Показано с 1 по 10 из 10.

Backdoor в MBR

  1. #1
    Junior Member Репутация
    Регистрация
    05.07.2008
    Сообщений
    8
    Вес репутации
    58

    Backdoor в MBR

    Доброго времени! При обновлении ICQ из интернета был подхвачен троян : Сектор диска: \Device\Harddisk1\DR1 обнаружено: троянская программа 'Backdoor.Win32.Sinowal.ck', идентифицирован как шпион rootkit. Обнаруживает только Каспер, но не помогает. Перезапись сектора fixboot и fixmbr не помогла.
    Вот эта программа - "I AM SO HAPPY! I managed to get rid of this stupid worm thanks to this small wonderful program: http://www.ambience.sk/fdisk-master-...ilo-fixmbr.php (MbrFix). No matter of what the page says it is FULLY compatible with VISTA. You simply do the following things:
    a) Boot from the VISTA DVD
    b ) Choose the Command Prompt option (after you select REPAIR MY COMPUTER)
    c) I saved the mbrfix.exe in drive C: so I switched to this drive and I wrote MBRFIX /DRIVE 0 FIXMBR and MBRFIX /DRIVE 1 FIXMBR....and....
    ...VOILA! THE PROBLEM SOLVED! Bye bye Rootkit Worm. Without formating anything without changing the order of the HDs. Who dares wins!
    I hope this solution will help other people in the future.
    мне не помогла, DOS не распознаёт программ, указанных в ней, а именно MbrFix /drive <num> fixmbr. (у меня num=1)
    Есть ещё способ
    1. Moved data from DR1 to DR0
    2. Disconected my DR0 (system disc)
    3. Formatted my DR1 (from MS-DOS level)
    4. Changed partitions on my DR1 (40GB/40GB into 45GB/35GB)
    5. Formatted it again
    6. Connected back DR0
    7. Finally no sign of annoying sinowal.a
    но у меня 200Га инфы, которую некуда писать, поражены буты обоих физдисков, а новый винт просто боюсь соединять с этим, хотя трояны не размножаются
    Кто сражался успешно?
    Благодарю

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    CureIt! пробовали?
    Вообще-то вам сюда.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    Вроде 8-ой каспер, др.вэб и гмер умеют его убивать корректно.
    Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    KIS 2009 и Dr.Web лечат корректно(вчера воспроизводил),с помощью гмера лечить не рекомендуется,это очень опасно,проще всего скачать CureIT...

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    09.08.2006
    Адрес
    Google
    Сообщений
    971
    Вес репутации
    520
    Могу ошибаться, но вроде AVZ не видит синовал и русток.це, так что "помогите" не поможет
    Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Surfer Посмотреть сообщение
    Могу ошибаться, но вроде AVZ не видит синовал и русток.це, так что "помогите" не поможет
    Вот поэтому в правилах "помогите" CureIT стоит первым ... он по идее обязан найти и пролечить бутсектор

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    По идеи AVZ может видеть хуки IRP,если не так,Олег поправь плиз

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Гриша Посмотреть сообщение
    По идеи AVZ может видеть хуки IRP,если не так,Олег поправь плиз
    Видеть хук и полечить буткита - разные вещи Да, хуки буткита будут видны ...

  10. #9
    Junior Member Репутация
    Регистрация
    05.07.2008
    Сообщений
    8
    Вес репутации
    58
    AVZ у меня стоял ещё до "помогите" - он не видит. Я пробовала много разных антивирей, но видит только Каспер. Попробую CureIt. Cпасибо всем.

    Добавлено через 4 часа 0 минут

    Да!!! Спасибо всем! CureIT убил его, только у Д.Вэбэра он идет под другим именем, не помню, что-то типа Мао, не найду, куда он лог кинул, и ещё кучу шпионов нашел, что другие не находили.
    Последний раз редактировалось LadyM; 06.07.2008 в 01:30. Причина: Добавлено

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    MaosBoot его имя. Лог CureIt! ищите в вашем профиле:
    Пуск - Выполнить - %USERPROFILE%\DoctorWeb - OK

Похожие темы

  1. Backdoor.Daodan, Backdoor.Delf
    От sibdvor в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 22.07.2008, 17:59
  2. UDP 7788 - backdoor.mnets,backdoor.singu, blackhole 2000
    От dimonavia в разделе Общая сетевая безопасность
    Ответов: 1
    Последнее сообщение: 11.02.2008, 12:55
  3. Backdoor.Win32.Padodor.ax - backdoor с бортовым RootKit
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 4
    Последнее сообщение: 26.07.2005, 02:00
  4. Новый тип Backdoor - вероятно Backdoor.Delf.??
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 0
    Последнее сообщение: 10.02.2005, 15:14
  5. BackDoor.Scard (Backdoor.Win32.Small.bq)
    От Geser в разделе Описания вредоносных программ
    Ответов: 4
    Последнее сообщение: 11.11.2004, 22:05

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01361 seconds with 16 queries