User avatar

Костя Мезер сражается с вирусом-руткитом на своей домашней windows машине, пока безрезультатно. По его словам, даже factory reset ничего не дал, вирус как-то себя хитро перезаписывает и снова восстанавливает. Может кто-то сталкивался с таким? Есть варианты, кроме покупки нового лаптопа и сжигание старого под звуки dogs blood rising?

Comment

На линукс перейти? Это озадачит руткит. Если у него нет адской работы с графикой (за столько лет я не удосужился узнать, кем он трудится, сорян), то вариант вполне жизненный. 16.04 LTS скорее всего встанет без сложностей и в пригодном для жизни состоянии - https://www.ubuntu.com/download/desktop

 ‎· igors
Comment

нет, ну загрузиться с чистого носителя винды и

 ‎· стрелял в него из БургерКинга
Comment

Ну и жираф дело говорит, factory reset это ж просто дистрибутив на том же диске, и он очевидно заражён

 ‎· igors 3
Comment

Костя делает музыку, диджеит, верстает печатные макеты и веб-страницы. На линуксе сложно будет с музыкальным софтом.

 ‎· a fanfare of swans
Comment

@hotgiraffe: он пытался с CD -- и всё равно оно пролезло. Там какая-то скрытая партиция, и он себя пишет, куда дотянется.

 ‎· a fanfare of swans
Comment

ну CD-то гм должен начисто уметь загрузиться даже в присутствии странного в бут-секторе винта (семёрка точно могла, про десятку не очень знаю, к счастью). также имеются всякие тулы типа Active@ Boot Disk, которые точно на винт не лезут и позволяют например винт потереть нафиг перед перестановкой винды, включая загрузочные сектора

 ‎· стрелял в него из БургерКинга 2
Comment

можно взять любой live cd с линуксом и тупо забить винт нулями

 ‎· פ״נ
Comment

Тупо и по-армейски поменять диск на новый из магазина, если он заменяемый. Старый положить в коробку с USB-интерфейсом и использовать для складирования музона.

 ‎· igors 3
Comment

^ да, я бы тоже склонился к этому варианту

 ‎· a fanfare of swans
Comment

а насколько велика вероятность, что заражён домашний роутер? такое бывает вообще?

 ‎· a fanfare of swans
Comment

Да, роутеры заражают

 ‎· bardo calling 1
Comment

Там какой-то ад вообще -- при загрузке с CD и форматировании диска всё равно вирус пролезает. Такое ощущение, что он перехватывает управление до обращения к CD и принимает меры, чтобы его партиция не стёрлась. То есть там что-то на уровне биоса или как там оно называлось.

 ‎· a fanfare of swans
Comment

^ или дистрибут уже с ним

 ‎· стрелял в него из БургерКинга
Comment

он пробовал много разных (минимум три разных диска), с тем же результатом.

 ‎· a fanfare of swans
Comment

ну вообще UEFI-руткиты бывают, но штука такая, довольно weapon-grade (https://2016.zeronights.ru/wp-content/uploads/2016/12/1_2_UEFI_Rootkits_ZN_2016.pdf https://www.scmagazineuk.com/intel-security-responds-to-efi-rootkit-malware-updates-detection-tool/article/643799/)

 ‎· стрелял в него из БургерКинга 1
Comment

Перепрошить биос? В ближайшем ремонте должны справиться, если самому стрёмно.

 ‎· igors 1
Comment

я бы начал с вопроса — как он определяет, что на машине вирус?

 ‎· tentacle fairy godfather 4
Comment

А что за такой Windows с CD? Например Windows 7 это гигабайт 10 примерно файлов в "скрытой" партиции, а на "резервном" CD просто загрузчик чтобы начать восстанавливать оттуда. И "factory reset" оттуда же.

 ‎· ew1om 2
Comment

^ good point а можно сделать флэшку, на которой всё-всё?

 ‎· a fanfare of swans
Comment

можно, да. десятку например тут: https://www.microsoft.com/software-download/windows10

 ‎· стрелял в него из БургерКинга
Comment

говорит, что пробовал, и всё равно заражался вскоре после установки системы. Стивенкинговщина какая-то.

 ‎· a fanfare of swans
Comment

^ пробовал флэшку с полным w10

 ‎· a fanfare of swans
Comment

а как он определяет-то, что это вирус-руткит?

 ‎· cactus person
Comment

practical applications of /hotgiraffe/1675633 ?

 ‎· ridiculous crowdfunded nonsense
Comment

^^ там какие-то записи в registry появляются. \HKEY_USERS\S-1-5-18, например. и антивирус (AVS) находит каждый раз.

 ‎· a fanfare of swans

1 2 3 4 5 6 7 8 9 10