Видалення вірусу з завантажувального сектора

Середа, 13, лютого, 2013

Пару місяців назад зіткнувся з дуже цікавою ситуацією, комп'ютер брата почав дуже сильно гальмувати, провівши попередній аналіз встановив що комп'ютер сильно заражений вірусами. Видаляти їх в ручну порахував недоцільно і вирішив просто перевстановити систему.

При перевстановлення системи зіткнувся з неприємною ситуацією: дисковод почав погано читати завантажувальний диск, в результаті чого установка ОС переривалася, причому на різних етапах. Заміна дисковода нічого не дала, ситуація повторювалася. Але все ж після більш ніж десятка спроб файли були скопійовані і комп'ютер перезавантажився для подальшої установки вже жорсткого диска, але тут же вискочила помилка про відсутність якогось файлу. Я почав установку заново і дійшовши до вибору розділу для установки ОС побачив що розділ в який тільки що копіювалися файли порожній. Я вирішивши що проблеми з жорстким диском відправив брата з комп'ютером в майстерню, вважаючи що ліг жорсткий диск. Поле тижневого ремонту комп'ютер повернули в працездатному стані, і вже через тиждень почалися вивали з інтернету, інтернет працював, але через 10-15 хвилин вивалювався і увійти знову можна було лише після перезавантаження комп'ютера. Пізніше братові хтось перевстановив ОС замінивши XP на win 7, яка спочатку робота нормально, а через якийсь час почалися знову гальма і зависання.

Я знову перевіривши комп'ютер побачив у диспетчері завдань купу незрозумілих процесів, причому вони називалися довгим набором літер. Стало ясно що це віруси. І що роблю я? Так тупо міняю 7-ку на XP, але яке ж було моє здивування, коли при установці ОС все повторилося (зупинка дисковода при завантаженні настановних файлів) І все ж після n-ного кількості спроб ОС встановилася. Встановивши необхідні драйвера, я перезавантажив комп'ютер і тут почалися знову гальма. У диспетчері завдань знову з'явилася купа процесів з довгими іменами запущених від адміністратора, і тут я зрозумів що вірус сидить в завантажувальному секторі жорсткого диска (де це розуміння було 2 місяці тому?).

Для видалення вірусу з завантажувального сектора я виконав наступне:

Вставив завантажувальний диск з якого встановлював ОС. В BIOS встановив завантаження з CD-ROM'а, і перезавантажився. Коли установник Windows XP завантажив свої файли в оперативну пам'ять ПК, з'явилося діалогове вікно Установка Windows XP Professional, що містить меню вибору,

з якого вибрав пункт * Щоб відновити Windows XP за допомогою консолі відновлення, натисніть [R = Відновити]. Натиснув R. завантаживши консоль відновлення. Так як на ПК встановлена ​​одна ОС, і вона (за замовчуванням) встановлена ​​на диску C :, то з'явиться таке повідомлення:

1: C: \ WINDOWS У яку копію Windows слід виконати вхід?

Вводжу 1, тисну Enter

З'являється повідомлення:

Введіть пароль адміністратора: у мене пароля немає тому просто ежму Enter.

З'явилося запрошення системи:

C: \ WINDOWS> ввожу fixmbr

З'являється повідомлення: ** ПОПЕРЕДЖЕННЯ ** На цьому комп'ютері присутній нестандартна або неприпустима основна завантажувальна запис. При використанні FIXMBR можна пошкодити наявну таблицю розділів. Це призведе до втрати доступу до всіх розділів поточного жорсткого диска. Якщо відсутні проблеми доступу до диска, рекомендується перервати роботу команди FIXMBR. Чи підтверджуєте запис нової MBR?

Вводжу y (що означає yes).

Вискакує повідомлення:

Проводиться новий основний завантажувальний запис на фізичний диск \ Device \ Harddisk0 \ Partition0. Новий основний завантажувальний запис успішно зроблена.

У який з'явився запрошення системи:

C: \ WINDOWS> Вводжу fixboot

Бачу повідомлення: Кінцевий розділ: C :. Хочете записати новий завантажувальний сектор в розділ C :?

Вводжу y (що означає yes).

Далі повідомлення:

Файлова система в завантажувальному розділі: NTFS (або FAT32). Команда FIXBOOT записує новий завантажувальний сектор. Новий завантажувальний сектор успішно записаний.

У запрошенні системи C: \ WINDOWS> ввожу exit, починається перезавантаження ПК. Тисну Del, входжу в BIOS Setup і встановлюю завантаження з жорсткого диска.

Після завантаження системи йду в диспетчер задач і знову бачу купу незрозумілих процесів з довгими іменами з набору букв. Т. е. Вірус не був знищений. Пробую встановити антивірус, відразу після початку установка переривається (вірус блокує установку антивіруса !!!). Пробую завантажити з інтернету інший антивірус, але після натискання на сайті антивіруса "скачати" браузер закривається (і тут вірус блокує !!!)

Пробую робити перевірку і лікування AVZ. Завантажується, оновлює бази, сканує, але результат нульовий. Віруси живуть і розмножуються.

Завантажуйте з Dr.Web Live CD в режимі safe mode, графічний інтерфейс чомусь висне (чи то вірус, чи то глюк). Сканують всі диски. проходить години 3-4. Перезавантажувати. Віруси живі. Що робити? Шукати і видаляти в ручну! Треба було цим зайнятися відразу!

Вантажу з диска Bart (аналог erdcommander), попередньо записавши назву процесів на листок. Вводжу в пошук по черзі назви процесів, в результаті знаходжу їх в папках C: / windows, C: / windows / system32, C: / Documents and Settings / User / Local Settings / Temp, до речі в останній папці найбільше файлів зі схожими іменами , тому я по одному беру їх вставляю в пошук, відразу видаляю знайдені файли, причому тут же їх видаляю а з коша. Заходжу в редактор реєстру (regedit) вибираю правка-пошук або F3, ввожу скопійований файл тисну "знайти" видаляю знайдені ключі, тисну "знайти далі" або F3 поки не з'явиться вікно з повідомлення про те що нічого не знайдено. Після цього переходжу до наступного файлу.

Так витративши пів години я видалив всі файли вірусів. Після перезавантаження входжу в диспетчер задач і ... незрозумілих процесів немає. Пробую встановити антивірус-встановлюється, обновляю антивірус, запускаю сканування всіх дисків, проходить кілька годин-вірусів немає.

Висновок: потрібно було відразу вручну видалити всі віруси.

І що роблю я?
Де це розуміння було 2 місяці тому?
Чи підтверджуєте запис нової MBR?
Хочете записати новий завантажувальний сектор в розділ C :?
Що робити?