Как удалить загрузочный вирус? Загрузочные вирусы. Boot вирус Удаление вируса из загрузочного сектора

Намедни заочно познакомился с новым вирусом (где Вы их находите, ей богу?), который просит перевести примерно 25 долларов на определённый кошелёк в Webmoney в счёт погашения штрафа за просмотр, копирование и тиражирование видео взрослого характера.

Под «заочно» я подразумеваю, что сам я вирус не удалял, поэтому могу ошибаться. Скриншот прислали по ммс, и, судя по всему, вирус грузится до загрузки Windows.

Кроме удаления вируса, мы сегодня попутно научимся восстанавливать загрузочный сектор Windows XP и 7.

В первую очередь нам нужно узнать, когда загружается вирус. Определить это довольно просто — нужно проверить реакцию ПК на стандартные комбинации клавиш:

  • Windows+L — смена пользователя
  • Ctrl+Alt+Del или Ctrl+Shift+Esc — диспетчер задач

Если по нажатию Ctrl+Alt+Del происходит перезагрузка ПК или вообще ничего не происходит, то можно сказать, что вирус грузится до запуска системы и находится в MBR секторе (загрузочный сектор Windows). Есть два варианта решения данной проблемы:

Восстанавливаем загрузочный сектор Windows.

Кстати, аналогичным способом восстанавливают повреждённый загрузчик Windows в том случае, когда на экране Вы видите такое сообщение: disk read error occurred press ctrl+alt+del to restart или NTLDR is missing.

Нам понадобится диск с Windows, желательно той (или такой же), которая уже установлена на ПК. В Bios выставляем загрузку с диска и дожидаемся запуска установки Windows. Дальнейшие действия зависят от системы:

При Windows XP .

При появлении надписи «Вас приветствует мастер установки» (текстовая часть загрузки) нажимаем кнопку R (или F10), чтобы запустить консоль восстановления. Появится консольная строка, если есть пароль администратора — вводим его, затем вводим команды:

  • fixboot c: (если система на диске C)

Опять загружается в консоль, и вводим эти команды:

  • fixmbr c:
  • fixmbr

Вынимаем диск и пробуем загрузить как обычно. Если система загрузились удачно, начинаем устанавливать все типы антивирусов и искать вредоносный файл, так как, после перезагрузки вирус может снова появится. Не перезагружаем компьютер, пока его не находим.

Если антивирусы не находят, пробуйте поиск файлов Windows (F3) по дате (предположительного заражения), включая скрытые и системные файлы с маской *.EXE или *.BAT. Пока точно где он не могу сказать, так как не сталкивался.
Если загружается опять вирус — проделываем оба предыдущих шага, плюс вводим ещё эти команды:

  • bootcfg /rebuild
При Windows 7.

Вставляем диск и загружаемся с него.
При загрузке с диска выбираем «Восстановление системы» («Repair your computer»). Далее выбираем нашу систему (Windows 7 на диске C:). В окне «Параметры восстановления системы» выбираем «Командная строка» («Command Prompt»). В консоле пишем:

  • bcdedit /export C:\BCD_Backup
  • cd boot
  • attrib bcd -s -h -r
  • ren c:\boot\bcd bcd.old
  • bootrec /RebuildBcd

Это перестроит и восстановит загрузочную область Windows 7. Перезагружаемся без диска. Поиск вируса аналогичен варианту с Windows XP.

Если вирус блокирует любые действия в Windows

Если вирус грузится в самой системе, и Вы не можете ничего сделать кроме перезагрузки ПК, то можно попробовать такой способ разблокировки:

  • Зажимаем Ctrl+Shift+Esc (Ctrl+Alt+Del) до момента, пока не начнёт мерцать диспетчер задач.
  • Не отпуская клавиш, ищем процесс вируса и кликаем «Cнять задачу».
  • Далее нажмите «новая задача» и введите «regedit» (редактор реестра)
  • Переходим в раздел HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
  • Проверяем два параметра «Shell» и «Userinit».
  • Значением параметра Shell должно быть «Explorer.exe» .
  • Значение Userinit – «C:\WINDOWS\system32\userinit.exe,» (в конце запятая обязательно).
  • Перезагружаем ПК.
  • Обязательно проверьте компьютер на вирусы установленным антивирусом или утилитой.
  • В случае неудачи — проделайте этот способ в безопасном режиме.

Для сканирования подойдут бесплатные утилиты.

Если у вас при включении компьютера не загружается Windows, процесс зависает на черном экране, то может быть повреждена загрузочная запись жесткого диска (MBR).

Внешние проявления

При появлении ошибки на экране сомнения пропадают.

Может выдаваться и иная информация о неисправности загрузчика HDD.

Текстовая информация может быть разная в зависимости от классификации ошибки. Но когда упоминается слово boot, то ясно, что с загрузкой непорядок.

Как восстановить MBR, доведаетесь на этой странице.

Причины

Обратите внимание на распространенные причины неисправностей загрузочного сектора HDD.

Два типа загрузчика

На старых системах до Windows XP использовался загрузчик NT Loader (NTLDR). В Windows 7, Vista и последующих версиях ОС стал применяться UEFI и EFI. Поэтому старые и новые системы на одном ПК, обычно, не ставят. В ином случае NTLDR затирает UEFI.

Сторонний софт

Ошибки в загрузочном секторе HDD могут происходить при использовании даже популярных программ для раздела винчестера. У меня такое случалось с Acronis. Такое бывает потому, что подобный софт заменяет драйвера загрузки дисков своими. Это способно испортить исходную запись MBR. Поэтому лучше пользуйтесь встроенными методами раздела жесткого диска от Windows.

Вирусы

Свои «порядки» в MBR иногда наводят вирусы. Следовательно, после восстановления загрузки HDD проверьте компьютер антивирусными программами.

Если вы уверены, что причина в вирусах, то очистите от них ПК еще до ремонта MBR. Для этого существуют утилиты известных антивирусных компаний, например — Kaspersky Rescue Disk. Их предоставляют бесплатно на официальных сайтах с инструкциями по применению.

Любая из таких программ входит в комплект софта для CD или DVD, который позволяет загружаться с компакт-диска, находить и удалять вирусы на HDD.

Восстановление загрузки Windows 7

Ремонт сектора выполняется с компакт-диска или с USB-флеш-накопителя с установочным пакетом операционной системы.

  1. Сначала вставляете DVD в дисковод или флеш-накопитель в USB-разъем с дистрибутивом Windows.
  2. Затем нужно разрешить запуск с данных устройств. Делается это в настройках BIOS.

Изменение источников загрузки

Технология следующего порядка:


Обязательно при выходе нажимаете F10, иначе изменения не сохранятся!

Работа с компакт-диска или флеш-устройства

Действуете в следующем порядке:

  1. После перезагрузки внизу появится надпись: «Press any key…». Это просят нажать любую клавишу. Нажимаете. Иначе не выйдет. Если надпись уже пропала, повторяете все сначала. Для этого жмете сразу три клавиши: Ctrl+Alt+Del. Это вызовет перезагрузку компьютера.
  2. Когда загрузитесь с DVD или «флешки», появится окно установки Windows. Слева внизу выбираете «Восстановление системы».
  3. Будут предлагать подключить сетевые возможности, выбрать языки или букву диска. Ничего не меняете и доходите до выбора систем.
  4. Выделяете нужную Windows и ставите отметку напротив «Используйте средства восстановления…».
  5. Если требуемой системы нет, то она должна появиться, когда нажмете «Загрузить драйверы».
  6. Продолжаете кнопкой «Далее».
  7. В следующем окне выбираете «Восстановление запуска», и MBR может реанимироваться в автоматическом режиме.
  8. Если сектор не заработал, тогда жмете «Командная строка».
  9. В командной строке вызываете утилиту Bootrec и пишете для нее, чтобы она отремонтировала MBR: bootrec /fixmbr . Каждую команду заканчиваете клавишей Enter.
  10. Затем создаете новый загрузочный сектор: bootrec / fixboot . Для выхода из программы набираете exit и помните, что нужно нажать Enter.

Если исправления не помогли

Имеется еще одна команда реанимации MBR — bootsect /NT60 SYS . После нее пробуйте снова загрузиться.

В случае неудачной попытки пишите в командной строке так: bootsect /rebuildbcd. Произойдет поиск операционных систем, установленных на ПК.

Теперь снова попытайтесь зайти в Windows. Обратите внимание, что в списке систем сейчас будет на одну больше. Пробуйте зайти в каждую из них. Должно получиться!

Нестандартный способ

Если не спасли все варианты восстановления сектора, то рекомендуется переустанавливать Windows. А как ни хочется иногда это делать! Ведь правда?

Я тоже так подумал и решил поставить рядом еще одну маленькую систему. Что означает «маленькую»? Это система-загрузчик. Она пустая: я не ставил на нее драйвера и свои программы, потому что в ней не работаю. Но зато она загружается!

То, что было нужно, я добился: на винчестере появился рабочая загрузочная область. Теперь в прежнюю систему я нормально захожу. Недостаток в том, что потерял около 14 Гб места на диске. Если вам это не страшно, можете взять такой способ на вооружение !

Как исправить сектор в Windows 8-10 и Vista?

Для Vista и более поздних версий Windows подходят те же методы, что и для «семерки», отличается лишь дизайн. Например, в «восьмерке» он такой.

Но пункты остаются те же. Поэтому описывать их не будем. Используйте описанную выше инструкцию для Windows 7.

В Windows XP

В «экспишке» принцип реанимации сектора аналогичный. Но вход немного другой.Сейчас его увидите:

  1. После загрузки с компакт-диска начинается копирование файлов системы на винчестер.
  2. Потом появляется окно выбора действий.
  3. Выбираете вариант восстановления с помощью консоли, поэтому жмете клавишу R.
  4. Далее, спросят о том, в какую систему заходить. Когда она одна, то выбирать нечего, но ответить нужно. Для этого нажимаете на клавиатуре цифру «1», если написано: «1. C: \WINDOWS», — или жмете на другую цифру, которая стоит около нужной ОС.
  5. Затем появляется черный экран DOS-режима. Это та же командная строка, но на всю площадь монитора. Набираете fixboot и нажимаете Enter.
  6. Вас переспросят о том, хотите ли записать новый сектор загрузки.
  7. Отвечаете положительно: пишите Y. Напомню, что Enter жмете после каждой введенной команды или своего ответа.
  8. Потом появляется запись об успешной операции, если все прошло верно.


Описание проблемы: Сразу после включения питания компьютера начинает работать процедура проверки POST (Power On Self Test ). Процедура POST считывает с жесткого диска главную загрузочную запись (MBR - Master Boot Record ) и записывает ее в оперативную память компьютера. Главная загрузочная запись содержит программу первоначальной загрузки и таблицу разделов, в которой описаны все разделы жесткого диска. Загрузочные вирусы при заражении заменяют главную загрузочную запись, после чего компьютер загружается как обычно, но вирус уже находится в памяти и может контролировать работу всех программ и драйверов. После этого при каждой загрузке компьютера вирус получает управление и резидентно размещает себя в памяти.

Решения проблемы: Если антивирус не может удалить вирус из MBR сектора, то для решения проблемы можно воспользоваться средствами Windows, а именно - восстановление системы. При помощи восстановления системы можно перезаписать основную загрузочную запись загрузочного раздела, и таким образом удалить вирус. Для работы понадобится загрузочный диск Windows.

Для запуска восстановления системы, необходимо запустить компьютер с загрузочного диска. Чтобы загрузиться с загрузочного диска нужно включить компьютер и нажимать кнопку Delete для входа в настройки BIOS, Установить загрузку с CD-ROM"а. Вставить загрузочный диск с установочным пакетом Windows и перезагрузить компьютер. Когда установщик Windows загрузит свои файлы в оперативную память ПК, появится диалоговое окно Установка Windows, содержащее меню выбора, из которого нужно выбрать пункт *Чтобы восстановить Windows с помощью консоли восстановления, нажмите .

Необходимо нажать клавишу R . Загрузится консоль восстановления. Если на ПК установлена одна ОС, и она (по умолчанию) установлена на диске C: ,

то появится следующее сообщение:

В какую копию Windows следует выполнить вход?

Нужно ввести 1 , нажать Enter и ввести пароль администратора. Появится приглашение системы, ввести fixmbr.

Появится сообщение:

**ПРЕДУПРЕЖДЕНИЕ**

На этом компьютере присутствует нестандартная или недопустимая основная загрузочная запись. При использовании FIXMBR можно повредить имеющуюся таблицу разделов. Это приведет к утере доступа ко всем разделам текущего жесткого диска.

Как удалить баннер, блокирующий компьютер

В последнее время стали распространены баннеры нового типа, которые прописываются в загрузочный сектор диска (MBR) и блокируют компьютер еще до загрузки Windows. Это так называемый MBR.Lock (МБР-лок).

Выглядят они все одинаково примитивно, так как выполняются в текстовом режиме при старте компьютера. Обычно это красный текст на черном фоне, в котором в общем нет ничего нового, с требованием оплатить штраф за просмотр гей-порно, детского порно и видеоматериалов содержащих насилие. В рунете распространяются мбр-локи с требованием оплатить штраф на счет абонента МТС или БИЛАЙН, в Украине и Белорусии на электронный кошелек WebMoney (ВебМани)

Естественно никому платить не нужно - это не поможет. Ведь терминал по оплате мобильного телефона просто не может напечатать никакой код разблокировки. Искать код разблокировки тоже бессмысленно. Часто кодов для разблокировки баннеров просто не существует.

В этой статье рассмотрим методы борьбы с трояном MBR.Lock для Windows XP и Windows 7.

Удаление баннера в загрузочном секторе Windows XP через консоль восстановления

Не все так страшно, как кажется. На самом деле удаление баннера MBR.lock намного проще, чем . Необходимо выполнить восстановление MBR (главной загрузочной записи).

Для лечения нам понадобится установочный диск Windows XP. Если у вас нет диска, его образ можно скачать и записать на болванку CD-R, например, с помощью программы DeepBurner (дистрибутив ). Подробно о том, как записать диск из образа с помощью DeepBurner, читайте в статье
Загружаемся с диска (если загрузка идет с диска, скачанного по ссылке выше, выбираем пункт меню Установка Windows в ручном режиме).

Нажимаем клавишу R для запуска консоли восстановления Windows XP.
После загрузки консоли, будет задан вопрос в какую копию Windows выполнить вход.

Выбираем свою копию. Если у вас всего одна ОС, вводим 1 и нажимfем Enter.

Потребуется ввести пароль администратора. Вводим пароль и нажимаем Enter. Если пароль не стоит, то ничего не вводим, а просто нажимаем Enter. После этого выполнится вход в систему. Об этом будет свидетельствовать командная строка.

Вводим команду fixmbr и нажимаем Enter. На вопрос Подтверждаете запись новой MBR? вводим с клавиатуры в латинской раскладке y , что означает yes и нажимаем Enter

Если появится сообщение Новая основная загрузочная запись успешно сделана, значит все прошло успешно и MBR восстановлена. Вводим команду exit и нажимаем Enter. После этого компьютер перезагрузится. Вот и все, компьютер разблокирован!

Как восстановить MBR в Windows 7 - компьютер заблокирован до загрузки Windows

Процесс восстановления MBR и разблокировки компьютера в Windows 7 аналогичен восстановлению MBR в Windows XP. Здесь я опишу восстановление MBR и соответственно разблокировки компьютера от Trojan.MBRLock с помощью ERD Commander.

2) Ставим в БИОСе загрузку с диска или флешки (в зависимости от того, что записали). Загружаемся. В Меню выбора версии ERD Commander выбираем версию 6.5 for Windows 7.

Начнется загрузка. Некоторое время может быть просто черный экран и ощущение, что компьютер завис. Это не так. Просто образ загружается сначала в оперативную память и при этом на экране ничего не отображается.

3) После окончания загрузки будет предложено подключиться к сети в фоновом режиме. Отказываемся.

4) Нажимаем Да на вопрос о переназначении букв дисков.

5) Выбираем раскладку клавиатуры.

7) В появившемся меню выбираем Командная строка

Появится окно командной строки. Вводим команду bootrec.exe /fixmbr и нажимаем Enter.

Если мы захотим избавиться от текущей структуры жёсткого диска – убрать все разделы на нём и вернуть ему исходное нераспределённое пространство, в среде активной Windows с использованием её штатных средств сможем сделать это при соблюдении двух условий. Во-первых, в качестве оперируемого диска — того, на котором хотим убрать все разделы, естественно, не должно выступать хранилище текущей ОС.

Под хранилищем понимаются либо все разделы системы, либо как минимум один из них, например, загрузочный. Во-вторых, на таком оперируемом диске не должно существовать защищённых от удаления разделов. Если ранее оперируемый диск имел стиль разметки MBR , с помощью утилиты в составе Windows мы без проблем удалим все пользовательские и системные разделы.

И превратим дисковое пространство в нераспределённое, на базе которого сможем создать новую структуру разделов под другие задачи.

А вот пространство GPT -дисков, на которых ранее была установлена Windows, таким образом мы полностью не сможем очистить. Для скрытого системного EFI -раздела не будут доступны ни функция удаления, ни любые иные возможности.

Даже если избавиться от всех остальных разделов, EFI -раздел останется.

Подобно последнему, на носителях OEM -устройств могут также существовать неудаляемые служебные Recovery -разделы, необходимые для отката Windows до заводских настроек.

Как очистить жёсткий диск с защищёнными разделами от структуры — удалить все разделы, убрать стиль разметки, чтобы он стал таким, как до инициализации? Рассмотрим несколько вариантов, как это можно осуществить.

1. Командная строка

Проводить очистку носителей данных от их структуры умеет штатный Windows-инструмент – командная строка . Важный нюанс: запущена она должна быть от имени администратора .

В её окне вводим последовательно:

diskpart list disk

Здесь вместо нуля каждый должен подставить свой порядковый номер.

Последний шаг – ввод команды для очистки носителя от структуры:

clean

Всё – диск очищен от разделов и инициализации. После этого можем снова обратиться к утилите , чтобы сформировать структуру по новой.

Выбираем GPT — или MBR -стиль разметки.

2. Процесс установки Windows

Удалять скрытые разделы диска умеет процесс установки Windows. Если к компьютеру подключён установочный носитель системы, можно загрузиться с него и на этапе выбора места её установки убрать разделы. А затем прекратить установку и перезагрузить компьютер.

Правда, этот вариант подойдёт только для пользователей, которые хорошо знают оперируемый диск. Поскольку установочный процесс отображает дисковое пространство в виде перечня разделов, высока вероятность ошибочно повредить структуру неоперируемого носителя.

Хейтеры командной строки могут прибегнуть к стороннему софту для работы с дисковым пространством типа Acronis Disk Director 12 . Это более функциональный, более юзабильный и даже в каком-то смысле более безопасный способ проведения операций с разметкой носителей данных.

3. Acronis Disk Director 12

И менеджер работы с дисками от компании Acronis , и его аналоги примечательны чёткой и понятной подачей структуры дисков. Более того, подобного рода программы в составе LiveDisk – это единственный способ решить поставленную в статье задачу, если оперируемый носитель является единственным таковым в составе компьютера. Чтобы с помощью Acronis Disk Director 12 избавиться от структуры диска, выбираем его, например, в визуальном представлении.

И задействуем функцию .

Acronis нас предупреждает, что на очищаемом носителе есть загрузочные разделы. И таким образом защищает нас от необдуманных решений. Дело в том, что у двух Windows, установленных на разных дисках, могут быть как свои загрузчики, так и один общий. Важно проверить этот момент: у оставляемой Windows должны быть свои разделы загрузки:

Либо «Зарезервировано системой» (MBR) ;
Либо «Восстановить» и «EFI» (GPT) .

Читайте также:

Категории:

Популярное: