Главная-Программное обеспечение-Как бороться с загрузочными вирусами? Как удалить загрузочный вирус? Дос вирусы загрузочный сектор диска чем лечить.

Как бороться с загрузочными вирусами? Как удалить загрузочный вирус? Дос вирусы загрузочный сектор диска чем лечить.

В последнее время всё чаще и чаще поступают жалобы на вирус, который производит полную блокировку компьютера и вымогательство денег , на стадии ещё до загрузки операционной системы (красные буквы на черном экране). Проблема в том, что для неподготовленного пользователя ситуация может стать действительно тупиковой: компьютер не загружается ни в обычном, ни в безопасном режиме, загрузка и сканирование антивирусом с live-cd безрезультативна, даже попытка переустановки Windows может не увенчаться успехом ! Здесь я расскажу о способах как на самом деле легко и просто его удалить.

Данный вирус поражает MBR — главную загрузочную запись жёсткого диска, доступа к которой ни пользователь, ни операционная система доступа обычно не имеют. В этом и заключается вся сложность, и, одновременно простота его удаления.

Заражение обычно происходит во время клика на заражённой ссылке или загрузки зараженной веб-страницы. Далее компьютер через несколько секунд выключается, пытается перезагрузиться и показывает сообщение от том, что «Ваш компьютер заблокирован за просмотр, копирование и тиражирование видео с элементами педофилии… Необходимо платить штраф в размере… » и т.д. и т.п. Оплата осуществляется через Ibox-ы на кошельки Webmoney U338098752819, U225475893811, U250977606445, U193923440709, U255460166383, U229167721843, 380684668914 и др., либо пополнением счёта мобильного телефона. Существуют различные разновидности вируса для Украины и России:

Версия mbr-winlock для инопланетян (если они пользуются Windows) (шутка). Автору хватило ума написать и распространить вирус, а вот сделать надпись в правильной кодировке он не осилил))

Хочется так же отметить практически полную несостоятельность антивирусов против данной напасти: платные и с громкими названиями, как и два года назад, неспособны вовремя и адекватно реагировать против этой, действительно серьёзной угрозы:

Проверка вирусного файла sys3.exe на сайте virustotal.com показала, что на момент заражения из 43 антивирусов данный винлокер могло поймать только 5!

Каждый раз заражению соответствует наличие файла sys3.exe (собственно вирус ) во временных файлах браузера и netprotocol.exe в автозагрузке (создаёт брешь в операционной системе ) (версии данных файлов всё время изменяются и срабатываемость на них антивирусов остаётся крайне низкой , названия файлов злоумышленники пока не изменяли).

Уязвимость операционной системы Windows : пользователь просто сёрфит в интернете, а злоумышленники в это время модифицируют MBR и перезагружают компьютер!!!

Беспомощность нашей милиции/полиции в борьбе с данным видом преступлений: как ловить таких преступников они не знают, не умеют, не могут и не хотят, чем мошенники пользуются и будут пользоваться.

Люди, которые платят мошенникам — соучастники и спонсоры данных преступлений. Эти вирусы будут появляться вновь и вновь до тех пор, пока это экономически выгодно.

Способ 1. Восстановление MBR из резервной копии Acronis TrueImage

Если Вы относитесь к тем людям, которые после установки Windows, драйверов, программ и настроек сделали резервную копию системного диска — поздравляю, Ваши усилия не пропали даром! Для Вас эта проблема не является проблемой: нужно лишь загрузиться с загрузочного диска Acronis и восстановить mbr из своей резервной копии:

Загружаемся с диска Acronis True Image и выбираем пункт Recovery (восстановить)

Выбираем файл-образ системного диска

Выбираем пункт Restore disks or partitions (Восстановление дисков или разделов)

Выбираем из списка винчестер (системный), на котором нужно восстановить MBR

Нажать кнопку Proceed (Продолжить)

После перезагрузки от вируса не остаётся и следа, остаётся лишь провести «контрольную зачистку» компьютера свежими антивирусом и антитроянской программой.

Способ 2. С помощью утилиты CureIt от DrWeb либо Kaspersky TDSSKiller

Несмотря на то, что DrWeb данное заражение пропускает, результат заражения — модифицированый MBR он может с успехом лечить. Для этого нужно загрузиться с любого LiveCD и запустить эту утилиту . Вредоносная запись обезвреживается в считанные секунды:

Dr.Web CureIt! восстанавливает загрузочную запись в считанные секунды

При перезагрузке Windows загружается в нормальном режиме, как будто ничего и не было.

UPD (18.05.2012):

Новые модификации данного вируса изменяют разбивку диска на разделы. Скриншот консоли Windows Disk Management до лечения утилитой DrWeb CureIt:

После лечения и перезагрузки:

Способ 3. С помощью установочного диска Windows

Внимание! В свете последних модификаций данного вируса этим способом пользоваться НЕ РЕКОМЕНДУЕТСЯ!

Для Windows XP: вставляем установочный диск и включаем компьютер, жмём любую кнопку для подтверждения загрузки (Press any key to boot from CD…..). Ждём когда полностью загрузится диск и предложит выбор действий. Выбираем режим восстановления, кнопка R . Теперь система предложит выбрать какую ОС из найденных восстанавливать, нажимаем цифру и Enter (обычно 1). Теперь необходимо ввести пароль администратора, если его нет, то просто оставляем пустым и жмём Enter. Вот мы добрались до консоли восстановления. Вбиваем команду: FIXBOOT , Enter, вас попросят подтвердить, нажмите Y . Теперь вбиваем команду FIXMBR , Enter и опять подтверждаем нажатием Y . Всё теперь вбиваем EXIT и перезагружаемся. Можно грузиться с жёсткого диска. Всё.

Для Windows 7: загрузиться с установочного диска или флешки с windows 7 — восстановление системы — коммандная строка — bootsect /mbr All

Способ 4. Переустановка Windows

При переустановке Windows необходимо полностью удалить системный раздел, а потом создать его вновь. При этом пересоздастся и MBR.

UPD (26.01.2012):

Сегодня обнаружил тело вируса — файл

«Ваш компьютер заблокирован Internet Police за поиск и просмотр видеоматериалов содержащих педофилию, извращения, сексуальное насилие над детьми… Webmoney 380971559633 на 850 гривен»

Ситуация с обнаружением данной разновидности антивирусами пока что очень печальна . Кому интнресно, тело вируса можно взять здесь (пароль к архиву — infected):

UPD (13.07.2012):

Вчера разблокировал свежую версию, примечательной особенностью которой является почти 100% «слепота» антивирусов (в т.ч. Касперского). Рассылка данного образца по антивирусам возымела некоторое действие . Скачать тело вируса (пароль к архиву — infected):

Если у вас при включении компьютера не загружается Windows, процесс зависает на черном экране, то может быть повреждена загрузочная запись жесткого диска (MBR).

Внешние проявления

При появлении ошибки на экране сомнения пропадают.

Может выдаваться и иная информация о неисправности загрузчика HDD.

Текстовая информация может быть разная в зависимости от классификации ошибки. Но когда упоминается слово boot, то ясно, что с загрузкой непорядок.

Как восстановить MBR, доведаетесь на этой странице.

Причины

Обратите внимание на распространенные причины неисправностей загрузочного сектора HDD.

Два типа загрузчика

На старых системах до Windows XP использовался загрузчик NT Loader (NTLDR). В Windows 7, Vista и последующих версиях ОС стал применяться UEFI и EFI. Поэтому старые и новые системы на одном ПК, обычно, не ставят. В ином случае NTLDR затирает UEFI.

Сторонний софт

Ошибки в загрузочном секторе HDD могут происходить при использовании даже популярных программ для раздела винчестера. У меня такое случалось с Acronis. Такое бывает потому, что подобный софт заменяет драйвера загрузки дисков своими. Это способно испортить исходную запись MBR. Поэтому лучше пользуйтесь встроенными методами раздела жесткого диска от Windows.

Вирусы

Свои «порядки» в MBR иногда наводят вирусы. Следовательно, после восстановления загрузки HDD проверьте компьютер антивирусными программами.

Если вы уверены, что причина в вирусах, то очистите от них ПК еще до ремонта MBR. Для этого существуют утилиты известных антивирусных компаний, например — Kaspersky Rescue Disk. Их предоставляют бесплатно на официальных сайтах с инструкциями по применению.

Любая из таких программ входит в комплект софта для CD или DVD, который позволяет загружаться с компакт-диска, находить и удалять вирусы на HDD.

Восстановление загрузки Windows 7

Ремонт сектора выполняется с компакт-диска или с USB-флеш-накопителя с установочным пакетом операционной системы.

  1. Сначала вставляете DVD в дисковод или флеш-накопитель в USB-разъем с дистрибутивом Windows.
  2. Затем нужно разрешить запуск с данных устройств. Делается это в настройках BIOS.

Изменение источников загрузки

Технология следующего порядка:


Обязательно при выходе нажимаете F10, иначе изменения не сохранятся!

Работа с компакт-диска или флеш-устройства

Действуете в следующем порядке:

  1. После перезагрузки внизу появится надпись: «Press any key…». Это просят нажать любую клавишу. Нажимаете. Иначе не выйдет. Если надпись уже пропала, повторяете все сначала. Для этого жмете сразу три клавиши: Ctrl+Alt+Del. Это вызовет перезагрузку компьютера.
  2. Когда загрузитесь с DVD или «флешки», появится окно установки Windows. Слева внизу выбираете «Восстановление системы».
  3. Будут предлагать подключить сетевые возможности, выбрать языки или букву диска. Ничего не меняете и доходите до выбора систем.
  4. Выделяете нужную Windows и ставите отметку напротив «Используйте средства восстановления…».
  5. Если требуемой системы нет, то она должна появиться, когда нажмете «Загрузить драйверы».
  6. Продолжаете кнопкой «Далее».
  7. В следующем окне выбираете «Восстановление запуска», и MBR может реанимироваться в автоматическом режиме.
  8. Если сектор не заработал, тогда жмете «Командная строка».
  9. В командной строке вызываете утилиту Bootrec и пишете для нее, чтобы она отремонтировала MBR: bootrec /fixmbr . Каждую команду заканчиваете клавишей Enter.
  10. Затем создаете новый загрузочный сектор: bootrec / fixboot . Для выхода из программы набираете exit и помните, что нужно нажать Enter.

Если исправления не помогли

Имеется еще одна команда реанимации MBR — bootsect /NT60 SYS . После нее пробуйте снова загрузиться.

В случае неудачной попытки пишите в командной строке так: bootsect /rebuildbcd. Произойдет поиск операционных систем, установленных на ПК.

Теперь снова попытайтесь зайти в Windows. Обратите внимание, что в списке систем сейчас будет на одну больше. Пробуйте зайти в каждую из них. Должно получиться!

Нестандартный способ

Если не спасли все варианты восстановления сектора, то рекомендуется переустанавливать Windows. А как ни хочется иногда это делать! Ведь правда?

Я тоже так подумал и решил поставить рядом еще одну маленькую систему. Что означает «маленькую»? Это система-загрузчик. Она пустая: я не ставил на нее драйвера и свои программы, потому что в ней не работаю. Но зато она загружается!

То, что было нужно, я добился: на винчестере появился рабочая загрузочная область. Теперь в прежнюю систему я нормально захожу. Недостаток в том, что потерял около 14 Гб места на диске. Если вам это не страшно, можете взять такой способ на вооружение !

Как исправить сектор в Windows 8-10 и Vista?

Для Vista и более поздних версий Windows подходят те же методы, что и для «семерки», отличается лишь дизайн. Например, в «восьмерке» он такой.

Но пункты остаются те же. Поэтому описывать их не будем. Используйте описанную выше инструкцию для Windows 7.

В Windows XP

В «экспишке» принцип реанимации сектора аналогичный. Но вход немного другой.Сейчас его увидите:

  1. После загрузки с компакт-диска начинается копирование файлов системы на винчестер.
  2. Потом появляется окно выбора действий.
  3. Выбираете вариант восстановления с помощью консоли, поэтому жмете клавишу R.
  4. Далее, спросят о том, в какую систему заходить. Когда она одна, то выбирать нечего, но ответить нужно. Для этого нажимаете на клавиатуре цифру «1», если написано: «1. C: \WINDOWS», — или жмете на другую цифру, которая стоит около нужной ОС.
  5. Затем появляется черный экран DOS-режима. Это та же командная строка, но на всю площадь монитора. Набираете fixboot и нажимаете Enter.
  6. Вас переспросят о том, хотите ли записать новый сектор загрузки.
  7. Отвечаете положительно: пишите Y. Напомню, что Enter жмете после каждой введенной команды или своего ответа.
  8. Потом появляется запись об успешной операции, если все прошло верно.

Если мы захотим избавиться от текущей структуры жёсткого диска – убрать все разделы на нём и вернуть ему исходное нераспределённое пространство, в среде активной Windows с использованием её штатных средств сможем сделать это при соблюдении двух условий. Во-первых, в качестве оперируемого диска — того, на котором хотим убрать все разделы, естественно, не должно выступать хранилище текущей ОС.

Под хранилищем понимаются либо все разделы системы, либо как минимум один из них, например, загрузочный. Во-вторых, на таком оперируемом диске не должно существовать защищённых от удаления разделов. Если ранее оперируемый диск имел стиль разметки MBR , с помощью утилиты в составе Windows мы без проблем удалим все пользовательские и системные разделы.

И превратим дисковое пространство в нераспределённое, на базе которого сможем создать новую структуру разделов под другие задачи.

А вот пространство GPT -дисков, на которых ранее была установлена Windows, таким образом мы полностью не сможем очистить. Для скрытого системного EFI -раздела не будут доступны ни функция удаления, ни любые иные возможности.

Даже если избавиться от всех остальных разделов, EFI -раздел останется.

Подобно последнему, на носителях OEM -устройств могут также существовать неудаляемые служебные Recovery -разделы, необходимые для отката Windows до заводских настроек.

Как очистить жёсткий диск с защищёнными разделами от структуры — удалить все разделы, убрать стиль разметки, чтобы он стал таким, как до инициализации? Рассмотрим несколько вариантов, как это можно осуществить.

1. Командная строка

Проводить очистку носителей данных от их структуры умеет штатный Windows-инструмент – командная строка . Важный нюанс: запущена она должна быть от имени администратора .

В её окне вводим последовательно:

diskpart list disk

Здесь вместо нуля каждый должен подставить свой порядковый номер.

Последний шаг – ввод команды для очистки носителя от структуры:

clean

Всё – диск очищен от разделов и инициализации. После этого можем снова обратиться к утилите , чтобы сформировать структуру по новой.

Выбираем GPT — или MBR -стиль разметки.

2. Процесс установки Windows

Удалять скрытые разделы диска умеет процесс установки Windows. Если к компьютеру подключён установочный носитель системы, можно загрузиться с него и на этапе выбора места её установки убрать разделы. А затем прекратить установку и перезагрузить компьютер.

Правда, этот вариант подойдёт только для пользователей, которые хорошо знают оперируемый диск. Поскольку установочный процесс отображает дисковое пространство в виде перечня разделов, высока вероятность ошибочно повредить структуру неоперируемого носителя.

Хейтеры командной строки могут прибегнуть к стороннему софту для работы с дисковым пространством типа Acronis Disk Director 12 . Это более функциональный, более юзабильный и даже в каком-то смысле более безопасный способ проведения операций с разметкой носителей данных.

3. Acronis Disk Director 12

И менеджер работы с дисками от компании Acronis , и его аналоги примечательны чёткой и понятной подачей структуры дисков. Более того, подобного рода программы в составе LiveDisk – это единственный способ решить поставленную в статье задачу, если оперируемый носитель является единственным таковым в составе компьютера. Чтобы с помощью Acronis Disk Director 12 избавиться от структуры диска, выбираем его, например, в визуальном представлении.

И задействуем функцию .

Acronis нас предупреждает, что на очищаемом носителе есть загрузочные разделы. И таким образом защищает нас от необдуманных решений. Дело в том, что у двух Windows, установленных на разных дисках, могут быть как свои загрузчики, так и один общий. Важно проверить этот момент: у оставляемой Windows должны быть свои разделы загрузки:

Либо «Зарезервировано системой» (MBR) ;
Либо «Восстановить» и «EFI» (GPT) .

Но и с нею бывают проблемы. Когда компьютер под управлением этой ОС отказывается загружаться, может потребоваться восстановление загрузочного сектора ХДД, с которого происходит инициализация и старт всей системы.

Если проблема не связана с действиями пользователя, как правило, встроенные средства диагностики Windows 7 самостоятельно смогут решить проблему, достаточно дождаться перезагрузки после неудачного старта, в которой вам предложат загрузится в средство восстановления системы и там выбрать вариант самостоятельного исправления.

Итак, если вы столкнулись с проблемами, описанными в начале этого материала, первым делом успокойтесь, ничего страшного не случилось и все можно поправить, так как восстановление загрузочного сектора для современной операционной системы - процедура штатная.

Ваши действия будут отличаться в зависимости от того, что именно привело к невозможности загрузиться в «семерку».

Если вы установили поверх Win7 операционную систему WinXP - значит, вам следует скачать программу EasyBCD. Запустив ее в XP вы сможете в несколько простых действий восстановить загрузчик и вернуть в список загрузки Windows 7.

Если же вы, например, установили Windows XP поверх Windows 7 и загружались через EasyBCD, а затем, по какой-то причине решили снести на ХДД раздел с XP - значит у вас более сложная ситуация. Удалив XP, вы удалили и EasyBCD, а значит, теперь компьютер не знает, как ему загрузить хоть какую-то ОС.

Чтоб восстановить загрузочный сектор Windows 7 придется вспоминать, где у вас лежит диск восстановления Win7 (вы конечно же его создали, правда?) или, если ответ отрицательный, то ищем диск Не важно, что вы нашли, что есть, то и вставляйте в привод. Теперь необходимо загрузиться с диска, и войти в раздел «Восстановление системы». С помощью утилиты Bootrec.exe, которая имеется на установочном диске и диске восстановления «семерки» восстановление загрузочного сектора Win7 не займет много времени.

Когда вы выберете «Восстановление системы», у вас после непродолжительного ожидания появятся варианты, скорее всего, восстановить будет возможным только одну ОС - Windows 7. На следующем экране внизу, вы увидите опцию «Командная строка», нажмите на нее и откроется окно, в котором необходимо будет набрать несколько команд.

Сначала следует проверить, все ли в порядке с утилитой Bootrec, для этого введите в bootrec и нажмите клавишу «ввод» (Enter). Далее каждую команду необходимо будет завершать нажатием этой клавиши. Появится текст, описывающий возможности утилиты.

Для того чтобы начать восстановление загрузочного сектора, наберем команду

Если в ответ компьютер напишет что «Операция успешно завершена» значит все в порядке и загрузчик перезаписался. Можно переходить ко второй части, набираем команду

bootrec /fixboot

После того как вы нажмете ввод, компьютер сформирует новый загрузочный сектор, все теперь можно набрать команду

После всех этих манипуляций можно и наслаждаться нормальной работой вашей ОС.

Как вы убедились, восстановление загрузочного сектора ОС Windows 7 - это действительно очень простая процедура.

Загрузчик Grub - это загрузчик, который используется по умолчанию в большинстве дистрибутивов Linux. Grub расшифровывается как GRand Unified Bootloader, он поддерживает загрузку не только Linux, но и Widnows, и DOS.

Если вы устанавливали Linux, а потом по каким-либо причинам решили его удалить и вернуть Windows или создали загрузочную флешку Linux, но теперь она вам больше не нужна, нужно удалить загрузчик Grub. В этой инструкции мы рассмотрим, как удалить загрузчик Grub из MBR или из UEFI, также поговорим о том, как удалить Grub с флешки.

Как удалить загрузчик Grub и восстановить Windows

Если на вашем компьютере установлено две операционные системы, Windows и Linux, и вы хотите стереть Linux и его загрузчик, восстановив загрузчик Widows, и у вас используется таблица MBR, то это сделать очень просто.

В сети часто советуют способ: взять установочный диск Windows, загрузиться с него в режиме восстановления и выполнить команды:

bootrec \fixboot

Это действительно ответ на вопрос "как удалить Grub и восстановить загрузчик Windows?", и он работает. Но есть способ намного проще. Вам даже не придётся перезагружать компьютер. Утилита Bootice позволяет восстановить загрузчик Windows и удалить Grub с жёсткого диска в несколько кликов.

Скачать утилиту можно с softpedia , потому что на официальном сайте всё по-китайски. Только выберите правильную разрядность для своей системы. Запустите утилиту, выделите диск, на котором у вас установлен загрузчик Grub, затем нажмите кнопку Proccess MBR :

Затем Windows NT 5.x / 6.x MBR :

И нажмите кнопку Config / Install :

И готово: вы смогли успешно полностью удалить загрузчик Grub. Можете перезагружаться и проверять.

Как удалить загрузчик Grub в UEFI

Эта проблема тоже решается с помощью утилиты Bootice. Только на это раз вам нужна именно 64-битная версия программы.

Одно из преимуществ UEFI на MBR в том, что здесь можно устанавливать сразу несколько загрузчиков на специальный раздел. Для удаления загрузчика Grub и восстановления функциональности Windows достаточно переместить Grub чуть ниже в очереди загрузки UEFI.

Откройте программу, перейдите на вкладку UEFI и нажмите Edit Boot Enteries . Откроется такое окно:

Здесь у вас есть два варианта действий. Либо опустить Grub ниже загрузчика Widnows кнопкой Down , либо полностью удалить запись о загрузчике кнопкой Del . Но в обоих случаях файлы загрузчика останутся на диске. Полностью удалить загрузчик Grub со всеми его файлами нужно из командной строки. Это немного сложный процесс, но всё же мы его разберём.

Кликните в левом нижнем углу экрана правой кнопкой мыши, в открывшемся контекстном меню выберите Командная строка от имени администратора .

Затем смотрим доступные диски:

И выбираем наш единственный диск, на котором сейчас установлена Windows, а раньше была установлена Ubuntu:

После того, как был выбран диск, мы можем посмотреть список разделов на нём:

Среди этих разделов есть и раздел с файлами EFI, для обычной системы он скрыт, но не для этой утилиты. В нашем случае это Volume 2. Как правило, это небольшой раздел с файловой системой FAT32 и отмеченный как системный.

Мы выбрали этот раздел текущим с помощью команды:

Затем назначим ему букву, чтобы можно было с ним работать:

assign letter=D:

Переходим в папку EFI:

Удаляем папку с файлами загрузчика Ubuntu:

Готово: удаление загрузчика Grub завершено, и теперь его файлов больше нет в системе.

Как удалить Grub с флешки

На флешках, как правило, используется таблица разделов MBR. Чтобы удалить загрузчик Grub с флешки недостаточно просто её отформатировать. Загрузчик записывается в таблицу MBR, а поэтому нам придётся её пересоздать. Очень не рекомендую использовать этот способ для удаления загрузчика Grub с жёсткого диска, потому что вы потеряете все данные.

Работать будем в системе Linux. Сначала посмотрите, какое имя устройства у вашей флешки, например, с помощью программы Gparted или в терминале командой:

Затем удалим полностью существующую таблицу разделов:

dd if=/dev/zero of=/dev/sdc count=512

Теперь, с помощью той же Gparted создаём новую таблицу разделов:

Создаём раздел на флешке и форматируем в файловую систему FAT32:

Теперь вы знаете, как удалить MBR с флешки, только не сотрите его с жёсткого диска, потому что потом будет сложно восстанавливать.

Выводы

Я не знаю, зачем вам понадобилось удалять Linux. Это отличная операционная система, правда ещё остаётся оборудование, которое она не поддерживает или поддерживает не полностью. Не сдавайтесь быстро: если Linux не работает на одном устройстве, то, возможно, в будущем у вас появится другой компьютер или ядро начнёт поддерживать ваш ноутбук. Пробуйте и экспериментируйте. Во всяком случае теперь вы знаете, как удалить Grub с жёсткого диска. Если остались вопросы - задавайте в комментариях.

Похожие публикации: