Для связи с нами можно использовать:
irc://irc.chatnet.ru:#gfs
icq://546460
email://cobaltsys[@]nm.ru
Элитный клуб общения с самыми красивыми девушками
pastila.com
Я думаю приведенный пример будет полезен всем новичкам. В виду того что этих вирусов (типо autorun.inf) заражающих флешки, щас развелось не мало и у людей возникают много вопросов и проблем с их удалением, решил написать что то вроде мини статьи о том как я сегодня обнаружил и удалил подобный вирус.
Придя уставший с универа, захотелось мне послушать музыки на своем ноуте, захожу Мой компьютер>Локальный диск С: и, опа, замечаю что Диск открылся в новом окошке. Хм подумал я , вроде бы в настройках Вида я неотмечал открытие каждой папки в новом окне. И тут я вспомнил, что пару дней назад я что то кому то записывал на флешку ;-) Стоп! Вроде бы автозапуск через политику локального компьютера я отменил. Дык, так это же на домашнем компе... Стало понятно что компьютер заражен. Обычно подобные вирусы добавляли новую запись в меню открытия диска (что то вроде Open (0)) а тут надо же, все как положено. Пошел дальше захотел проверить autorun.inf, Указываю отображение скрытых файлов и нифига ничего не меняется. Хочу снова поставить галочку на отображение скрытых файлов в меню Сервис>Свойства Папки>Вид и замечаю что кто то ее переставляет на "Не показывать скрытый файлы и папки" я улыбнулся в ответ =) стало как то очень интересно. Умный вирус отметил я для себя. Идем дальше...
Проверяю список процессов через Ctrl+Alt+Del (taskmgr.exe) и... хм, ничего лишнего вроде в процессах не висит. Проверяю известные пути Автозапуска через regedit.exe и там все чисто. Ну очень мне захотелось посмотреть на скрытые файлы в диске С:, я поступил так, открыл cmd.exe набрал команду dir c:\ /A (просмотр файлов со всевозможными атрибутами) и увидел autorun.inf, захотел посмотреть в него, набрал команду: type c:\autorun.inf там была ссылка на некий файл utdetect.com который кстати лежал там же на диске C:\. Файл имел атрибут скрытый+системный и просто командой del c:\utdetect.com его не удалить, для это сперва нужно снять эти атрибуты командой: attrib -S -H c:\utdetect.com, затем я его удалил командой del /F c:\utdetect.com. через несколько секунд он опять оказался там же, что и следовало ожидать. Из всего этого я сделал следующие выводы: Вирус поместил в память процесс либо код который постоянно следит за сохранностью файлов utdetect.com и autorun.inf на всех дисках системы. Мало того возможно в нем реализован перехват API функций для скрытия ключей реестра и списка процессов ну и заражения активных процессов, методом внедрение в процесс через WriteProccessMemory.
Понял что подручными средствами тут не обойтись, а антивируса у меня на ноуте нет, нагружает и без того мой нагруженный старенький ноут.[brbr]Первым делом решил проверить файл utdetect.com на сайте www.viruslist.com, файл оказался вирусом Trojan-PSW.Win32.OnLineGames.jtn но о том как от него избавиться ничего сказано не было, как в прочем и гугл ничего полезного сказать о нем несмог. Решил избавляться самостоятельно, с сайта Майкрософт скачал программу от Sysinternals (написанную Марком Русиновичем) Autoruns (программа отображает все возможные места автозапуска программ драйверов и т.д.) оттуда же за компанию для детального анализа решил скачать Process Explorer (показывает детальную информацию об активных процессах) и Process Monitor (следит за дейстиями всех процессов в системе такими как: Обращение к реестру, файловой системе и т.д.)
Для начала я решил зайти в реестр и вернуть все таки галочку на "показывать скрытый файлы и папки" вручную. Изменил параметр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hiden = 00000001. Опять ничего не поменялось. Загрузил Process Monitor настроил фильтр на обращение к реестру и заметил что процесс Explorer.exe каждые 10 секунд ( я стал засекать ;-) )
Меняет этот параметр в значение 00000002 т.е. изменить его не получиться покрайней мере пока процесс Explorer.exe активен. Кроме того он перезаписывал еще 3 значения в реестре, но я не стал пока обращать на них внимание. Стало понятно что покрайней мере этот процесс заражен вирусом точно. Решил покопаться в нем запустил Process Explorer и в списке подгруженных к процессу библиотек заметил одну странную библиотеку с названием avpo0.dll ( странной она мне показалась, во-первых на ней отсутствовала подписть "Корпорация Майрософт" во - вторых название очень странное, "avp" - обычно называется процесс антивируса, а раз его у меня нет, тогда кому кроме вируса понадобится прятаться под его именем? =) Через "Find Dll" в меню ProcessExplorer`a я заметил что кроме Explorer.exe библиотека так же подгружена еще к некоторым процессам. В списке был и сам ProcessExplorer не было там только процесса cmd.exe спрашивается почему? Ответ прост потому что cmd.exe консольное приложение и не создает окна, значит в вирусе стоит Хук на создание окна, т.о. он подгружается ко всем "оконным" процессам. Довольно простой и распространенный метод внедрения DLL.
Я даже немного разочаровался. Далее запустил программу Autoruns и в списке загружаемых из разных мест приложений заметил некие файл avpo.exe ну ясно почему я его заметил ;-) Видимо это и есть загрузчик библиотеки, который подгружает ее к explorer.exe. На этом можно сказать самое интересное закончилось, вирус обнаружен теперь осталось его удалить, а сделать это оказалось совсем не трудно. Во первых я все же отключил автозапуск дисков через [Пуск>Выполнить>gpedit.msc>Политика "локальный компьютер">Конфигурация компьютера>Административные шаблоны>Система>Отключить автозапуск] изменил на "Включено". Далее удалил через программу Autoruns ветку реестра которая загружала файл avpo.exe. Перезагрузил компьютер, затем через cmd удалил C:\utdetect.com; c:\autorun.inf; (замечу что у меня на ноуте только один диск С:\, иначе пришлось бы удалять со всех дисков) C:\Windows\system32\avpo.exe; c:\windows\system32\avpo0.dll предварительно сняв с них атрибут "системный".
Перезагрузил компьютер, но Explorer так и не захотел показывать мне скрытые файлы, Значит вирус где то, что то поменял таким образом. И тут я вспомнил про те оставшиеся 3 параметра которые обновлял вирус через каждые 10 секунд. Эти параметры “регулировали” переключатели “показывать/не показывать скрытые файлы и папки” в меню Сервис>Свойства Папки Explorer`a. Я поступил самым простым способом, благо под рукой оказался компьютер со стерильной виндой я тупо скопировал весь раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden и перенес его на свой ноут. Внимательно посмотрев на весь этот раздел я был весьма удивлен, как легко можно запретить Explorer`у отображение скрытых файлов достаточно поменять значение параметра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue с 00000001 на 00000002, и все после этого любые попытки поставить галочку на “Показывать скрытые файлы и папки” ничего не даст (стоить взять это на заметку ;-) ).
© EvilCoder 17.01.2008
Ппц, юзай утилиты с rootkits.com. С юзермодной дрянью бороться очень просто а описанное здесь- это удаление гланд через... Ну в общем суть ясна=).
И вообще, поставь какую-нибудь проактивку(пишу я на голом и беззащитном компе).
2Inspektor извини за грубость, но не кажется ли тебе, что не тебе меня учить? Ты думаешь смысл сей статьи был просто удалить вирус? Или тебе кажется я незнал других вариантов удаления? И нах мне проактивка "какая-нибудь" на моем ноуте (2пень) которые с трудом тянет ВинХР...
Ты думаешь смысл сей статьи был просто удалить вирус?
Стесняюсь спросить, а в чём же ещё? Для справки по реестру маловато, для обзора командной строки тоже, может ты просто хотел сказать, что на сайте майкрософта есть неплохой софт? :D
не тебе меня учить
Согласен, из меня в принципе препод хреновый, а тут можно ещё добавить "Яйца курицу не учат". Поверь, и в мыслях небыло никого учить.
Смысл статьи - пример удаления вируса, она ориентирован на новичков. Про утилиты с rootkits.com я знаю не хуже тебя поверь ;-) А про майкрософт помолчал бы, если ты незнаешь в разделе Sysinternals на сайте хранятся именно программы этой "компании" которую Майкрософт купила.
Я всегда готов принять объективную критику, но в данном случае твои замечания здесь не в тему. Постеснялся бы хоть немного, недавно научился программировать, учился у нас, и теперь еще делаешь замечания.
[---====---]
А про майкрософт помолчал бы, если ты незнаешь в разделе Sysinternals на сайте хранятся именно программы этой "компании" которую Майкрософт купила.
[---====---]
Знаю.
[---====---]
Смысл статьи - пример удаления вируса, она ориентирован на новичков.
[---====---]
"пример удаления вируса" и "статья"
- это совершенно разные вещи. На мой взгляд это скорее просто повествование на тему "как это было".
[---====---]
Постеснялся бы хоть немного, недавно научился программировать, учился у нас, и теперь еще делаешь замечания.
[---====---]
А чего мне стесняться? Все когда-то учились и поверь, знания полученные от вас не сравнятся ни с одной полноценной книгой, поэтому тут ты преувеличиваешь.
Более того, раньше слово "хакер", ассоциировалось у меня со словом "гений", а теперь со словом "преступник".
Твой взгляд никого не интересует. Знаний ты от нас никаких не получал - тебе виднее, это было сказано образно. Но по крайней мере ты бы мог быть благодарным за то незначительное время которое мы тратили на тебя. Хотя твоя благодарность тоже никому не нужна. Просто Inspektor я сделал определенные выводы для себя.
Неплохо, даже очень неплохо, учитывая аудиторию, на которую расчитана статья.
:)
понравилась,отличная статья ;-)
Я всегда знал что EvilCoder пишет хорошие статьи, в принципе данный материал новичкам просто в тему будет, хотя не спорю те кто уже не новичек свой нюанс может заполнить прочитав данную статью, щас вирусов много и хороши любые методы их удаление так что +1 статья хорошая!
Хорошая статья как найти и удалить вирус руками. =)
ну при помощи пары прог =)
мне понравилась.
Привет!!! Мне тоже очень понравилась твоя статья, хотя я и не поняла ничего. Ну она же твоя!!! 5+ Пока ;-)
интересная, позновательная статья. А на Inspektor не обращай внимания - такие "говноюзеры" в обильном наличии всегда присутствуют на форумах, чатах, блогах. Как правило их возраст обычно не превышает 16-18 лет :)
У меня тож проблема с этим гадом. Нод его снёс, но тут фишка, у меня "мой компьютер" предлагает выбрать программу для открытия дисков. Как вернуть всё в нормальное русло... :-(
Заранее спасибо!
Удали файл autorun.inf в корне диска.
Спасибо за статью!! Здорово помогла и научила вещам, о которых реально не знал =))
А мне помогла статья..(я новичок).. правда у меня не совсем такой же троян, но проблема была решена) благодарю!)
Ты МОНСТР!
:)
Спасибо ,помогло..... и больше...что не делается к лучшему....
Эвил как всегда на высоте) респект ;)
Брат!!! Твой труд достоин похвалы!
ТЫ - ЛУЧШИЙ !!!
Спасибо, человек. Не обращай внимания на не уместную критику!
Автору респектище!!!Ух как задолбал меня энтот avpo.exe..Касперский лох,нихрена не помог,вот сам своими руками с Вашей помощью еле избавился от какашки
Статья интересная. Тоже люблю *ручками* поколупать машину, с программами, сканерами и пр.. и дурак найдет. Но новое узнал: спасибо за фишку с cmd.exe - просто, а в голову не приходило. :-)
Я поочти зделал все что ты написал но ""затем через cmd удалил C:utdetect.com; c:autorun.inf;"" вот это как ты сделал что за cmd.. И вот в этом месте HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced FolderHiddenSHOWALLCheckedValue с 00000001 стои не 00000001 а все 0, И даже если меняю на 2, то в свойствах папки теперь стоять 2 галочки сразу и на не показывать и на показывать. после перезагрузки все опять появляется. ии икзешник другой не avpo.exe а amvo.exe помоги плиз.
Как я сказал в статье, проще перенести этот раздел со "стерильной" винды. Скачай *.reg файл и добавь его в реестр: http://www.rapidshare.ru/623628
cmd.exe - это командная строка. (Пуск>>Выполнить>>cmd.exe) В общем гугл рулит.
Читай внимательней в начале статьи указано как выполняются эти команды через cmd.
зарание Большое СПС, а куда в какой реестр закидывать этот файл
Народ помогите, у меня такая же фигня, только у меня вместо utdetect.com ntdetect.com и вместо avpo0.dll ampo.dll . И когда через командную строку надо удалить пишет в доступе отказано!!! Что делать!!!
EvilCoder я добавил твой реестровый фаил к себе и всё получилось. Но ntdetect.com и autorun.inf остались, вот.
Авторановские файлы я удалил через программку Anti_autorun и поидеи остался ещё ntdetect.com. Так вот вопрос если этот файл останется, всё ли будет нормально дальше??? Заранее Спасибо!!!
Все и так нормально. Будь внимательней: файл ntdetect.com - является стандартным обязательным файлом самой Виндовс и его нельзя удалять, а вирус обычно пытается спрятаться под именем utdetect.com, n1detect.com и т.д.
А вот наличие файла autorun.inf не обязательно - его можно удалить потому как он причиняет неудобство (читай в коментах выше) Хоть сам по себе без вируса он безвреден.
2Антон: Двойным нажатием на файле он сам добавиться куда надо ;-)
Окей спасибо!!!
Статья очень хорошая, спасибо.
Спасибо за статью, нашли много новых приколов, а тем кто говорит что это вирус простой...пусть им попадутся сложные вирусы!
Извините за оперативность, был занят.
[---==EvilCoder==---]
Твой взгляд никого не интересует
[---====---]
Будьте добры говорить за себя.
[---==EvilCoder==---]
Знаний ты от нас никаких не получал - тебе виднее
[---====---]
Я такого не писал, ткните носом.
[---==EvilCoder==---]
Но по крайней мере ты бы мог быть благодарным за то незначительное время которое мы тратили на тебя.
[---====---]
Когда Вы мне помогали, я всегда Вас благодарил.
Я вообще не понимаю, почему Вы сводите разговор к обсуждению моей скромной персоны? Я всего лишь высказал своё мнение, если Вам так угодно, то я могу впредь вообще не высказываться по поводу Вами написанного. Более того, Вы(как и я) не написали ещё ни одной серьёзной статьи, но при этом позволяете себе отвечать мне столь грубым тоном с откровенными оскорблениями.
Будь добр впредь, избавь меня от напоминания о тебе...
У меня проблема как у Юзера.
"но тут фишка, у меня "мой компьютер" предлагает выбрать программу для открытия дисков"
Нод(новая версия) удалил autorun.inf , amvo0.dll, amvo.exe, сейчас они в карантине. Но был еще 1 файл, не помню точного названия, что-то вроде xngm.com (на x точно начинался и 4 символа), его в каранин нод не поместил. Это я видел через тотал коммандер. Когда я пытался открыть этот файл, открывался диск С. Теперь же этого файла нет и когда пытаешься открыть диск, предлагается выбрать программу. Что делать? Помогите плз=)
Я файл видел через тотал коммандер, а не то что нод не поместил в карантин этот файл=)
Перезагрузил винду и все норм заработало=)
Please помагите люди, у меня есть флешь, там у меня файлы, както случилось они скрыти или как я не понял, но на свойство захожи место занята значить флешка не пуста, но файлов там нету,на комютере все скрытые файлы показаны,незнаю,я так не смыслю, ну помош нужна а мне эти файлы нужны.
Плиз помагите...
Если как вот меил: afig_28@inbox.ru
Может они системные? ("показывать защищенные файлы")
Inspector-у +1. вся критика обоснована.
"Смысл статьи - пример удаления вируса" . Да если по каждому вирусу писать такую лабудень, жизни на прочтение не хватит.
"она ориентирован на новичков" . Наверн на тех у кого компутера нет)
2fankyman мне в кайф я хоть про белых попугаев буду писать, кому не нравиться идут ...
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced
FolderHiddenSHOWALLCheckedValue с 00000001
на 00000002, и все после этого любые попытки поставить галочку на
“Показывать скрытые файлы и папки” ничего не даст
непомогает там чето на ноль ставит через каждые 5 секунд
Очень интересная статья, спасибки вам
Sinev: а по твоему "чето которое ставит ноль" чем является? я думаю вирусом...
Амина: рад помочь ;-) особено девушке с таким родным именем ;-)
Написал "статью" для детского сада, и весь твой детсад спалился похвалами)) Так держать! Буду ждать следующей статьи или даже 800-листового учебника о том, как научиться работать в программе notepad.exe
Если статья для ламеров, то можно подробнее написать что к чему. А то получается просто пересказ действий конкретно в твоём случае, чуть небольшое отклонение от этого шаблона действий и будет уже не понятно что делать дальше.
P.S.: Я тоже своего старичка руками лечу, антивирусы его убивают хуже вирей;)
Хотелось бы ссылки на те программы с которыми ты работал, статья класс
как можно с вами связываться, если возникнут вопросы, не сочтите за занудство сие письмо)))).
P.S. Почему вам родное это имя?
хммм Амина? ))
Оставь свои контакты ;-) я с тобой свяжусь ...
на сайте есть "обратная связь" можно туда отправить.
ога и я тоже тогда свяжусь (: оставляйте контакты на общее обозрение...
]:-> Ни как нельзя с ним связываться...
У меня возникли проблемы с антивирусной программой,может кто-нибудь помочь?Если вас это не затруднит, плиз:)?
Никто не написал((.
а вы не оставили свои контакты, вот и не написале
К сожалению наркоманчег эвил редко заходит проверять почту. А так как письмо было с пометкой "Для Эвила", никто другой и не стал отвечать. Но ми ему обязательно попиняет чтобы он вам написал =)
Респект, премного благодарна =))
Ну все! теперь предстоит мне эта работа) у мен тоже самое, только у меня сомтрите как) у меня два файла autorun undetect находятся на карточке памяти телефона! а уже avpo.exe avp0 avpo1 на C:/)))) спасибо за статью!
а еще коечто, если у меня не получится поможете?)
блин откуда все знаете?) замечаете что открывается в новом окне)
И еще кое-что, можете пожалуйста со стерильного компа скопировать весь раздел
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHidden, только у меня почемуто нету раздела - Hidden там) запанее спасибо)
БЛИИИН!!! С УМА СОЙТИ ПОЛУЧИЛОСЬ)))))))) ААА)))))) А А А А))) классно спасибо!!!) а как можно сделать чтобы комп работал быстрей, мне не надо не одна программа которая в авторане всегда) я все что мог по отключал, а еще проблема! я вот когда записываю файлы на диск) CD or DVD делаю прожег через неро! так он у меня так начинает тормозить что жуть!! место обещаних программой 7 минут он мне делает за 47!!! что посоветуете) и вообще классно!! что можно сделать чтобы комп работал быстрее!!!!:) спасибо!!! заранее!
Приятно что моя статья тебе помогла.
а по поводу твоих вопросов - для этого в интернете есть масса специализированных форумов, там ты найдешь ответы на все свои вопросы. =) а тут у нас немного другая "специализация" =)
круто! thank's)
Самира и Амина ..МашАллах... учитывая ваше местоположение физическое я могу предпологать что одна из Казахстана другая стало быть с Москвы (Ш. и З.)примерно район выхино.. Сестра, можете ко мне обрашаться на прямую если есть проблемы.
Ассаламу аллайкум Шахри и Зарина :)
Самира она же Заринка, какого рода проблемы с антивирусом у тебя? Ключ закончился?
EvilCoder я тебя поругаю брат, ты чего не помогаешь сестрам?
Ваалейкумус салям Hydramni, про твое местоположение мы будем молчать ;). ДжазакАЛЛАГЬУ хайран за помощь
ваийаки сестра
Хотя не совсем понял, за какую помощь
Виноват =) редко почту проверяю. Буду исправляться... ИншАллаh..
для Hydramni: Ахи, это не к тебе относилось, кому относилось он понял
для Hydramni:не могу его обновить
to Самира: Сестра, а не устарел ли у тебя ключ?
to Cobalt-даже не знаю как это определить:)
to Самира. Для начала отпиши какой антивирус у тебя. А вообще для более подробного разговора моя ICQ написана в контактах сайта. Доступен для разговора в любой будний день с 10 до 17 по Москве)
Сейчас пришлю тебе инструкцию как продлить ключ. (проблема в ключе (закончилась лицензия), поэтому не обновляеться).
24.03.2008 19:05:33 from EvilCoder:
Как я сказал в статье, проще перенести этот раздел со "стерильной" винды. Скачай *.reg файл и добавь его в реестр: http://www.rapidshare.ru/623628
выложите этот файл ещё раз а т его с рапиды удалили...
Че за Амина, Самира? Не нравится мне это :-(
to КТО-ТО: Извиняюсь конечно, но это и не должно вам нравится, не в обиду будет сказано;)
to Амина: А давайте я сама буду решать что мне нравится, а что не нравится!!! И вообще-то это было адресовано не вам моя дорогая
Господа, подскажите, есть ли какой антивирус, который может защитить от этого вируса. Каждый день с института его приношу, там касперский стоит, когда флэшку вставляешь, он обнаруживает и удаляет этот вирус с носителя, но потом, когда я прихожу домой, вставляю флэшку, причем у меня девственная винда стоит этот вирус откуда-то появляется, копируется везде, в общем чуть ли не каждый день мне приходится заниматься искоренением этой бацилы. У меня стояли все антивирусы, которые я только мог найти, никто эту бяку не видит, кроме Far и cmd.
В блокноте:
=====================================================
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAutoplayHandlersCancelAutoplayFiles]
"*.*"=""
=====================================================
Сохраняем, меняем расширение на reg, запускаем.
Тем самым блокируем автозапуск в принципе, как следствие сводим проникновение авторанеров к нулю.
Надо было по компу пару раз шарахнуть кувалдой, облить холодной водой, засунуть таблетку (желательно аспирин) в CD-Rom и все! На след. день выкинул бы свой ноут и не парился бы так=)))) P.S. На своем компе не проверял выше названные действия, но все же вдруг поможет? 0_о А всяким Пид*арасам и Ган*донам, любящим обсмеивать подобные (шуточные) комментарии сразу отвечаю: ИДИТЕ НАХУЙ!!!!!!!!
Чистил комп.. и удалил фаил NTDETECT.COM.. Потом, как оказалось, удалять его было нельзя! Теперь комп, вообще, не загружается. Идет циклическая перезагрузка, не доходит даже до запуска Винды. Новую ось тож не поставить, т.к. после копирования установочных файлов требуется перезагрузка, а потом опять начинается циклическая перезагрузка))) ППЦ.. чуть пол хаты не разнёс... Чё делать?!?!)))
Новую ось надо ставить предварительно форматнув винчестер
вы чё доепались,мне помогла статья!
но не тем что я вирус удалил, просто сегодня обнаружел что файлы скрытые не показиваются) и поменять в сервесе не как нельзя) буду знать что вирус это творит) хотя Нод32 стоит
короче я вставляю в дисковол DVD-диск он загрузился захожу в свойство дисковода потом в запись а там скорость записи 156х че это вирус? если да то как его удалить и еще сервер регистрации не может распознать файл key
для восстановления стертых случайно файлов помогает их копирование с другого загружаемого винта, можно подцепить винт с удаленным файлом к другому компу в режиме slave. Затем скопировать файл из рабочего диска на поврежденный. Мне это помогло с файлом NTLDR.
Ковры: срочная чистка ковров
We offer baccarat wheels in United Kingdom
креативные технологии создание сайтов харьков сложные и простые
центр распродаж мебели
Вообще вирус оказался достаточно простым, но как говориться все гениальное просто. Лень стало описывать реверсинг этого вируса. а так было бы интересно =)