Создание собственного установочного дистрибутива из заводского WIM-образа ноутбука. Почему это опасно

С учетом того, что общий объем «винта» составляет всего 200GB, то данный факт моментально был признан проблемой. Дальнейшее расследование показало, что c:\recoveryimage не обновлялась с апреля, а содержащиеся в ней файлы в основном являются драйверами. В частности обнаружено было несколько драйверов Nvidia по 300 с лишним мегабайт каждый, а также текстовый файлик DONOTREPLACE, в котором был указан номер сборки системы.

В этой связи мне, как юзеру в чине , c:\recoveryimage суперважной не показалась, однако оставалось не совсем понятно, используется ли она новой для связанных с восстановлением операций, или все же ее можно считать явлением остаточным и удалять.

После некоторых раздумий был выбран крайний вариант и запущена «Очистка диска «. После команды на очистку системных файлов и завершения сканирования выдала список старых файлов, но вот ничего похожего на recoveryimage в нем не было.

К этому моменту также удалось также выяснить, что Windows 10 не задействует c:\recoveryimage для восстановления, а директория используется только WindowsRE (см. Recovery content) для так называемой чистой установки сборки из install.esd. Потому если есть уверенность, что в перспективе не будет необходимости в прохождении Recovery, то recoveryimage можно сносить.

Что и было сделано. Но, само собой, только после бэкапа. После удаления recoveryimage никаких видимых изменений и/или проблем в работе Windows 10 не наблюдается, а на жестком диске ноутбука добавилось 27 гигабайт свободного места.

А еще чуть позже попалась на глаза следующая информашка:

c:\RecoveryImage — очень полезная фича инсталлятора сборок. Если конвертнуть install.esd в iso, то можно сделать чистую установку, или же посредством этого ISO сделать обновление сборки системы запустив Setup с ISO или флешки.

Грамотные камменты по теме приветствуются.

Недавно один из моих коллег пришел ко мне и говорит, что он подцепил на свой флэш диск такой вирус, который появился в виде папки под названием images. При попытке удалить эту папку, папка удаляется и тут же появляется снова. Форматирование флэш диска тоже не помогает избавиться от этой вирусной папки images.

Начну с того, что на компьютере установлена операционная система Windows 7. Антивирус установлен бесплатный, который не видит данного вируса при сканировании. Так же установлена антивирусная программа USB Disk Security, которую тоже обходит этот вирус.

Первым делом я зашел на оф. сайт Dr.Web и скачал антивирусную программу Dr.Web Curelt. Просканировал компьютер этой программой и обрадовался тому, что вирус обнаружен как Trojan.Siggen4.36517 и успешно удален. Но для полного удаления вируса потребовалась перезагрузка компьютера.

Перед перезагрузкой я открыл флэш диск и удивился тому, что папка с вирусом под названием images, по-прежнему находится на флэш диске и удаляться не хочет, потому что этот вирус сидит в компьютере и автоматически прописывается на любых USB-носителях подключаемых к компьютеру. После перезагрузки я еще раз просканировал компьютер Dr.Web Curelt. Вирус действительно был удален. Но после того как я вставил флэшку в гнездо USB, вирус снова проник с флэш диска в компьютер.

Тогда я решил поверить данную флэшку с помощью Live CD с операционной системой Windows XP. Вставив данный флэш диск в компьютер, к моему удивлению папка images была успешно удалена с флэш диска. После сканирования этого компьютера антивирусной программой Dr.Web Curelt, вирус images.scr, images.exe обнаружен не был.

Этот момент меня насторожил и одновременно озадачил, и я полез в интернет за более подробной информацией. Оказывается, что данный вирус актуален для Windows 7 и возможно для последующих версий Windows. На Windows XP вирус images не работает и соответственно не опасен.

После повторного удаления вируса с компьютера с Windows 7 с помощью Dr.Web Curelt, я вставил флэш диск и убедился окончательно, что избавился от вируса images.scr, images.exe.

Читайте также:

  1. Cryptowall – вирус, способный зашифровать все ваши файлы. Его вредоносной деятельности подвержены все операционные системы семейства Windows. Вы не сможете...
  2. На сегодняшний день тема Vault-вирусов достаточно актуальна. Очень многие пользователи часто интересуются, а что же делать в случае заражения персонального...
  3. Как защитить свой сайт от злоумышленников – этот вопрос, наверное, возникает у каждого начинающего владельца блога или сайта. В интернете...
  4. Антивирусная программа для домашнего компьютера – нужна или нет? Сколько я готов за неё заплатить? На мой взгляд, какой ответ...
  5. DoS-атаки Интернет – среда агрессивная: веб-сайты подвергаются атакам постоянно. DoS-атака (Denial of Service) или «отказ в обслуживании», перегрузка сервера, элемента...

В Image инструмент подпадает под рекламного зонтика. Он выдает себя за полезное приложение, но это не так. Это далеко не так. В действительности это потенциально нежелательные программы. Он скользит в вашу систему через хитрость и тонкость. Затем, однажды в, расправляет свои когти по всему, и портит все. Image делает колоссальный беспорядок. Рекламное лезет в настройки, сил нежелательные перестановки на вас. Он перенаправляет вас на подозрительных веб-сайтов. Ни один из которых не надежный! Он бомбардирует вас с лавиной рекламы. Программа превращает Ваш опыт просмотра в полный кошмар. Каждый раз, когда ты так любишь свой браузер, готовьтесь. Вы получаете постоянно прерывается. И, это не займет много времени, прежде чем эти перебои эффект. Ваша система начинает аварии чаще. Ваш компьютер замедляется к ползанию. Это бардак. И, чем больше рекламных остается, тем больше он получает. Не допускайте того, чтобы обострить ситуацию вне контроля. Делать то, что лучше для вас и вашего ПК, и справиться с проблемой, прежде чем он получает слишком поздно. Сделать это скорее раньше, чем позже. Любая задержка удаление инструмента приводит к больше проблем. Обнаружить своего тайного убежища, и удалить его, как только вы делаете. Это лучший курс действий вы можете взять.

Как я могла заразиться?

Image использует обычные выходки к вторжению. Он обращается к старой, но золото средства проникновения. Чаще всего, бесплатные программы и спам вложения электронной почты. Но есть и более. Он может выбрать из целого ряда методов. С одной стороны, он также может прятаться за поврежденные сайты или ссылки. И это также может представлять как поддельные обновления. Как в Java или adobe flash-плеера. Итак, вы можете поверить, что вы обновить ваш компьютер, но это не так. В действительности, вы давая зеленый свет к опасной инфекции. Вы не понимаете, он в свое время из-за отсутствия осторожности. Большинство пользователей довольно небрежно при установке инструментов или обновления. Они спешат, и не удосужились прочитать правила и условия. Они согласны на все, и надеяться на лучшее. Это стратегии, вы придете к сожаление не долго после. Не выбрать беспечность. Не дай доверчивость и поспешность. Выбрать бдительности. Даже немного дополнительного внимания может спасти вас множество проблем. Помните, что в следующий раз вы установите обновления или инструментов. И, сделайте ваше должное прилежание!

Почему это опасно?

После того, как Adware вторгается, и оседает, подготовить себя. Ты в плохое время, полный обиды и головные боли. Они начинают с малого, а лишь разочарование и досада. Но с течением времени, они развиваются в обоих количество и тяжесть. То, что началось как проникновение просмотр превращается в серьезную угрозу безопасности. Да, помимо всего прочего, инструмент Image также угрожает вашей конфиденциальности. Следует программировать, чтобы украсть ваши личные данные. Только тогда, подвергайте его чужим. Давайте подробно. После Adware вторгается, он начинает шпионить за вами. Он отслеживает и записывает каждое движение вы делаете онлайн. Как только он сочтет это собрало достаточно данных, оно посылает его. Кому? Ну, неизвестные третьим лицам, которые выпустили его на веб. Другими словами, кибер-преступники с повестки дня. Те люди, которых вы хотите иметь доступ к вашей личной жизни? Не позволяйте этому случиться! Защитите ваши личные и финансовые детали. Как только вам стало известно о наличии рекламного ПО, принять меры. Найти, где она скрывается на вашем компьютере, и удалить его, как только вы делаете. Чем раньше он уйдет, тем лучше. Инструмент Image не заслуживают того, чтобы остаться на вашем компьютере. Это приносит только беды вашем пути. Так, удалите его. Сделать это быстро. Сделать это теперь.

Предупреждение, множественные антивирусные сканеры обнаружили возможные вредоносные программы в Image.

Антивирусное программное обеспечение Версия Обнаружение
Qihoo-360 1.0.0.1015 Win32/Virus.RiskTool.825
VIPRE Antivirus 22224 MalSign.Generic
Kingsoft AntiVirus 2013.4.9.267 Win32.Troj.Generic.a.(kcloud)
Tencent 1.0.0.1 Win32.Trojan.Bprotector.Wlfh
Malwarebytes 1.75.0.1 PUP.Optional.Wajam.A
Dr.Web Adware.Searcher.2467
Malwarebytes v2013.10.29.10 PUP.Optional.MalSign.Generic
NANO AntiVirus 0.26.0.55366 Trojan.Win32.Searcher.bpjlwd
McAfee-GW-Edition 2013
Baidu-International 3.5.1.41473 Trojan.Win32.Agent.peo
McAfee 5.600.0.1067 Win32.Application.OptimizerPro.E
VIPRE Antivirus 22702 Wajam (fs)
K7 AntiVirus 9.179.12403 Unwanted-Program (00454f261)

поведение Image

  • Общее поведение Image и некоторые другие текст emplaining som информация связанные с поведением
  • Image подключается к сети Интернет без вашего разрешения
  • Тормозит Интернет-соединение
  • Image деактивирует установленного программного обеспечения.
  • Перенаправление браузера на зараженных страниц.
  • Интегрируется в веб-браузере через расширение браузера Image
  • Устанавливает себя без разрешений
  • Крадет или использует ваши конфиденциальные данные
  • Download MalwareBytes
  • Download Plumbytes
  • Download Spyhunter

Image осуществляется версий ОС Windows

  • Windows 10 26%
  • Windows 8 38%
  • Windows 7 23%
  • Windows Vista 7%
  • Windows XP 6%

География Image

Ликвидации Image от Windows

Удалите из Windows XP Image:

Удалить Image от вашего Windows 7 и Vista:


Стереть Image от Windows 8 и 8.1:


Удалить из вашего браузеров Image

Image Удаление от Internet Explorer


Стереть Image от Mozilla Firefox


Прекратить Image от Chrome


Информация об угрозе

Название угрозы: Image Editor Packages

Исполяемый файл: uninstaller.exe

Тип угрозы: Adware

Затронутые ОС: Win32/Win64 (Windows XP, Vista/7, 8/8.1, Windows 10)

Затронутые браузеры: Google Chrome, Mozilla Firefox, Internet Explorer, Safari


Способ заражения Image Editor Packages

устанавливается на ваш компьютер вместе с бесплатными программами. Этот способ можно назвать "пакетная установка". Бесплатные программы предлагают вам установить дополнительные модули (Image Editor Packages). Если вы не отклоните предложение установка начнется в фоне. Image Editor Packages копирует свои файлы на компьютер. Обычно это файл uninstaller.exe. Иногда создается ключ автозагрузки с именем Image Editor Packages и значением uninstaller.exe. Вы также сможете найти угрозу в списке процессов с именем uninstaller.exe или Image Editor Packages. также создается папка с названием Image Editor Packages в папках C:\Program Files\ или C:\ProgramData. После установки Image Editor Packages начинает показывать реламные баннеры и всплывающую рекламу в браузерах. рекомендуется немедленно удалить Image Editor Packages. Если у вас есть дополнительные вопросы о Image Editor Packages, пожалуйста, . Вы можете использовать программы для удаления Image Editor Packages из ваших браузеров ниже.




We noticed that you are on smartphone or tablet now, but you need this solution on your PC. Enter your email below and we’ll automatically send you an email with the downloading link for Image Editor Packages Removal Tool, so you can use it when you are back to your PC.


Наша служба тех. поддержки удалит Image Editor Packages прямо сейчас!

Обратитесь в нашу службу технической поддержки с проблемой связанной с Image Editor Packages. Опишите все обстоятельства заражения Image Editor Packages и его последствия. Команда предоставит вам варианты решения этой проблемы бесплатно в течении нескольких часов.


Описание угрозы и инструкции по удалению предоставлены аналитическим отделом компании Security Stronghold .

Здесь вы можете перейти к:

Как удалить Image Editor Packages вручную

Проблема может быть решена вручную путем удаления файлов, папок и ключей реестра принадлежащих угрозе Image Editor Packages. Поврежденные Image Editor Packages системные файлы и компоненты могут быть восстановлены при наличии установочного пакета вашей операционной системы.

Чтобы избавиться от Image Editor Packages, необходимо:

1. Остановить следующие процессы и удалить соответствующие файлы:

  • uninstaller.exe

Предупреждение: нужно удалить только файлы с именами и путями указанными здесь. В системе могут находится полезные файлы с такими же именами. Мы рекомендуем использовать для безопасного решения проблемы.

2. Удалить следующие вредоносные папки:

  • C:\users\user\appdata\roaming\image editor packages\

3. Удалить следующие вредоносные ключи реестра и значения:

Предупреждение: если указано значение ключа реестра, значит необходимо удалить только значение и не трогать сам ключ. Мы рекомендуем использовать для этих целей .

Удалить программу Image Editor Packages и связанные с ней через Панель управления

Мы рекомендуем вам изучить список установленных программ и найти Image Editor Packages а также любые другие подозрительные и незнакомы программы. Ниже приведены инструкции для различных версий Windows. В некоторых случаях Image Editor Packages защищается с помощью вредоносного процесса или сервиса и не позволяет вам деинсталлировать себя. Если Image Editor Packages не удаляется или выдает ошибку что у вас недостаточно прав для удаления, произведите нижеперечисленные действия в Безопасном режиме или Безопасном режиме с загрузкой сетевых драйверов или используйте .


Windows 10

  • Кликните по меню Пуск и выберите Параметры .
  • Кликните на пункт Система и выберите Приложения и возможности в списке слева.
  • Найдите Image Editor Packages в списке и нажмите на кнопку Удалить рядом.
  • Подтвердите нажатием кнопки Удалить в открывающемся окне, если необходимо.

Windows 8/8.1

  • Кликните правой кнопкой мыши в левом нижнем углу экрана (в режиме рабочего стола).
  • В открывшимся меню выберите Панель управления .
  • Нажмите на ссылку Удалить программу в разделе Программы и компоненты .
  • Найдите в списке Image Editor Packages и другие подозрительные программы.
  • Кликните кнопку Удалить .
  • Дождитесь завершения процесса деинсталляции.

Windows 7/Vista

  • Кликните Пуск и выберите Панель управления .
  • Выберите Программы и компоненты и Удалить программу .
  • В списке установленных программ найдите Image Editor Packages .
  • Кликните на кнопку Удалить .

Windows XP

  • Кликните Пуск .
  • В меню выберите Панель управления .
  • Выберите Установка/Удаление программ .
  • Найдите Image Editor Packages и связанные программы.
  • Кликните на кнопку Удалить .

Удалите дополнения Image Editor Packages из ваших браузеров

Image Editor Packages в некоторых случаях устанавливает дополнения в браузеры. Мы рекомендуем использовать бесплатную функцию "Удалить тулбары" в разделе "Инструменты" в программе для удаления Image Editor Packages и свяанных дополнений. Мы также рекомендуем вам провести полное сканирование компьютера программами Wipersoft и Stronghold AntiMalware. Для того чтобы удалить дополнения из ваших браузеров вручную сделайте следующее:

Internet Explorer

  • Запустите Internet Explorer и кликните на иконку шестеренки в верхнем правом углу
  • В выпадающем меню выберите Настроить надстройки
  • Выберите вкладку Панели инструментов и расширения .
  • Выберите Image Editor Packages или другой подозрительный BHO.
  • Нажмите кнопку Отключить .

Предупреждение: Эта инструкция лишь деактивирует дополнение. Для полного удаления Image Editor Packages используйте .

Google Chrome

  • Запустите Google Chrome.
  • В адресной строке введите chrome://extensions/ .
  • В списке установленных дополнений найдите Image Editor Packages и кликните на иконку корзины рядом.
  • Подтвердите удаление Image Editor Packages .

Mozilla Firefox

  • Запустите Firefox.
  • В адресной строке введите about:addons .
  • Кликните на вкладку Расширения .
  • В списке установленных расширений найдите Image Editor Packages .
  • Кликните кнопку Удалить возле расширения.

Защитить компьютер и браузеры от заражения

Рекламное программное обеспечение по типу Image Editor Packages очень широко распространено, и, к сожалению, большинство антивирусов плохо обнаруживают подобные угрозы. Чтобы защитится от этих угроз мы рекомендуем использовать , он имеет активные модули защиты компьютера и браузерных настроек. Он не конфликтует с установленными антивирусами и обеспечивает дополнительный эшелон защиты от угроз типа Image Editor Packages.

Надеюсь, информация будет полезна!

Приложение

Установка обновления: WinPE 5.0 --> WinPE 5.1

Перейдем к созданию WinPE и его обновления. В принципе, можете сначала просто создать WinPE, попробовать загрузить с его помощью целевой компьютер и проверить его версию. Однако здесь я приведу весь процесс создания образа.
Предварительно должна быть создана рабочая копия файлов Windows PE.
Смонтируем образ Windows PE
Dism /Mount-Image /ImageFile:"C:\WinPE_amd64\media\sources\boot.wim" /index:1 /MountDir:"C:\WinPE_amd64\mount"
Добавляем пакеты обновлений к образу Windows PE. Набор пакетов обновлений тот же, что и был использован для обновления образа Windows 8.1 можно скачать . Важно при загрузке пакета KB2919355 скачать также пакеты KB2919355 , KB2932046 , KB2934018 , KB2937592 , KB2938439 , и KB2959977 . Пакеты нужно устанавливать по порядку и по отдельности.
-
Оптимизируем образ
Dism /Image:С:\WinPE_amd64\mount /Cleanup-Image /StartComponentCleanup /ResetBase
Размонтируем образ Windows PE
Dism /Unmount-Image /MountDir:"C:\WinPE_amd64\mount" /commit
Экспортируем и конвертируем образ Windows PE в новый wim-файл
Dism /Export-Image /SourceImageFile:C:\WinPE_amd64\media\sources\boot.wim /SourceIndex:1 /DestinationImageFile:C:\WinPE_amd64\media\sources\boot2.wim
Заменяем файл boot.wim новым файлом boot2.wim
del C:\WinPE_amd64\media\sources\boot.wim rename C:\WinPE_amd64\media\sources\boot2.wim boot.wim


Проверка образа WIMBoot

А теперь я приведу команды для проверки образа WIMBoot, которые необходимо выполнить в среде wpeinit.

  • Проверяем наличие разделов System, MSR, Windows и Images
diskpart select disk 0 select partition 3 assign letter C select partition 4 assign letter M list partition exit
Ожидаемый результат:

  • Проверка атрибутов раздела Images
diskpart select disk 0 select partition 4 detail partition exit
Ожидаемый результат:

  • Проверка файлов в разделе Images и файлов восстановления
dir "M:\Windows Images" dir M:\Recovery\WindowsRE
Ожидаемый результат:



  • В среде восстановления Windows должно быть правильно указано расположение допустимого образа восстановления.
C:\Windows\System32\Reagentc /Info /Target C:\Windows
Ожидаемый результат:




Установка обновлений на образ Windows 8.1

Смонтируем образ Windows
md C:\mount\Windows Dism /Mount-Image /ImageFile:"C:\Images\install.wim" /Index:1 /MountDir:C:\mount\Windows
Устанавливаем обновления KB2919442 и KB2919355 . Данные пакеты доступны для различных архитектур процессора: x86 , x64 и arm . Скачать пакеты можно . Пакеты обновлений должны быть установлены по порядку и по отдельности.
Dism /Add-Package /PackagePath:C:\MSU\Windows8.1--.msu /Image:C:\mount\Windows /LogPath:AddPackage.log
Здесь и далее - имя пакета, а - архитектура процессора.
Монтируем образ Windows RE
md C:\mount\WinRE Dism /Mount-Image /ImageFile:"C:\mount\Windows\Windows\System32\Recovery\winre.wim" /Index:1 /MountDir:C:\mount\WinRE
Обновляем образ WinRE с помощью тех же пакетов, которые были использованы при обновлении образа Windows
Dism /Add-Package /PackagePath:C:\MSU\Windows8.1--.msu /Image:C:\mount\WinRE /LogPath:AddPackage.log
Дополнительно выполним очистку образа, для того, чтобы удалить некоторые элементы и уменьшить конечный размер образа. Этот шаг необязателен, но его можно выполнить только на этом этапе: после запуска очистить образ будет невозможно.
Dism /Cleanup-Image /Image:C:\mount\WinRE /StartComponentCleanup /ResetBase
Теперь можно размонтировать образ Windows RE
Dism /Unmount-Image /MountDir:C:\mount\WinRE /Commit
Для того, чтобы увидеть изменения в размере файла, образ нужно экспортировать.
Dism /Export-Image /SourceImageFile:C:\mount\Windows\Windows\System32\Recovery\winre.wim /SourceIndex:1 /DestinationImageFile:C:\Images\winre_updated.wim
После экспорта, необходимо заменить winre.wim новой версией.
attrib –s -h C:\mount\Windows\Windows\System32\Recovery\winre.wim Del C:\mount\Windows\Windows\System32\Recovery\winre.wim copy C:\Images\winre_updated.wim C:\mount\Windows\Windows\System32\Recovery\winre.wim
После того, как обновления установлены, можно размонтировать образ Windows
Dism /Unmount-Image /MountDir:C:\mount\Windows /Commit

Теги:

Добавить метки