Как бороться с загрузочными вирусами? Удаление вируса из загрузочного сектора

Посмотрим, кто опять заблокировал Windows и просит отправить СМС на платный номер. Но до экрана приветствия операционной системы дело так и не дошло. Сразу после проверки POST (Power-On Self-Test, для интересующихся), на том же черном экране разноцветными буквами мне сообщили, что "Вы оштрафованы за просмотр детской порнографии... Отправьте СМС стоимостью 600 рублей абоненту МТС с таким-то номером, а иначе - ...", и разные угрозы про удаление всех личных данных и паролей к порно-сайтам. Пробую набрать слепым десятипальцевым методом произвольное число на клавиатуре, нажимаю Enter, а Миша уже кричит, что сейчас у него удалятся все игрушки. Но ничего не взорвалось, даже на припаркованных во дворе машинах не запищала сигнализация. Зато появился первый вопрос: операционная система уже начала работать, или вирус прописался в загрузочном секторе жесткого диска? Проверим. Перезагружаюсь, несколько раз жму F8, но снова на экране та же картинка вместо предложения выбрать безопасный режим. Значит все-таки вирус сидит в MBR (Master Boot Record, продолжаем лекцию).

Потребуется загрузочный диск. Вирус в нулевом секторе жесткого диска получает управление после того, как BIOS (Basic Input/Output System, ну я прям сегодня как википедия!) проверяет установленный порядок загрузки с обнаруженных устройств. Значит, загрузка с CD вирусом отключена быть не может, если только он не прописался в саму BIOS, что большая редкость в последнее время. Достаю диск с ERD Commander, загружаюсь с него и сразу жму кнопку, исправляющую ошибки в MBR. Диск больше не нужен. Windows запускается, абонент МТС денег не просит.

Переходим к плановому осмотру. Process Explorer вместо стандартного диспетчера задач должен показать нам всех местных жителей с паспортными данными и адресами прописки. На первый взгляд - ничего лишнего. Но под подозрение натренированного взгляда попадают два процесса svchost.exe, запущенные из-под explorer.exe со странной командной строкой: "-k netsvcs". Во-первых, svchost должен запускаться из-под services.exe, а во-вторых, в командной строке должно быть указано еще и имя самого процесса, т.е. "svchost.exe -k netsvc". Вирусописатели оказались не внимательными к деталям, забыли плащ-невидимку накинуть на голову.

Чтобы ускорить процесс изгнания бесов подумал, что можно спросить мистера Гуглинга, какими деструктивными действиями уже засветились вирусы из MBR, узнать таким образом явки, пароли, ключи реестра. Запускаю Chrome и не могу открыть ни одну страницу. Доступ к интернету есть, файл c:\windows\system32\drivers\etc\hosts - чистый, google.com из консоли пингуется успешно. Internet Explorer и Opera падают на взлете с неизвестной ошибкой. FireFox не установлен. Что ж, может быть хитрый вирус нашел исполняемые файлы браузеров и подменил их чем-нибудь, либо просто какую библиотеку бросил к ним в папочку. Устанавливаю FireFox с флешки, должен быть аки невеста в первую брачную ночь. Но и чистый Огнелис косит та же беда. Надо смотреть на процесс загрузки, зря что ли специальную >программу для этого написал! Запускаю свой Process Launch Watcher от имени Администратора, нахожу бинарник opera.exe, открываю. Браузер запустился. В логе ничего левого нет, все библиотеки нужные, никто не пристроился. Пробую еще раз загрузить Оперу самостоятельно - тот же падёж. А если от имени Администратора? А вот так - получается. Уже интересно! Но смысл не понятен.

Начинаем искать виноватых. Бегло просматриваю корень системного диска. Ничего странного, кроме двух папочек с мусорными именами в 16 случайных символов. Внутри лежат какие-то файлы с расширением.dat и набором непонятных шестнадцатеричных кодов. Убил. Но они мгновенно воскресли. Ух ты! Прям птица Феникс в реальном времени! В Process Explorer удаляю не понравившиеся мне ранее две копии svchost.exe, снова удаляю эти папочки - тишина. Но это пока так, щелкнули огнедышащего дракона по носу и не более. Надо искать, где у него незащищенное место в панцире, чтоб пустить заряд из Царь-пушки. Выкатываю на линию огня AVZ. В логе присутствует непонятный драйвер 2870456drv.sys, сидящий в C:\Windows\system32\drivers. В автозагрузке притаился файл без имени - ".exe" по адресу C:\Users\<Пользователь>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe и рядом с ним 4nIcwkcvSVc.exe. И вдобавок AVZ сильно ругался, что вышеупомянутый драйвер перехватил аж 52 функции ядра Windows, отвечающие за сетевые соединения, управление процессами, манипуляции с файлами и реестром, а также некоторые информационные. Полный список приводить не буду, незачем. Также сканер встрепенулся насчет прямого чтения sppcomapi.dll, но вероятно это является следствием работы активатора Windows, например, такого как >мой:) После перезагрузки и выполнения еще одного стандартного лога драйвер переименовался в 11296972.sys. Однако уже не было сообщений о перехвате им функций.

В скрипт для AVZ вписал всех нарушителей, выполнил. Вирус в MBR оказался обычным алчным вымогателем, драйвер с постоянно меняющейся внешностью и фамилией путем перехвата системных функций операционной системы пытался обмануть пользователя, неумело маскируя имена своих процессов под svchost.exe. И браузеры теперь загружаются нормально даже без помощи Администратора. Победа накануне Дня Победы, а праздничным ужином так и не накормили.

Тишина. Компьютер не работает. Хозяева периодически бросают на него печальный взгляд и вздыхают. Мальчик Миша, десяти лет, сообщает о том, что надо заплатить деньги какому-то абоненту МТС, чтобы он включил им компьютер. Печально. А я все-таки попробую сделать это бесплатно. Нажимаю кнопку питания с мыслью, что и сам бы не отказался от вкусного ужина, но, наверное, опять все сделаю быстро, так что вряд ли успеют накормить.

Посмотрим, кто опять заблокировал Windows и просит отправить СМС на платный номер. Но до экрана приветствия операционной системы дело так и не дошло. Сразу после проверки POST (Power-On Self-Test , для интересующихся), на том же черном экране разноцветными буквами мне сообщили, что "Вы оштрафованы за просмотр детской порнографии ... Отправьте СМС стоимостью 600 рублей абоненту МТС с таким-то номером, а иначе - ...", и разные угрозы про удаление всех личных данных и паролей к порно-сайтам. Пробую набрать слепым десятипальцевым методом произвольное число на клавиатуре, нажимаю Enter, а Миша уже кричит, что сейчас у него сотрутся все игрушки. Но ничего не взорвалось, даже на припаркованных во дворе машинах не запищала сигнализация. Зато появился первый вопрос: операционная система уже начала работать, или вирус прописался в загрузочном секторе жесткого диска? Проверим. Перезагружаюсь, несколько раз жму F8, но снова на экране та же картинка вместо предложения выбрать безопасный режим. Значит все-таки вирус сидит в MBR (Master Boot Record , продолжаем лекцию).

Потребуется загрузочный диск. Вирус в нулевом секторе жесткого диска получает управление после того, как BIOS (Basic Input/Output System , ну я прям сегодня как википедия!) проверяет установленный порядок загрузки с обнаруженных устройств. Значит, загрузка с CD вирусом отключена быть не может, если только он не прописался в саму BIOS, что большая редкость в последнее время. Достаю диск с ERD Commander, загружаюсь с него и сразу жму кнопку, исправляющую ошибки в MBR. Диск больше не нужен. Windows запускается, абонент МТС денег не просит.

Переходим к плановому осмотру. Process Explorer вместо стандартного диспетчера задач должен показать нам всех местных жителей с паспортными данными и адресами прописки. На первый взгляд - ничего лишнего. Но под подозрение натренированного взгляда попадают два процесса svchost.exe , запущенные из-под explorer.exe со странной командной строкой: "-k netsvcs ". Во-первых, svchost.exe должен запускаться из-под services.exe , как я уже об этом писал , а во-вторых, в командной строке должно быть указано еще и имя самого процесса, т.е. "svchost.exe -k netsvc ". Вирусописатели оказались не внимательными к деталям, забыли под плащ-невидимку спрятать плащ-палатку.

Чтобы ускорить процесс изгнания бесов подумал, что можно спросить мистера Гуглинга, какими деструктивными действиями уже засветились вирусы из MBR , узнать таким образом явки, пароли, ключи реестра. Запускаю Chrome и не могу открыть ни одну страницу. Доступ к интернету есть, файл c:\windows\system32\drivers\etc\hosts - чистый, google.com из консоли пингуется успешно. Internet Explorer и Opera падают на взлете с неизвестной ошибкой. FireFox не установлен. Что ж, может быть хитрый вирус нашел исполняемые файлы браузеров и подменил их чем-нибудь, либо просто какую библиотеку бросил к ним в папочку. Устанавливаю FireFox с флешки, должен быть аки невеста в первую брачную ночь. Но и чистый Огнелис косит та же беда. Надо смотреть на процесс загрузки, зря что ли специальную программу для этого написал! Запускаю свой Process Launch Watcher от имени Администратора, нахожу бинарник opera.exe, открываю. Браузер запустился. В логе ничего левого нет, все библиотеки нужные, никто не пристроился. Пробую еще раз загрузить Оперу самостоятельно - тот же падёж. А если от имени Администратора? А вот так - получается. Уже интересно! Но смысл не ясен.

Начинаем искать виноватых. Бегло просматриваю корень системного диска. Ничего странного, кроме двух папочек с мусорными именами в 16 случайных символов. Внутри лежат какие-то файлы с расширением.dat и набором непонятных шестнадцатеричных кодов. Убил. Но они мгновенно воскресли. Ух ты! Прям птица Феникс в реальном времени! В Process Explorer удаляю не понравившиеся мне ранее две копии svchost.exe , снова удаляю эти папочки - тишина. Но это пока так, щелкнули огнедышащего дракона по носу и не более. Надо искать, где у него незащищенное место в панцире, чтоб пустить заряд из Царь-пушки. Выкатываю на линию огня AVZ. В логе присутствует непонятный драйвер 2870456drv.sys , сидящий в C:\Windows\system32\drivers . В автозагрузке притаился файл без имени - ".exe " по адресу C:\Users\<Пользователь>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.exe и рядом с ним некий 4nIcwkcvSVc.exe . И вдобавок AVZ сильно ругался, что вышеупомянутый драйвер перехватил аж 52 функции ядра Windows, отвечающие за сетевые соединения, управление процессами, манипуляции с файлами и реестром, а также некоторые информационные. Полный список приводить не буду, незачем. Также сканер встрепенулся насчет прямого чтения sppcomapi.dll , но вероятно это является следствием работы активатора Windows , например, такого как мой . После перезагрузки и выполнения еще одного стандартного скрипта AVZ оказалось, что драйвер переименовался в 11296972.sys . Однако уже не было сообщений о перехвате им функций.

В скрипт для AVZ вписал всех нарушителей, выполнил. Вирус в MBR оказался обычным алчным вымогателем, драйвер с постоянно меняющейся внешностью и фамилией путем перехвата системных функций операционной системы пытался обмануть пользователя, неумело маскируя имена своих процессов под svchost.exe . И браузеры теперь загружаются нормально даже без помощи Администратора. Победа накануне Дня Победы, а праздничным ужином так и не накормили.

В последнее время всё чаще и чаще поступают жалобы на вирус, который производит полную блокировку компьютера и вымогательство денег , на стадии ещё до загрузки операционной системы (красные буквы на черном экране). Проблема в том, что для неподготовленного пользователя ситуация может стать действительно тупиковой: компьютер не загружается ни в обычном, ни в безопасном режиме, загрузка и сканирование антивирусом с live-cd безрезультативна, даже попытка переустановки Windows может не увенчаться успехом ! Здесь я расскажу о способах как на самом деле легко и просто его удалить.

Данный вирус поражает MBR — главную загрузочную запись жёсткого диска, доступа к которой ни пользователь, ни операционная система доступа обычно не имеют. В этом и заключается вся сложность, и, одновременно простота его удаления.

Заражение обычно происходит во время клика на заражённой ссылке или загрузки зараженной веб-страницы. Далее компьютер через несколько секунд выключается, пытается перезагрузиться и показывает сообщение от том, что «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии… Необходимо платить штраф в размере… » и т.д. и т.п. Оплата осуществляется через Ibox-ы на кошельки Webmoney U338098752819, U225475893811, U250977606445, U193923440709, U255460166383, U229167721843, 380684668914 и др., либо пополнением счёта мобильного телефона. Существуют различные разновидности вируса для Украины и России:

Версия mbr-winlock для инопланетян (если они пользуются Windows) (шутка). Автору хватило ума написать и распространить вирус, а вот сделать надпись в правильной кодировке он не осилил))

Хочется так же отметить практически полную несостоятельность антивирусов против данной напасти: платные и с громкими названиями, как и два года назад, неспособны вовремя и адекватно реагировать против этой, действительно серьёзной угрозы:

Проверка вирусного файла sys3.exe на сайте virustotal.com показала, что на момент заражения из 43 антивирусов данный винлокер могло поймать только 5!

Каждый раз заражению соответствует наличие файла sys3.exe (собственно вирус ) во временных файлах браузера и netprotocol.exe в автозагрузке (создаёт брешь в операционной системе ) (версии данных файлов всё время изменяются и срабатываемость на них антивирусов остаётся крайне низкой , названия файлов злоумышленники пока не изменяли).

Уязвимость операционной системы Windows : пользователь просто сёрфит в интернете, а злоумышленники в это время модифицируют MBR и перезагружают компьютер!!!

Беспомощность нашей милиции/полиции в борьбе с данным видом преступлений: как ловить таких преступников они не знают, не умеют, не могут и не хотят, чем мошенники пользуются и будут пользоваться.

Люди, которые платят мошенникам — соучастники и спонсоры данных преступлений. Эти вирусы будут появляться вновь и вновь до тех пор, пока это экономически выгодно.

Способ 1. Восстановление MBR из резервной копии Acronis TrueImage

Если Вы относитесь к тем людям, которые после установки Windows, драйверов, программ и настроек сделали резервную копию системного диска — поздравляю, Ваши усилия не пропали даром! Для Вас эта проблема не является проблемой: нужно лишь загрузиться с загрузочного диска Acronis и восстановить mbr из своей резервной копии:

Загружаемся с диска Acronis True Image и выбираем пункт Recovery (восстановить)

Выбираем файл-образ системного диска

Выбираем пункт Restore disks or partitions (Восстановление дисков или разделов)

Выбираем из списка винчестер (системный), на котором нужно восстановить MBR

Нажать кнопку Proceed (Продолжить)

После перезагрузки от вируса не остаётся и следа, остаётся лишь провести «контрольную зачистку» компьютера свежими антивирусом и антитроянской программой.

Способ 2. С помощью утилиты CureIt от DrWeb либо Kaspersky TDSSKiller

Несмотря на то, что DrWeb данное заражение пропускает, результат заражения — модифицированый MBR он может с успехом лечить. Для этого нужно загрузиться с любого LiveCD и запустить эту утилиту . Вредоносная запись обезвреживается в считанные секунды:

Dr.Web CureIt! восстанавливает загрузочную запись в считанные секунды

При перезагрузке Windows загружается в нормальном режиме, как будто ничего и не было.

UPD (18.05.2012):

Новые модификации данного вируса изменяют разбивку диска на разделы. Скриншот консоли Windows Disk Management до лечения утилитой DrWeb CureIt:

После лечения и перезагрузки:

Способ 3. С помощью установочного диска Windows

Внимание! В свете последних модификаций данного вируса этим способом пользоваться НЕ РЕКОМЕНДУЕТСЯ!

Для Windows XP: вставляем установочный диск и включаем компьютер, жмём любую кнопку для подтверждения загрузки (Press any key to boot from CD…..). Ждём когда полностью загрузится диск и предложит выбор действий. Выбираем режим восстановления, кнопка R . Теперь система предложит выбрать какую ОС из найденных восстанавливать, нажимаем цифру и Enter (обычно 1). Теперь необходимо ввести пароль администратора, если его нет, то просто оставляем пустым и жмём Enter. Вот мы добрались до консоли восстановления. Вбиваем команду: FIXBOOT , Enter, вас попросят подтвердить, нажмите Y . Теперь вбиваем команду FIXMBR , Enter и опять подтверждаем нажатием Y . Всё теперь вбиваем EXIT и перезагружаемся. Можно грузиться с жёсткого диска. Всё.

Для Windows 7: загрузиться с установочного диска или флешки с windows 7 — восстановление системы — коммандная строка — bootsect /mbr All

Способ 4. Переустановка Windows

При переустановке Windows необходимо полностью удалить системный раздел, а потом создать его вновь. При этом пересоздастся и MBR.

UPD (26.01.2012):

Сегодня обнаружил тело вируса — файл

«Ваш компьютер заблокирован Internet Police за поиск и просмотр видеоматериалов содержащих педофилию, извращения, сексуальное насилие над детьми… Webmoney 380971559633 на 850 гривен»

Ситуация с обнаружением данной разновидности антивирусами пока что очень печальна . Кому интнресно, тело вируса можно взять здесь (пароль к архиву — infected):

UPD (13.07.2012):

Вчера разблокировал свежую версию, примечательной особенностью которой является почти 100% «слепота» антивирусов (в т.ч. Касперского). Рассылка данного образца по антивирусам возымела некоторое действие . Скачать тело вируса (пароль к архиву — infected):

Антивирус: Ты кто?

Вирус: Область данных!

Антивирус: А не вирус?

Вирус: Ни, боже мой!

Антивирус: А зачем прерывания перехватываешь?

Вирус: Я?!

Антивирус: Вот же подпрограмма!

Вирус: Это не подпрограмма. Это цитата из Лао-Цзы на языке оригинала в альтернативной кодировке…

Антивирус: А зачем exe -файлы ищешь?

Вирус: А вдруг хозяин спросит: «А где мои exe -файлы?». А я ему – вот они!

Антивирус: Сдается мне, что ты все-таки вирус...

Вирус: Ну ладно, признаюсь тебе, только ты никому не говори! На самом деле я… антивирусная вакцина!

Антивирус: А зачем нужна антивирусная вакцина, если есть я?

Вирус: Откуда я знаю? У хозяина спроси.

Антивирус: А если я тебя, на всякий случай, всё-таки грохну?

Вирус: А если я тебя?..

Антивирус: Не получится! У меня управление!

Вирус: А ты свою контрольную сумму давно пересчитывал?

Антивирус: А при чём тут моя контрольная… ой!!!

Вирус: То-то же…

Вирусы, заражающие MBR, существуют давно: они появились уже во времена MS-DOS, когда мы с тобой играли в Doom 2 и были молодыми и красивыми. В последние несколько лет они снова подняли голову - теперь все их боятся и называют модным словом «буткиты». А что говорят по этому поводу товарищи антивирусы? Могут ли они бороться с такими угрозами? Вот это-то мы и проверим!

С угрозами в MBR’е и Boot-секторе у нас сегодня будут сражаться пять продуктов:

1. BitDefender Internet Security 2012 - в последнее время этот антивирус здорово набрал обороты, к тому же движок BitDef покупают несколько сторонних компаний. Интересно посмотреть, что он из себя представляет.
2. ESET NOD32 Smart Security 5 - тут и комментировать нечего, это второй по популярности антивирус в России после «Каспера».
3. F-Secure Internet Security 2012 - достаточно известный продукт финской секьюрити-компании.
4. Outpost Security Suite Pro 7.5 - продукт от компании Agnutim, которая делает классный файервол. Между прочим, халявный файервол от Outpost в свое время пользовался в нашей стране огромной популярностью. Пожалуй, сейчас его место в наших сердцах занял тоже халявный и всесторонне могучий Comodo.
5. Rising Internet Security - антивирус от китайской компании Rising. Посмотрим, на что способны китайцы.

Let the contest begin

Первым делом я заразил Windows XP SP3 на VmWare буткитом Sinowal, который известен, обрати внимание, аж с 2009 года. Затем я с помощью Hiew убедился, что MBR действительно изменен, и стал поочерёдно устанавливать все продукты и сканировать (или пытаться сканировать) систему.

MBR, заражённый Sinowal’ом

Тестирование я начал с BitDefender’а. Для меня стало неожиданностью, что этот антивирус вообще не смог установиться! На середине установки он предложил мне перезагрузить компьютер, а после перезагрузки открылось окно установщика (и по совместительству downloader’а), прогресс-бар в котором показывал 55 %. По прошествии некоторого времени эта цифра так и не изменилось. По-видимому, установленный Sinowal помешал BitDefender’у, что весьма грустно.

Ну а следующий испытуемый - NOD32 - не подвёл. Он успешно обнаружил не только сам дроппер в temp’е, но ещё и выявил заражение MBR’а. Очень радует, что этот популярный в России антивирус способен справляться с достаточно серьёзными угрозами.

Антивирус F-Secure Internet Security также успешно разобрался с буткитом и обозвал его Win32/Mebroot, как и NOD32. Любопытно, что в столбце «Объект» в GUI указано просто «Заражение системы». По-видимому, разработчики решили не пугать пользователей страшными названиями вроде MBR и «загрузочный сектор». 🙂 А вот Outpost несколько разочаровал: он обнаружил только файловые компоненты Sinowal’а, а заражённый MBR пропустил. Пожалуй, продукт от Agnitum - это все-таки в первую очередь файервол, а не антивирус.

Rising вообще не удалось привести в работоспособное состояние. Я несколько раз пытался установить и нормально запустить китайское изделие, но потерпел неудачу. Сначала я было подумал, что проблема в VmWare, но оказалось, что это не так (подробнее читай дальше). По-видимому, именно Sinowal не дал антивирусу инсталлироваться.

Еще один буткит: Ghodow

После того, как все пять антивирусов были протестированы на системе, заражённой Sinowal’ом, я решил откатиться к чистому снэпшоту и запустить дроппер другого буткита. Хотя второй буткит не так широко известен, как Sinowal, антивирусы всё равно должны его детектировать, поскольку это злой вирус, который делает в системе много чего нехорошего. Называется он Win32/Ghodow.NAD (по данным ESET). В дальнейшем я буду называть его просто Ghodow.

Антивирус BitDefender снова постиг провал: на этот раз он не прошёл даже первый этап установки - «Сканировать системные файлы на наличие вирусов». Мастер установки предлагал мне несколько раз перезагрузить компьютер, загрузиться в BitDefender Rescue Mode, который представляет собой *nix-систему с антивирусным сканером, и выполнить многие другие действия. Однако в конечном итоге установщик выдал примерно такое лаконичное сообщение: «Установить BitDefender не удалось».

Ну а NOD32 и здесь не подкачал: он успешно обнаружил второй буткит в «MBR-секторе физического диска 0».

Но того, что произошло дальше, я совсем не ожидал. Ни один из трёх оставшихся антивирусов не смог обнаружить заразу в MBR’е, хотя каждый из них корректно установился и обновился. Более того, я пробовал различные варианты сканирования - от quick/поверхностного до руткит-сканирования системы. Однако ни один из них не привел к положительному результату, были обнаружены только компоненты буткита в файловой системе, что, конечно, не радует.

Попробуем по-своему

Однако руки мои продолжали чесаться, и я решил не останавливаться на достигнутом и сделать нестандартный MBR. Я написал в Hiew небольшой код, который копировал область памяти размером 0x200 с адреса 0x200 на адрес 0x1000 и передавал туда управление. Код, конечно, безвредный, но мне было любопытно, как отреагируют антивирусы на нестандартный MBR. Стоит отметить, что в этом случае и BitDefender, и Rising успешно установились, обновились и заработали. Таким образом, моё предположение о том, что установленные буткиты могут мешать инсталляции антивирусов, подтвердилось.

Оказалось, что измененный MBR совершенно не трогает железные сердца антивирусов. Таким образом, я предположил, что буткиты детектируются обычными сигнатурами и сделать вредоносный MBR, который бы не обнаруживался, совсем не проблема. Для проверки я проделал аналогичную операцию с кодом NTFS-загрузчика (по сути, с кодом бут-сектора) и получил тот же результат.

Заключение

Какие можно сделать выводы по результатам теста? Антивирусы недостаточно хорошо детектируют буткиты. На компьютер, инфицированный буткитом, встанет не каждый антивирусный продукт. Так что держись и, главное, не забывай перед выключением компьютера в дисководе А: сомнительные дискеты;).

Намедни заочно познакомился с новым вирусом (где Вы их находите, ей богу?), который просит перевести примерно 25 долларов на определённый кошелёк в Webmoney в счёт погашения штрафа за просмотр, копирование и тиражирование видео взрослого характера.

Под «заочно» я подразумеваю, что сам я вирус не удалял, поэтому могу ошибаться. Скриншот прислали по ммс, и, судя по всему, вирус грузится до загрузки Windows.

Кроме удаления вируса, мы сегодня попутно научимся восстанавливать загрузочный сектор Windows XP и 7.

В первую очередь нам нужно узнать, когда загружается вирус. Определить это довольно просто — нужно проверить реакцию ПК на стандартные комбинации клавиш:

• Windows+L — смена пользователя
• Ctrl+Alt+Del или Ctrl+Shift+Esc — диспетчер задач

Если по нажатию Ctrl+Alt+Del происходит перезагрузка ПК или вообще ничего не происходит, то можно сказать, что вирус грузится до запуска системы и находится в MBR секторе (загрузочный сектор Windows). Есть два варианта решения данной проблемы:

Восстанавливаем загрузочный сектор Windows.

Кстати, аналогичным способом восстанавливают повреждённый загрузчик Windows в том случае, когда на экране Вы видите такое сообщение: disk read error occurred press ctrl+alt+del to restart или NTLDR is missing.

Нам понадобится диск с Windows, желательно той (или такой же), которая уже установлена на ПК. В Bios выставляем загрузку с диска и дожидаемся запуска установки Windows. Дальнейшие действия зависят от системы:

При Windows XP .

При появлении надписи «Вас приветствует мастер установки» (текстовая часть загрузки) нажимаем кнопку R (или F10), чтобы запустить консоль восстановления. Появится консольная строка, если есть пароль администратора — вводим его, затем вводим команды:

• fixboot c: (если система на диске C)

Опять загружается в консоль, и вводим эти команды:

• fixmbr c:
• fixmbr

Вынимаем диск и пробуем загрузить как обычно. Если система загрузились удачно, начинаем устанавливать все типы антивирусов и искать вредоносный файл, так как, после перезагрузки вирус может снова появится. Не перезагружаем компьютер, пока его не находим.

Если антивирусы не находят, пробуйте поиск файлов Windows (F3) по дате (предположительного заражения), включая скрытые и системные файлы с маской *.EXE или *.BAT. Пока точно где он не могу сказать, так как не сталкивался.
Если загружается опять вирус — проделываем оба предыдущих шага, плюс вводим ещё эти команды:

• bootcfg /rebuild

При Windows 7.

Вставляем диск и загружаемся с него.
При загрузке с диска выбираем «Восстановление системы» («Repair your computer»). Далее выбираем нашу систему (Windows 7 на диске C:). В окне «Параметры восстановления системы» выбираем «Командная строка» («Command Prompt»). В консоле пишем:

• bcdedit /export C:\BCD_Backup
• cd boot
• attrib bcd -s -h -r
• ren c:\boot\bcd bcd.old
• bootrec /RebuildBcd

Это перестроит и восстановит загрузочную область Windows 7. Перезагружаемся без диска. Поиск вируса аналогичен варианту с Windows XP.

Если вирус блокирует любые действия в Windows

Если вирус грузится в самой системе, и Вы не можете ничего сделать кроме перезагрузки ПК, то можно попробовать такой способ разблокировки:

• Зажимаем Ctrl+Shift+Esc (Ctrl+Alt+Del) до момента, пока не начнёт мерцать диспетчер задач.
• Не отпуская клавиш, ищем процесс вируса и кликаем «Cнять задачу».
• Далее нажмите «новая задача» и введите «regedit» (редактор реестра)
• Переходим в раздел HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
• Проверяем два параметра «Shell» и «Userinit».
• Значением параметра Shell должно быть «Explorer.exe» .
• Значение Userinit – «C:\WINDOWS\system32\userinit.exe,» (в конце запятая обязательно).
• Перезагружаем ПК.
• Обязательно проверьте компьютер на вирусы установленным антивирусом или утилитой.
• В случае неудачи — проделайте этот способ в безопасном режиме.

Для сканирования подойдут бесплатные утилиты.