вашем П К установлено несколько операционных систем, чтобы при перезаписи MBR не затереть загрузчик другой ОС, — обратитесь к специалистам!
3. Рекомендую пользоваться надежными антивирусными программами (Panda, Norton, Касперский) с регулярно (не менее одного раза в неделю) обновляемыми базами.
4. Почаще делайте так называемый «бэкап», храните копии наиболее ценной информации на разных носителях (например, диски CD-RW, флэшки и т. д.).
5. Удаление загрузочных вирусов в ОС Windows 98/ME происходит путем перезаписи загрузочной записи MBR (команда FDISK /MBR). Ее можно выполнять и при работе в среде Windows (через сеанс MS-DOS).
6. Есть еще один эффективный способ лечения — низкоуровневое форматирование. Но, во-первых, этот способ деструктивен — уничтожает информацию на жестком диске, а во-вторых, опасен тем, что при неумелых действиях может вывести HDD из строя. Поэтому может быть рекомендован только специалистам.

Всего Вам доброго!

Намедни заочно познакомился с новым вирусом (где Вы их находите, ей богу?), который просит перевести примерно 25 долларов на определённый кошелёк в Webmoney в счёт погашения штрафа за просмотр, копирование и тиражирование видео взрослого характера.

Под «заочно» я подразумеваю, что сам я вирус не удалял, поэтому могу ошибаться. Скриншот прислали по ммс, и, судя по всему, вирус грузится до загрузки Windows.

Кроме удаления вируса, мы сегодня попутно научимся восстанавливать загрузочный сектор Windows XP и 7.

В первую очередь нам нужно узнать,  когда загружается вирус. Определить это довольно просто — нужно проверить реакцию ПК на стандартные комбинации клавиш:

• Windows+L — смена пользователя
• Ctrl+Alt+Del или Ctrl+Shift+Esc — диспетчер задач

Если по нажатию Ctrl+Alt+Del происходит перезагрузка ПК или вообще ничего не происходит, то можно сказать, что вирус грузится до запуска системы и находится в MBR секторе (загрузочный сектор Windows). Есть два варианта решения данной проблемы:

Восстанавливаем загрузочный сектор Windows.

Кстати, аналогичным способом восстанавливают повреждённый загрузчик Windows в том случае, когда на экране Вы видите такое сообщение: disk read error occurred press ctrl+alt+del to restart или NTLDR is missing.

Нам понадобится диск с Windows, желательно той (или такой же), которая уже установлена на ПК. В Bios выставляем загрузку с диска и дожидаемся запуска установки Windows. Дальнейшие действия зависят от системы:

При Windows XP.

При появлении надписи «Вас приветствует мастер установки» (текстовая часть загрузки) нажимаем кнопку R (или F10), чтобы запустить консоль восстановления. Появится консольная строка, если есть пароль администратора — вводим его, затем вводим команды:

• CD
• fixboot c: (если система на диске C)
• exit (будет перезагрузка)

Опять загружается в консоль, и вводим эти команды:

• cd
• fixmbr c:
• fixmbr

Вынимаем диск и пробуем загрузить как обычно. Если система загрузились удачно, начинаем устанавливать все типы антивирусов и искать вредоносный файл, так как, после перезагрузки вирус может снова появится. Не перезагружаем компьютер,  пока его не находим.

Если антивирусы не находят, пробуйте поиск файлов Windows (F3) по дате (предположительного заражения), включая скрытые и системные файлы с маской *.EXE  или *.BAT. Пока точно где он не могу сказать, так как не сталкивался.
Если загружается опять вирус — проделываем оба предыдущих шага, плюс вводим ещё эти команды:

• cd
• bootcfg /rebuild
• exit

При Windows 7.

Вставляем диск и загружаемся с него.
При загрузке с диска выбираем «Восстановление системы» («Repair your computer»). Далее выбираем нашу систему (Windows 7 на диске C:). В окне «Параметры восстановления системы» выбираем «Командная строка» («Command Prompt»). В консоле пишем:

• bcdedit /export C:BCD_Backup
• c:
• cd boot
• attrib bcd -s -h -r
• ren c:bootbcd bcd.old
• bootrec /RebuildBcd

Это перестроит и восстановит  загрузочную область Windows 7. Перезагружаемся без диска. Поиск вируса аналогичен варианту с Windows XP.

Если вирус блокирует любые действия в Windows

Если вирус грузится в самой системе, и Вы не можете ничего сделать кроме перезагрузки ПК, то можно попробовать такой способ разблокировки:

• Зажимаем Ctrl+Shift+Esc (Ctrl+Alt+Del) до момента, пока не начнёт мерцать диспетчер задач.
• Не отпуская клавиш, ищем процесс вируса и кликаем  «Cнять задачу».
• Далее нажмите «новая задача» и введите «regedit» (редактор реестра)
• Переходим в раздел HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
• Проверяем два параметра «Shell» и «Userinit».
• Значением параметра Shell должно быть «Explorer.exe» .
• Значение Userinit – «C:WINDOWSsystem32userinit.exe,» (в конце запятая обязательно).
• Перезагружаем ПК.
• Обязательно проверьте компьютер на вирусы установленным антивирусом или утилитой.
• В случае неудачи — проделайте этот способ в безопасном режиме.

Для сканирования подойдут бесплатные утилиты:

• Kaspersky Removal Tool
• DrWeb CureIt

Второй способ описан в тексте статьи «Вирус — заставка просит отправить СМС«. Если ничего не помогает, пишем в комментарии и пробуем разобраться вместе.