Eliberarea spațiului liber pe hard disk: WIMBoot. Terminați imaginea din Chrome

Recent, unul dintre colegii mei a venit la mine și mi-a spus că a luat un virus pe unitatea sa flash care a apărut sub forma unui folder numit imagini. Când încercați să ștergeți acest folder, dosarul este șters și reapare imediat. Nici formatarea unității flash nu vă ajută să scăpați de acest folder de imagini virale.

Pentru început, pe computer este instalat sistemul de operare Windows 7. Antivirusul este instalat gratuit, care nu vede acest virus la scanare. Este instalat și antivirusul. Program USB Securitatea discului, care este, de asemenea, ocolită de acest virus.

În primul rând, am mers la birou. Site-ul web și a descărcat programul antivirus Dr.Web Curelt. Mi-am scanat computerul cu acest program și m-am bucurat că virusul a fost detectat ca Trojan.Siggen4.36517 și a fost eliminat cu succes. Dar pentru îndepărtarea completă virusul a necesitat repornirea computerului.

Înainte de repornire, am deschis unitatea flash și am fost surprins că dosarul cu virusul numit imagini este încă pe unitatea flash și nu vrea să fie șters, deoarece acest virus se află în computer și este înregistrat automat pe orice unități USB conectate la calculatorul. După repornire, am scanat din nou computerul Dr.Web Curelt. Virusul a fost într-adevăr eliminat. Dar după ce am introdus unitatea flash în mufa USB, virusul a intrat din nou în computer de pe unitatea flash.

Apoi am decis să cred această unitate flash cu folosind Live CD cu sistemul de operare Windows XP. După introducerea acestei unități flash în computerul meu, spre surprinderea mea, folderul de imagini a fost eliminat cu succes de pe unitatea flash. După scanarea acestui computer cu programul antivirus Dr.Web Curelt, virusul images.scr, images.exe nu a fost detectat.

Acest moment m-a alarmat și, în același timp, m-a nedumerit și am mers pe internet pentru informații mai detaliate. Se pare că acest virus este relevant pentru Windows 7 și, eventual, pentru ulterior Versiuni Windows... Virusul de imagini nu funcționează pe Windows XP și, prin urmare, nu este periculos.

După ce am eliminat din nou virusul de pe computerul Windows 7 folosind Dr.Web Curelt, am introdus unitatea flash și m-am asigurat că am scăpat de virusul images.scr, images.exe.

Citește și:

1. Cryptowall este un virus capabil să vă cripteze toate fișierele. Toate sistemele de operare ale familiei Windows sunt susceptibile la activitatea sa rău intenționată. Nu poți...
2. Astăzi, tema Vault-virusurilor este destul de relevantă. Mulți utilizatori sunt adesea interesați de ce să facă în caz de infecție personală ...
3. Cum să vă protejați site-ul împotriva intrușilor - această întrebare apare probabil pentru fiecare blog începător sau proprietar de site. În internet...
4. Software antivirus pentru computer de acasă- este necesar sau nu? Cât sunt dispus să plătesc pentru asta? După părerea mea, care este răspunsul ...
5. Atacuri DoS Internetul este un mediu dur: site-urile web sunt în mod constant atacate. Atac DoS (Denial of Service) sau „refuz de serviciu”, supraîncărcare a serverului, element ...

Codul MBR, care începe imediat după ce codul BIOS este procesat, încarcă codul sectorului de boot al partiției (PBR) în memorie la 0000: 7C00 și transferă controlul acolo. Continuarea seriei de articole despre pornirea Windows, în această publicație vom lua în considerare următoarea etapă de încărcare a sistemului de operare și vom lua în considerare logica sectorului de boot al partiției PBR Windows 7.

PBR (Partition Boot Record) - înregistrare de încărcare partiție (partiție), care este a doua etapă condiționată a lansării sistem de operare Windows 7 și efectuează pașii pentru localizarea și încărcarea Boot Manager (BOOTMGR).

Adesea în anumite surse puteți găsi și nume alternativ partition boot record - Volume Boot Record (VBR, volum boot record), mai puțin denumit Partition Boot Sector (PBS, sector de boot al partiției).

Fizic PBR (VBR) este localizat pe mass-media începând cu primul sector al partiției (partiție). Vă rugăm să nu-l confundați cu primul sector al discului fizic (unitate) în care se află MBR.

În cazul sistemului de operare Windows 7, înregistrarea de pornire a partiției ocupă până la 9 sectoare fizice (câte 512 octeți fiecare). Există o opinie care de la sine PBR Windows 7 este limitată la un sector, iar toate celelalte (următoare) 8 sectoare aparțin deja codului de boot BOOTMGR. Această caracteristică nu este atât de fundamentală pentru noi și suntem de acord că pentru PBR, secțiunea pe care se află este sectoare secvențiale rezervate. În teorie, în sistemele cu partiții multiple, pot exista mai multe înregistrări PBR - o înregistrare pentru fiecare partiție primară (partiție), dar această situație este destul de rară.

Să folosim algoritmul testat anterior și să salvăm dump-ul sectorului Windows 7 PBR într-un fișier folosind utilitarul specializat DMDE. Acum să vedem cum este:

Windows 7 PBR Sector Dump - Faceți clic pentru a extinde

Coajă

0000000000 EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 00 LRђNTFS .◘ 0000000010 00 00 00 00 00 F8 00 00 3F 00 FF 00 00 08 00 00 w? i ◘ 0000000020 00 00 00 00 80 00 80 00 FF 1F 03 00 00 00 00 00 00 € i. 0000000030 55 21 00 00 00 00 00 00 02 00 00 00 00 00 00 00 U! ☻ 0000000040 F6 00 00 00 01 00 00 00 1A AA 3B C8 C2 3B C8 CC c. → Є; IV; IM 0000000050 00 00 00 00 FA 33 C0 8E D0 BC 00 7C FB 68 C0 07 ъ3АЋРј | yhА 0000000060 1F 1E 68 66 00 CB 88 16 0E 00 66 81 3E 03 00 4E ▼ ▲ hf Л € ▬. fЃ>. N 0000000070 54 46 53 75 15 B4 41 BB AA 55 CD 13 72 0C 81 FB TFSu§ґA "UN.r.Ѓy 0000000080 55 AA 75 06 F7 C1 01 00 75 03 E9 DD 00 1E 83 EC UЄu.hW. u.ee ▲ ѓm 0000000090 18 68 1A 00 B4 48 8A 16 0E 00 8B F4 16 1F CD 13 h → ґHЉ▬ ♫ ‹f▬ ▼ N. 00000000A0 9F 83 C4 18 9E 58 1F 72 E1 3B 06 0B 00 75 DB A3 џѓДћX ▼ rb; .. uЫЈ 00000000B0 0F 00 C1 2E 0F 00 04 1E 5A 33 DB B9 00 20 2B C8 ☼ B.☼. ▲ Z3Ы № + И 00000000C0 66 FF 06 11 00 03 16 0F 00 8E C2 FF 06 16 00 E8 fя.◄ .▬☼ ЋВя.▬ и 00000000D0 4B 00 2B C8 77 EF B8 00 BB CD 1A 66 23 C0 75 2D K + Иwпё "Н → f # Аu- 00000000E0 66 81 FB 54 43 50 41 75 24 81 F9 02 01 72 1E 16 fЃыTCPAu $ ЃЃ.r ▲ ▬ 00000000F0 68 07 BB 16 68 70 0E 16 68 09 00 66 53 66 53 66 h »▬ hp ♫ ▬h ○ fSfSf 0000000100 55 16 16 16 68 B8 01 66 61 0E 07 CD 1A 33 C0 BF U▬▬▬hё.fa ♫ Н → 3Аї 0000000 110 28 10 B9 D8 0F FC F3 AA E9 5F 01 90 90 66 60 1E (Nr. Ш☼ьуЄй_.ђђf` ▲ 0000000 120 06 66 A1 11 00 66 03 06 1C 00 1E 66 68 00 00 00 .fЎ◄ f..∟ ▲ fh 0000000 130 00 66 50 06 53 68 01 00 68 10 00 B4 42 8A 16 0E fP.Sh. h ґBЉ▬ ♫ 0000000 140 00 16 1F 8B F4 CD 13 66 59 5B 5A 66 59 66 59 1F ▬ ▼ ‹fN.fY)