Здравствуйте!
ПОудалял много вирусов, остался руткит на mbr. Подскажите как его правильно удалить.
Спасибо.
Здравствуйте!
ПОудалял много вирусов, остался руткит на mbr. Подскажите как его правильно удалить.
Спасибо.
Последний раз редактировалось aqua; 16.02.2010 в 12:46.
Здравствуйте,
Мы будем Вам очень признательны, если Вы прочтёте и в точности выполните наши несложные правила.
В противном случае мы никак не сможем быть Вам полезны.
Добавил логи.
Логи посмотрите?
Загрузите ПК с установочного диска Windows XP,
войдите в Консоль восстановления и
выполните следующие команды:
FIXMBR
FIXBOOT C:
EXIT
(на вопросы о перезаписи MBR и загрузочного сектора отвечать Y).
После перезагрузки запустите свою систему и сделайте следующее:
1. Отключите восстановление системы!
2. Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean; var i : integer; KeyList : TStringList; KeyName : string; begin RegKeyResetSecurity(ARoot, AName); KeyList := TStringList.Create; RegKeyEnumKey(ARoot, AName, KeyList); for i := 0 to KeyList.Count-1 do begin KeyName := AName+'\'+KeyList[i]; RegKeyResetSecurity(ARoot, KeyName); RegKeyResetSecurityEx(ARoot, KeyName); end; KeyList.Free; end; Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte; var i : integer; KeyList : TStringList; KeyName : string; begin Result := 0; if StopService(AServiceName) then Result := Result or 1; if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2; KeyList := TStringList.Create; RegKeyEnumKey('HKLM','SYSTEM', KeyList); for i := 0 to KeyList.Count-1 do if pos('controlset', LowerCase(KeyList[i])) > 0 then begin KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName; if RegKeyExistsEx('HKLM', KeyName) then begin Result := Result or 4; RegKeyResetSecurityEx('HKLM', KeyName); RegKeyDel('HKLM', KeyName); if RegKeyExistsEx('HKLM', KeyName) then Result := Result or 8; end; end; if AIsSvcHosted then BC_DeleteSvcReg(AServiceName) else BC_DeleteSvc(AServiceName); KeyList.Free; end; begin RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','microsoft sto'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Download Master'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Antivirus Pro 2010'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sys32_nov'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','webHancer Agent'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sys32_nov'); DeleteFileMask('C:\WINDOWS\Temp', '*.*',true); BC_ServiceKill('ljvchg'); BC_Activate; RebootWindows(true); end.
3. Сделайте новые логи, включая лог gmer.
I am not young enough to know everything...
Спасибо. Но пришлось форматнуть диск время поджимало.
Тему можно закрыть.
Если там действительно был руткит в MBR, то format c: его не убил.
I am not young enough to know everything...
Нет. Не только формат.
Убил разделы, по новой диски создал.
Уважаемый(ая) aqua, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.