-
ПОмогите идентифицировать вирус! Help!
Здравствуйте форумчане!
Хочу обратиться к вам за помощью по локализации вируса, который сидит в моём компе. Враг страшен тем, что он не виден и абсолютно не понятно какой это фраг.Это самое ужасное что может быть, так как непонятно тогда, как и чем этот вирусняк можно лечить. Надеюсь моё описание симптомов поможет Вам узнать врага и вы сможете дать рекомендации по его уничтожению
Итак симптомы такие: есть работающая винда. работает себе.никого не трогает...и тут ни с того ни с чего начинают пропадать папки с файлами. Причем вместо папок появляется виндовый значок с названием директории и размером 32Кб. И чем боольше живёт винда, тем больше пропадает папок !
Когда я начинаю сносить всю винду и устанавливать заново, потерянные файли из директорий появляются в папке потерянных файлов виндовса FOUND.000. Размеры "сворованных" файлов достигают 1-2 гигабайта, а количество переваливает за 2 000 штук. Поэтому приходиться переименовывать расширение файлов file001.chk и думать, чем этот файл был раньше. И потом распихивать всё обратно. Т.е. файлы не удалаются, а теряются а потом появляются непонатно где все подряд.
Стоит XP, антивирус Norton 2005.
Что то мне подсказывает, что вирус сидит в загрузочном секторе...хотя припереустановке делаю компанду fdisk.exe /mbr
Не помогает!
Идинтифицируете пожалстьа, что это за вирус и дайте советы по его уничтожению.
Заранее спаисбо.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Поскольку гадать лучше всего по логам (c), то выполните правила.
А может, это и не зверь вовсе. Какой-нибудь кривой "оптимизатор" диска...
-
-
Выполните правила, а то все гадалки в отпуске
-
-
Сообщение от
pig
А может, это и не зверь вовсе. Какой-нибудь кривой "оптимизатор" диска...
...или диск накрывается. или контроллер. или комп разогнанный.
так-что сначала логи, а потом все остальное
-
NTFS/FAT32 накрылся - 100%, только формат. Диск тестить нужно, если ошибка именно физическая, то доверия к диску нет, лучше бросить его.
Кстати, сделайте вот это в Винде: Администрирование - Просмотр событий - Система. Там будет предупреждение, короче типа вот этого:
Тип события: Предупреждение
Источник события: Disk
Категория события: Отсутствует
Код события: 52
Дата: 17.08.2006
Время: 12:40:37
Пользователь: Н/Д
Компьютер: ADMIN
Описание:
Драйвер определил, что устройство \Device\Harddisk1\DR1 предупреждает о своем отказе. Немедленно создайте архивную копию данных и замените жесткий диск. Надвигается неизбежный отказ оборудования.
Размеры "сворованных" файлов достигают 1-2 гигабайта, а количество переваливает за 2 000 штук
Нифига себе диск ... на два террабайта... Если серьезно, то всё это говорит о том, что неправильно определяется размер свободного пространства и т.д. - причин море - диск/контроллер/драйвера/переходник/разогнанная машина.
P.S.
припереустановке делаю компанду fdisk.exe /mbr
Вообще-то есть fixboot + fixmbr, а лучше chkdsk, но не в этом дело. Не хочу Вас разочаровывать, но часть диска будет безвозвратно потеряна.
-
-
To pig, Мост: Ок...понял
То orvman: хмммм..в списке событий тока уведомления по работе антивируса...к счастью ниче насчёт Диска нету Посоветуй, какой штукой диск оттестить...
Машина не разогнана...
Прикол в том...что эти потерянные файлы появляются только после переустановке системы..пока всё работает, всё ОК...Да..еще...когда устанавливается винда...для установки она почему то создаёт 8 мб.неразмеченной области...т.е. когда форматишь один диск..и удаляешь 8 мб неразмеченной области, при новой установки системы, эти 8 мб появляются снова...ерунда какая-то..
и еще вопрос: какие команды с fdisk мне нужно сделать, что бы удалить предполагаемые вирусы из всех загрузочных секторов системы ??
-
-
для проверки диска сгодится и chkdsk
на счет 8 метров не озадачивайся - так надо
ну а чтобы с помощью fdisk почикать всю заразу на винте, достаточно fdisk /mbr для обновления master boot record и отформатировать все разделы. но только fdisk желательно с загрузочного сидюка запускать, а то в зараженной системе вирус может mbr тут же обратно исправить.
-
Сообщение от
agnec
...чтобы с помощью fdisk почикать всю заразу на винте, достаточно fdisk /mbr для обновления master boot record и отформатировать все разделы...
-для полной очистки диска лучше пользовать программу DiskEdit из Norton Utilites, дело в том, что fdisk /mbr не обнуляет сам master boot record, а всего лишь переписывает/обновляет его, а с точки зрения машины это далеко не одно и тоже... т.к. после fdisk /mbr можно перегрузить машину и увидеть всё прежнее содержимое жёсткого диска на месте, а если DiskEdit`ом изменить все значения в Physical Sector: Absolute Sector 0, Absolute Sector 1 and Absolute Sector 2 на нули, то после перезагрузки машина вовсе не обнаружит hdd... и вот тогда можно и нужно пользовать fdisk, причём, если нужно сохранить все данные на hdd, то с /mbr, а если хотите заново переразбить его или сменить FAT16 на FAT32(а можно и наоборот), то просто fdisk...
P.S. надеюсь ничего не напутал... давно всё это было
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Denis просил только удалить заразу из загрузочных секторов, а не все данные с винта. так что fdisk /mbr + форматирование загрузочного раздела полностью избавят от данного вида неприятностей.