Звільняємо вільне місце на жорсткому диску: WIMBoot. Припинити Image від Chrome

Нещодавно один з моїх колег прийшов до мене і каже, що він підчепив на свій флеш диск такий вірус, який з'явився у вигляді папки під назвою images. При спробі видалити цю папку, папка видаляється і тут же з'являється знову. Форматування флеш диска теж не допомагає позбутися від цієї вірусної папки images.

Почну з того, що на комп'ютері встановлена ​​операційна система Windows 7. Антивірус встановлений безкоштовний, який не бачить даного вірусу при скануванні. Так само встановлена ​​антивірусна програма USB Disk Security, яку теж обходить цей вірус.

Насамперед я зайшов на оф. сайт Dr.Web і скачав антивірусну програму Dr.Web Curelt. Просканував комп'ютер цією програмою і зрадів тому, що вірус виявлений як Trojan.Siggen4.36517 і успішно видалений. Але для повного видаленнявірусу потрібна перезавантаження комп'ютера.

Перед перезавантаженням я відкрив флеш диск і здивувався тому, що папка з вірусом під назвою images, як і раніше знаходиться на флеш диску і віддалятися не хоче, тому що цей вірус сидить в комп'ютері і автоматично прописується на будь-яких USB-носіях підключаються до комп'ютера. Після перезавантаження я ще раз просканував комп'ютер Dr.Web Curelt. Вірус дійсно був видалений. Але після того як я вставив флешку в гніздо USB, вірус знову проник з флеш диска в комп'ютер.

Тоді я вирішив повірити дану флешку з допомогою Live CD з операційною системою Windows XP. Вставивши даний флеш диск в комп'ютер, на мій подив папка images була успішно видалена з флеш диска. Після сканування цього комп'ютера антивірусною програмою Dr.Web Curelt, вірус images.scr, images.exe виявлений не був.

Цей момент мене насторожив і одночасно спантеличив, і я поліз в інтернет за більш детальною інформацією. Виявляється, що даний вірус актуальний для Windows 7 і можливо для наступних версій Windows. На Windows XP вірус images не працює і відповідно не є небезпечним.

Після повторного видалення вірусу з комп'ютера з Windows 7 за допомогою Dr.Web Curelt, я вставив флеш диск і переконався остаточно, що позбувся вірусу images.scr, images.exe.

Читайте також:

1. Cryptowall - вірус, здатний зашифрувати всі ваші файли. Його шкідливої ​​діяльності піддаються всі операційні системи сімейства Windows. Ви не зможете...
2. На сьогоднішній день тема Vault-вірусів досить актуальна. Дуже багато користувачів часто цікавляться, а що ж робити в разі зараження персонального ...
3. Як захистити свій сайт від зловмисників - це питання, напевно, виникає у кожного початківця власника блогу чи сайту. В інтернеті...
4. Антивірусна програма для домашнього комп'ютера- потрібна чи ні? Скільки я готовий за неї заплатити? На мій погляд, яку відповідь ...
5. DoS-атаки Інтернет - середовище агресивна: веб-сайти піддаються атакам постійно. DoS-атака (Denial of Service) або «відмова в обслуговуванні», перевантаження сервера, елемента ...

Код MBR, що стартує одразу після відпрацювання коду BIOS, завантажує код завантажувального сектора розділу (PBR) в пам'ять за адресою 0000: 7C00 і передає туди управління. У продовженні циклу статей про завантаженні Windows, В даній публікації ми будемо розглядати наступний етап завантаження ОС і розглянемо логіку роботи завантажувального сектора розділу PBR Windows 7.

PBR (Partition Boot Record) - завантажувальний записрозділу (партіціі), яка є другим умовним етапом запуску операційної системи Windows 7 і виконує дії по знаходженню і завантаженні менеджера завантаження (BOOTMGR).

Часто в тих чи інших джерелах можна зустріти і альтернативна назвазавантажувального запису розділу - Volume Boot Record (VBR, завантажувальний запис томи), рідше зустрічається іменування Partition Boot Sector (PBS, завантажувальний сектор розділу).

Фізично PBR (VBR) розміщується на носії починаючи з першого сектора розділу (партіціі). Прохання не плутати з першим сектором фізичного диска (накопичувача), де розміщується MBR.

У випадку з операційною системою Windows 7, завантажувальний запис розділу займає аж цілих 9 фізичних секторів (по 512 байт кожен). Існує думка, що сам по собі PBR Windows 7обмежується одним сектором, а всі інші (які йдуть за ним) 8 секторів відносяться вже до коду завантаження BOOTMGR. Ця особливість для нас не настільки вже багато важить і ми домовимося, що для PBR у розділу, на якому він розміщується, резервуються послідовно-йдуть сектора. Теоретично, в системах з декількома розділами записів PBR може бути кілька - по одному запису на кожен первинний розділ (розбиття), проте подібна ситуація досить рідкісна.

Скористаємося випробуваним нами раніше алгоритмом і збережемо в файл дамп сектора PBR ОС Windows 7 за допомогою спеціалізованої утиліти DMDE. А тепер подивимося, що ж він із себе представляє:

Дамп сектора PBR Windows 7 - натисніть щоб розгорнути

Shell

0000000000 EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 00 лRђNTFS .◘ 0000000010 00 00 00 00 00 F8 00 00 3F 00 FF 00 00 08 00 00 ш? я ◘ 0000000020 00 00 00 00 80 00 80 00 FF 1F 03 00 00 00 00 00 А А я .. 0000000030 55 21 00 00 00 00 00 00 02 00 00 00 00 00 00 00 U! ☻ 0000000040 F6 00 00 00 01 00 00 00 1A AA 3B C8 C2 3B C8 CC ц. → Є; ІВ; ІМ 0000000050 00 00 00 00 FA 33 C0 8E D0 BC 00 7C FB 68 C0 07 '3АЋРј | иhА 0000000060 1F 1E 68 66 00 CB 88 16 0E 00 66 81 3E 03 00 4E ▼ ▲ hf Л € ▬. fЃ>. N 0000000070 54 46 53 75 15 B4 41 BB AA 55 CD 13 72 0C 81 FB TFSu§ґA »ЄUН.r.Ѓи 0000000080 55 AA 75 06 F7 C1 01 00 75 03 E9 DD 00 1E 83 EC UЄu.чБ. u.йЕ ▲ Гм 0000000090 18 68 1A 00 B4 48 8A 16 0E 00 8B F4 16 1F CD 13 h → ґHЉ▬ ♫ <ф▬ ▼ Н. 00000000A0 9F 83 C4 18 9E 58 1F 72 E1 3B 06 0B 00 75 DB A3 џѓДћX ▼ rб; .. uИЈ 00000000B0 0F 00 C1 2E 0F 00 04 1E 5A 33 DB B9 00 20 2B C8 ☼ Б.☼. ▲ Z3И№ + і 00000000C0 66 FF 06 11 00 03 16 0F 00 8E C2 FF 06 16 00 E8 fя.◄ .▬☼ ЋВя.▬ і 00000000D0 4B 00 2B C8 77 EF B8 00 BB CD 1A 66 23 C0 75 2D K + Іwпё »Н → f # Аu- 00000000E0 66 81 FB 54 43 50 41 75 24 81 F9 02 01 72 1E 16 fЃиTCPAu $ Ѓщ☻.r ▲ ▬ 00000000F0 68 07 BB 16 68 70 0E 16 68 09 00 66 53 66 53 66 h »▬ hp ♫ ▬h ○ fSfSf 0000000100 55 16 16 16 68 B8 01 66 61 0E 07 CD 1A 33 C0 BF U▬▬▬hё.fa ♫ Н → 3Аї 0000000110 28 10 B9 D8 0F FC F3 AA E9 5F 01 90 90 66 60 1E (№Ш☼ьуЄй_.ђђf` ▲ 0000000120 06 66 A1 11 00 66 03 06 1C 00 1E 66 68 00 00 00 .fЎ◄ f..∟ ▲ fh 0000000130 00 66 50 06 53 68 01 00 68 10 00 B4 42 8A 16 0E fP.Sh. h ґBЉ▬ ♫ 0000000140 00 16 1F 8B F4 CD 13 66 59 5B 5A 66 59 66 59 1F ▬ ▼ <фН.fY)