Sabit sürücünüzde boş alan açma: WIMBoot. Görüntüyü Chrome'dan Sonlandır

Geçenlerde, meslektaşlarımdan biri bana geldi ve flash sürücüsünde, görüntüler adı verilen bir klasör şeklinde görünen bir virüs kaptığını söyledi. Bu klasörü silmeye çalıştığınızda klasör silinir ve hemen yeniden görünür. Flash sürücüyü biçimlendirmek de bu viral görüntüler klasöründen kurtulmanıza yardımcı olmaz.

Başlangıç ​​olarak, bilgisayarda Windows 7 işletim sistemi kuruludur.Antivirüs ücretsiz olarak yüklenir, tarama yaparken bu virüsü görmez. Antivirüs de yüklü. USB programı Bu virüs tarafından da atlanan Disk Güvenliği.

Öncelikle ofise gittim. Web sitesi ve Dr.Web Curelt anti-virüs programını indirdim. Bu programla bilgisayarımı taradım ve virüsün Trojan.Siggen4.36517 olarak algılanıp başarıyla kaldırılmasına sevindim. Ama için tam kaldırma virüs bilgisayarın yeniden başlatılmasını gerektiriyordu.

Yeniden başlatmadan önce flash sürücüyü açtım ve görüntü adı verilen virüsün bulunduğu klasörün hala flash sürücüde olmasına ve silinmek istememesine şaşırdım, çünkü bu virüs bilgisayarda oturuyor ve bağlı herhangi bir USB sürücüye otomatik olarak kaydediliyor. bilgisayar. Yeniden başlattıktan sonra Dr.Web Curelt bilgisayarını tekrar taradım. Virüs gerçekten kaldırıldı. Ancak flash sürücüyü USB soketine taktıktan sonra virüs flash sürücüden tekrar bilgisayara girdi.

Sonra bu flash sürücüye inanmaya karar verdim. Canlı'yı kullanmak Windows XP işletim sistemine sahip CD. Bu flash sürücüyü bilgisayarıma taktıktan sonra, şaşırtıcı bir şekilde, görüntüler klasörü flash sürücüden başarıyla kaldırıldı. Bu bilgisayarı Dr.Web Curelt antivirüs programı ile taradıktan sonra images.scr, images.exe virüsü tespit edilmedi.

Bu an beni hem korkuttu hem de şaşırttı ve daha detaylı bilgi için internete girdim. Bu virüsün Windows 7 ve muhtemelen sonraki sürümlerle alakalı olduğu ortaya çıktı. Windows sürümleri... Görüntü virüsü Windows XP'de çalışmaz ve bu nedenle tehlikeli değildir.

Virüsü Windows 7 bilgisayarından Dr.Web Curelt kullanarak yeniden temizledikten sonra flash sürücüyü taktım ve images.scr, images.exe virüsünden kurtulduğumdan emin oldum.

Ayrıca okuyun:

1. Cryptowall, tüm dosyalarınızı şifreleyebilen bir virüstür. Windows ailesinin tüm işletim sistemleri, kötü niyetli etkinliklerine karşı hassastır. Yapamazsın...
2. Bugün Vault virüsleri konusu oldukça alakalı. Birçok kullanıcı genellikle kişisel enfeksiyon durumunda ne yapılması gerektiği ile ilgilenir ...
3. Sitenizi davetsiz misafirlerden nasıl korursunuz - bu soru muhtemelen her acemi blog veya site sahibi için ortaya çıkar. İnternette...
4. için antivirüs yazılımı ev bilgisayarı- gerekli mi değil mi? Bunun için ne kadar ödemeye hazırım? Bana göre cevap nedir...
5. DoS saldırıları İnternet zorlu bir ortamdır: Web siteleri sürekli olarak saldırıya uğramaktadır. DoS saldırısı (Hizmet Reddi) veya "hizmet reddi", sunucu aşırı yüklenmesi, öğe ...

BIOS kodu işlendikten hemen sonra başlayan MBR kodu, bölüm önyükleme kesimi kodunu (PBR) 0000:7C00'de belleğe yükler ve kontrolü oraya aktarır. hakkında yazı dizisinin devamı Windows'u başlatmak, bu yayında işletim sistemini yüklemenin bir sonraki aşamasını ele alacağız ve bölümün önyükleme sektörünün mantığını ele alacağız. PBR Windows 7.

PBR (Bölüm Önyükleme Kaydı) - önyükleme kaydı başlatmanın ikinci koşullu aşaması olan bölüm (bölüm) işletim sistemi Windows 7 ve Önyükleme Yöneticisini (BOOTMGR) bulma ve yükleme adımlarını gerçekleştirir.

Genellikle belirli kaynaklarda bulabilir ve Alternatif isim bölüm önyükleme kaydı - Daha az yaygın olarak Bölüm Önyükleme Sektörü (PBS, bölüm önyükleme sektörü) olarak adlandırılan Birim Önyükleme Kaydı (VBR, birim önyükleme kaydı).

Fiziksel olarak PBR (VBR), bölümün (bölümün) ilk sektöründen başlayarak ortamda bulunur. Lütfen bunu MBR'nin bulunduğu fiziksel diskin (sürücü) ilk sektörü ile karıştırmayın.

Windows 7 işletim sistemi durumunda, bölüm önyükleme kaydı 9 fiziksel sektör (her biri 512 bayt) kaplar. Kendi başına bir görüş var PBR Windows 7 bir sektörle sınırlıdır ve diğer tüm (aşağıdaki) 8 sektör zaten BOOTMGR önyükleme koduna aittir. Bu özellik bizim için çok temel değil ve PBR için bulunduğu bölümün sıralı sektörlere ayrıldığı konusunda hemfikiriz. Teorik olarak, birden fazla bölümü olan sistemlerde, birkaç PBR kaydı olabilir - her birincil bölüm (bölüm) için bir kayıt, ancak bu durum oldukça nadirdir.

Daha önce test edilmiş algoritmayı kullanalım ve özel DMDE yardımcı programını kullanarak Windows 7 PBR sektör dökümünü bir dosyaya kaydedelim. Şimdi onun nasıl biri olduğunu görelim:

Windows 7 PBR Sektör Dökümü - Genişletmek için Tıklayın

Kabuk

0000000000 EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 00 LRђNTFS .◘ 0000000010 00 00 00 00 00 F8 00 00 3F 00 FF 00 00 08 00 00 w? ben ◘ 0000000020 00 00 00 00 80 00 80 00 FF 1F 03 00 00 00 00 00 € i 0000000030 55 21 00 00 00 00 00 00 02 00 00 00 00 00 00 00 U! ☻ 0000000040 F6 00 00 00 01 00 00 00 1A AA 3B C8 C2 3B C8 CC c. → Є; IV; IM 0000000050 00 00 00 00 FA 33 C0 8E D0 BC 00 7C FB 68 C0 07 ъ3АЋРј | yhА 0000000060 1F 1E 68 66 00 CB 88 16 0E 00 66 81 3E 03 00 4E ▼ ▲ hf Л € −. fЃ>. N 0000000070 54 46 53 75 15 B4 41 BB AA 55 CD 13 72 0C 81 FB TFSu§ґA "UN.r.Ѓy 0000000080 55 AA 75 06 F7 C1 01 00 75 03 E9 DD 00 1E 83 EC UЄu.hW. u.ee ▲ ѓm 0000000090 18 68 1A 00 B4 48 8A 16 0E 00 8B F4 16 1F CD 13 h → ґHЉ ♫ ‹fgnant ▼ N. 00000000A0 9F 83 C4 18 9E 58 1F 72 E1 3B 06 0B 00 75 DB A3 џѓДћX ▼ rb; .. uЫЈ 00000000B0 0F 00 C1 2E 0F 00 04 1E 5A 33 DB B9 00 20 2B C8 ☼ B.☼.▲ Z3Ы№ + И 00000000C0 66 FF 06 11 00 03 16 0F 00 8E C2 FF 06 16 00 E8 fя.◄. ☼ ЋВя.complete и 00000000D0 4B 00 2B C8 77 EF B8 00 BB CD 1A 66 23 C0 75 2D K + Иwпё "НН → f # AU- 00000000E0 66 81 FB 54 43 50 41 75 24 81 F9 02 01 72 1E 16 fЃыTCPAu $ ЃЃ.r ▲  00000000F0 68 07 BB 16 68 70 0E 16 68 09 00 66 53 66 53 66 h » hp ♫ ▬ ▬ ○ fSfSf 0000000100 55 16 16 16 68 B8 01 66 61 0E 07 CD 1A 33 C0 BF Ugnant ▬.fa ♫ Н → 3Аї 0000000 110 28 10 B9 D8 0F FC F3 AA E9 5F 01 90 90 66 60 1E (No.Ш☼ьуЄй_.ђђf` ▲ 0000000 120 06 66 A1 11 00 66 03 06 1C 00 1E 66 68 00 00 00 .fЎ◄ f..∟ ▲ fh 0000000 130 00 66 50 06 53 68 01 00 68 10 00 B4 42 8A 16 0E fP.Ş.