-
Junior Member
- Вес репутации
- 58
Backdoor в MBR
Доброго времени! При обновлении ICQ из интернета был подхвачен троян : Сектор диска: \Device\Harddisk1\DR1 обнаружено: троянская программа 'Backdoor.Win32.Sinowal.ck', идентифицирован как шпион rootkit. Обнаруживает только Каспер, но не помогает. Перезапись сектора fixboot и fixmbr не помогла.
Вот эта программа - "I AM SO HAPPY! I managed to get rid of this stupid worm thanks to this small wonderful program: http://www.ambience.sk/fdisk-master-...ilo-fixmbr.php (MbrFix). No matter of what the page says it is FULLY compatible with VISTA. You simply do the following things:
a) Boot from the VISTA DVD
b ) Choose the Command Prompt option (after you select REPAIR MY COMPUTER)
c) I saved the mbrfix.exe in drive C: so I switched to this drive and I wrote MBRFIX /DRIVE 0 FIXMBR and MBRFIX /DRIVE 1 FIXMBR....and....
...VOILA! THE PROBLEM SOLVED! Bye bye Rootkit Worm. Without formating anything without changing the order of the HDs. Who dares wins!
I hope this solution will help other people in the future.
мне не помогла, DOS не распознаёт программ, указанных в ней, а именно MbrFix /drive <num> fixmbr. (у меня num=1)
Есть ещё способ
1. Moved data from DR1 to DR0
2. Disconected my DR0 (system disc)
3. Formatted my DR1 (from MS-DOS level)
4. Changed partitions on my DR1 (40GB/40GB into 45GB/35GB)
5. Formatted it again
6. Connected back DR0
7. Finally no sign of annoying sinowal.a
но у меня 200Га инфы, которую некуда писать, поражены буты обоих физдисков, а новый винт просто боюсь соединять с этим, хотя трояны не размножаются
Кто сражался успешно?
Благодарю
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
CureIt! пробовали?
Вообще-то вам сюда.
-
-
Вроде 8-ой каспер, др.вэб и гмер умеют его убивать корректно.
Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves
-
-
KIS 2009 и Dr.Web лечат корректно(вчера воспроизводил),с помощью гмера лечить не рекомендуется,это очень опасно,проще всего скачать CureIT...
-
-
Могу ошибаться, но вроде AVZ не видит синовал и русток.це, так что "помогите" не поможет
Blink 182 = BoxCar Racer + plus 44 + Angels & Airwaves
-
-
Сообщение от
Surfer
Могу ошибаться, но вроде AVZ не видит синовал и русток.це, так что "помогите" не поможет
Вот поэтому в правилах "помогите" CureIT стоит первым ... он по идее обязан найти и пролечить бутсектор
-
-
По идеи AVZ может видеть хуки IRP,если не так,Олег поправь плиз
-
-
Сообщение от
Гриша
По идеи AVZ может видеть хуки IRP,если не так,Олег поправь плиз
Видеть хук и полечить буткита - разные вещи Да, хуки буткита будут видны ...
-
-
Junior Member
- Вес репутации
- 58
AVZ у меня стоял ещё до "помогите" - он не видит. Я пробовала много разных антивирей, но видит только Каспер. Попробую CureIt. Cпасибо всем.
Добавлено через 4 часа 0 минут
Да!!! Спасибо всем! CureIT убил его, только у Д.Вэбэра он идет под другим именем, не помню, что-то типа Мао, не найду, куда он лог кинул, и ещё кучу шпионов нашел, что другие не находили.
Последний раз редактировалось LadyM; 06.07.2008 в 01:30.
Причина: Добавлено
-
MaosBoot его имя. Лог CureIt! ищите в вашем профиле:
Пуск - Выполнить - %USERPROFILE%\DoctorWeb - OK
-