Jump to content

MBR вирус - има ли начин да се справим с него и как?


Препоръчан пост

Винаги съм се питал как повечето потребители биха се справили с MBR вирус.Дали има достатъчно ефикасен софтуер за справяне с подобен проблем и как е правилно да се процедира за да се отстрани проблема.Смятам,че темата би била поучителна за много потребители.
Link to comment
Сподели другаде

А MBR вирус ще рече вирус записан в MBR или нещо друго?Ако е така може би командите fixboot и fixmbr биха спасили положението?Нека все пак по-знаещите се изкажат.
Link to comment
Сподели другаде

Обяснете как точно става презаписа на MBR и дали наистина гарантира на почти 100 процента спасяване на положението.С каква програма може да се тества за наличие на MBR вирус?
Link to comment
Сподели другаде

Обяснете как точно става презаписа на MBR и дали наистина гарантира на почти 100 процента спасяване на положението.С каква програма може да се тества за наличие на MBR вирус?

Може да се тества с MBRCheck или MBR.exe(Windows7 не се поддържа в момента от втората, ако не греша)

Oт Recovery Console при Windows2000/2003/XP с FIXBOOT и FIXMBR

От Command Prompt при WindowsVista/7 с bootrec /fixmbr, bootrec /fixboot

Link to comment
Сподели другаде

  • 1 year later...

Презаписването на MBR трябва да се прави много внимателно.

Ако е OEM MBR и се презапише със стандартен код (какъвто fixmbr изпълнява) тогава системата няма да буутне изобщо.

Според различните варианти на МBR рууткитите се използват различни инструменти и методи за почистване.

Под Windows Vista/7 рууткитите поразяват и BCD таблицата освен MBR кода.

Новите варианти на TDL4 пък даже създават нов скрит и активен дял без да се занимават с MBR въобще и там fixmbr или fixboot няма да помогне въобще.

Не ми е позволено да казвам с какви тулчета работим, но са доста. Най-важното при MBR е разбиране на структурата на MBR, както и на hex editor-ите.

Да не забравяме, че макар fixmbr да е един от най-ефективните методи...освен за OEM MBR трябва да се има предвид и следното...

След изпълнение на тази команда, често се загубва достъпа до Recovery дяловете на лаптопите...а това не е никак приятно !

Най-полезния съвет е при подобен проблем да потърсите помощ от специалист и да не се самолекувате.

В днешно време има и доста модерни инструменти, които поправят MBR-то автоматично, но те не винаги се справят с всички варианти...макар и да се обновяват доста често.

Това е игра на котка и мишка и авторите на зловреден код са винаги една крачка пред авторите на защитен софтуер в повечето случаи.

Link to comment
Сподели другаде

Напълно подкрепям мнението на B-boy/StyLe/ .Презаписването на MBR не е като да пуснеш една антивирусна програма или някой скенер и след като завърши сканирането да си готов...!Моля бъдете внимателни..! :)
Link to comment
Сподели другаде

Само да добавя това не е възтановяване на MBR, това е просто поправка на същесвуващо MBR.

Нулирай MBR-то и ще ръбереш че не се възтановява така http://forums.bgdev.org/html/emoticons/icon_smile.gif.

Това което си показал е как да премахмен някой boot menager и да ползваме само зареждане на Windows XP( било то Pro или Home Edition).

 

:: редакция ::

пак ти казвам не е ВЪЗТАНОВЯВАНЕ, просто ПОПРАВЯНЕ. Възтановяване когато от изтрит MBR го върнеш в предишното състояние http://forums.bgdev.org/html/emoticons/icon_smile.gif

 

Мисля че искате да си съсипете компютъра...!:)

Link to comment
Сподели другаде

намерих ръководство в интернет как се прави не е толкова трудно но не мога да разбера дали съм заразен

 

http://forums.bgdev....showtopic=10868

 

Никой не е споменал, че самата команда е трудна за изпълнение...Трудната задача е да разбереш дали да я използваш или не.

Щом не можеш да анализираш лога от предходната програма, едва ли си наясно дали изобщо трябва да се стига до презаписване на MBR-то..

 

Първо се научи да разчиташ информацията от MBR.bin файловете:

 

]

MBR Analyzer v1.0.9

 

File : C:\Users\B-boy\Desktop\Dump_DR0.mbr

 

--------------------------------------------------------------

 

--OFFSET-- 0-1-2-3-4-5-6-7-8-9-A-B-C-D-E-F- 0123456789ABCDEF

 

0x00000000 33C08ED0BC007C8EC08ED8BE007CBF00 3À.м.|.À.ؾ.|¿.

0x00000010 06B90002FCF3A450681C06CBFBB90400 .¹..üó¤Ph..Ëû¹..

0x00000020 BDBE07807E00007C0B0F850E0183C510 ½¾..~..|......Å.

0x00000030 E2F1CD1888560055C6461105C6461000 âñÍ..V.UÆF..ÆF..

0x00000040 B441BBAA55CD135D720F81FB55AA7509 ´A»ªUÍ.]r..ûUªu.

0x00000050 F7C101007403FE46106660807E100074 ÷Á..t.þF.f`.~..t

0x00000060 2666680000000066FF76086800006800 &fh....f.v.h..h.

0x00000070 7C680100681000B4428A56008BF4CD13 |h..h..´B.V..ôÍ.

0x00000080 9F83C4109EEB14B80102BB007C8A5600 ..Ä..Ë.¸..».|.V.

0x00000090 8A76018A4E028A6E03CD136661731CFE .v..N..n.Í.fas.þ

0x000000A0 4E11750C807E00800F848A00B280EB84 N.u..~......².Ë.

0x000000B0 5532E48A5600CD135DEB9E813EFE7D55 U2Ä.V.Í.]Ë..>þ}U

0x000000C0 AA756EFF7600E88D007517FAB0D1E664 ªun.v.è..u.ú°ñÆd

0x000000D0 E88300B0DFE660E87C00B0FFE664E875 è..°ßÆ`è|.°.Ædèu

0x000000E0 00FBB800BBCD1A6623C0753B6681FB54 .û¸.»Í.f#Àu;f.ûT

0x000000F0 435041753281F90201722C666807BB00 CPAu2.ù..r,fh.».

0x00000100 00666800020000666808000000665366 .fh....fh....fSf

0x00000110 5366556668000000006668007C000066 SfUfh....fh.|..f

0x00000120 6168000007CD1A5A32F6EA007C0000CD ah...Í.Z2öê.|..Í

0x00000130 18A0B707EB08A0B607EB03A0B50732E4 ..·.Ë..¶.Ë..µ.2Ä

0x00000140 0500078BF0AC3C007409BB0700B40ECD ....Ь<.t.»..´.Í

0x00000150 10EBF2F4EBFD2BC9E464EB002402E0F8 .ËòôËý+ÉÄdË.$.ÀØ

0x00000160 2402C3496E76616C6964207061727469 $.ÃInvalid parti

0x00000170 74696F6E207461626C65004572726F72 tion table.Error

0x00000180 206C6F6164696E67206F706572617469 loading operati

0x00000190 6E672073797374656D004D697373696E ng system.Missin

0x000001A0 67206F7065726174696E672073797374 g operating syst

0x000001B0 656D000000637B9A0754E10900000001 em...c{..TÁ.....

0x000001C0 010007FEFFFF3F0000005C14005080FE ...þ..?...\..P.þ

0x000001D0 FFFF07FEFFFF001800500020030000FE ...þ.....P. ...þ

0x000001E0 FFFF07FEFFFF00380350001851070000 ...þ...8.P..Q...

0x000001F0 000000000000000000000000000055AA ..............Uª

 

---------------------------[ MBR ]----------------------------

 

MBR_CODE : 7 MBR Code

MD5 : 992D7B85503DE127C20D057EA338237A

SHA1 : 900513B058CB1FED5D70A97AB4F2F7EC213ABA9D

PARTITIONS : 3

DISK_SIGNATURE : 754E109

SIGNATURE_ID : AA55h

 

-----------------------[ PARTITION 1 ]------------------------

 

BOOTABLE : NO

PARTITION_TYPE : 0x07 ( NTFS / HPFS)

PARTITION_SIZE : 640 Go

STARTING_SECTOR : 63

ENDING_SECTOR : 1342182555

TOTAL_SECTORS : 1342182492

 

-----------------------[ PARTITION 2 ]------------------------

 

BOOTABLE : YES

PARTITION_TYPE : 0x07 ( NTFS / HPFS)

PARTITION_SIZE : 100 Mo

STARTING_SECTOR : 1342183424

ENDING_SECTOR : 1342388224

TOTAL_SECTORS : 204800

 

-----------------------[ PARTITION 3 ]------------------------

 

BOOTABLE : NO

PARTITION_TYPE : 0x07 ( NTFS / HPFS)

PARTITION_SIZE : 58.53 Go

STARTING_SECTOR : 1342388224

ENDING_SECTOR : 1465143296

TOTAL_SECTORS : 122755072

 

 

 

MBR Analyzer v1.0.9

 

File : C:\Users\B-boy\Desktop\Dump_DR1.mbr

 

--------------------------------------------------------------

 

--OFFSET-- 0-1-2-3-4-5-6-7-8-9-A-B-C-D-E-F- 0123456789ABCDEF

 

0x00000000 FC31C08ED031E48ED88EC0BE007CBF00 ü1À.Ð1Ä.Ø.À¾.|¿.

0x00000010 06B90001F3A5BEEE07B008EA20060000 .¹..ó¥¾î.°.ê ...

0x00000020 803EB307FF75048816B307803C007404 .>³..u...³..<.t.

0x00000030 0806AF0783EE10D0E873F09090909090 ..¯..î.ÐèsÐ.....

0x00000040 90909090909090909090909090909090 ................

0x00000050 90909090909090909090909090909090 ................

0x00000060 90909090909090909090909090909090 ................

0x00000070 9090909090909090909090909090BEBE ..............¾¾

0x00000080 07B000B90400803C00756EFEC083C610 .°.¹...<.unþÀ.Æ.

0x00000090 E2F431DBB40EBE9D078A0EAF07ACD0E9 âô1û´.¾....¯.¬ÐÉ

0x000000A0 7302CD1008C975F5B03ACD1031C0CD16 s.Í..Éuõ°:Í.1ÀÍ.

0x000000B0 3C0074F8BE8B07B90200E8BA003C0D74 <.tؾ..¹..èº.<.t

0x000000C0 B43C6172063C7A77022C2088C3BE9D07 ´<ar.<zw., .þ..

0x000000D0 8A0EAF07ACD0E9730438C3740608C975 ..¯.¬ÐÉs.8Ãt..Éu

0x000000E0 F3EBAFB80D0E31DBCD108D8462003C07 ó˯¸..1ûÍ...b.<.

0x000000F0 7507B01FA2AF07EB9931D2B901003C04 u.°.¢¯.Ë.1ò¹..<.

0x00000100 741173F330E4B104D2E0BEBE0701C68A t.só0ı.òÀ¾¾..Æ.

0x00000110 16B307BF050056F6C2807431B441BBAA .³.¿..Vöâ.t1´A»ª

0x00000120 5552CD135A5E56721E81FB55AA7518F6 URÍ.Z^Vr..ûUªu.ö

0x00000130 C10174138B44088B5C0ABE8D07894408 Á.t..D..\.¾...D.

0x00000140 895C0AB442EB0C8A74018B4C02B80102 .\.´BË..t..L.¸..

0x00000150 BB007C50C6068F0701CD13585E73054F ».|PÆ....Í.X^s.O

0x00000160 75B4EB93813EFE7D55AA75F6EA007C00 u´Ë..>þ}Uªuöê.|.

0x00000170 00BE8307B90A0050B40E31DBACCD10E2 .¾..¹..P´.1û¬Í.â

0x00000180 FB58C3546573744469736B0D0A100001 ûXÃTestDisk.....

0x00000190 00007C00000000000000000000313233 ..|..........123

0x000001A0 34460000414E44546D6272000202021F 4F..ANDTmbr.....

0x000001B0 C700008000000000E307E30700000020 Ç.......Ã.Ã....

0x000001C0 01000FFEFFFFE0070000627C1C1D0000 ...þ..À...b|....

0x000001D0 00000000000000000000000000000000 ................

0x000001E0 00000000000000000000000000000000 ................

0x000001F0 000000000000000000000000000055AA ..............Uª

 

---------------------------[ MBR ]----------------------------

 

MBR_CODE : Possible TestDisk MBR Code

MD5 : 17A72F414370264ED440E0E3A7C86CF0

SHA1 : 320E8CED5AB563B9CAFA6CA7B126D7CAD19873BC

PARTITIONS : 1

DISK_SIGNATURE : E307E307

SIGNATURE_ID : AA55h

 

---------------------[ PARTITION TABLE ]----------------------

 

No bootable partition !!!

 

-----------------------[ PARTITION 1 ]------------------------

 

BOOTABLE : NO

PARTITION_TYPE : 0x0F ( Extended [LBA] )

PARTITION_SIZE : 232 Go

STARTING_SECTOR : 2016

ENDING_SECTOR : 488408130

TOTAL_SECTORS : 488406114

Link to comment
Сподели другаде

Обяснете как точно става презаписа на MBR и дали наистина гарантира на почти 100 процента спасяване на положението.С каква програма може да се тества за наличие на MBR вирус?

 

Освен вече предложените програми MBR check извършва и RogueKiller

post-16842-0-92682400-1328875047_thumb.png

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...
×
×
  • Създай ново...