Backdoor в MBR

Доброго времени! При обновлении ICQ из интернета был подхвачен троян : Сектор диска: \Device\Harddisk1\DR1 обнаружено: троянская программа 'Backdoor.Win32.Sinowal.ck', идентифицирован как шпион rootkit. Обнаруживает только Каспер, но не помогает. Перезапись сектора fixboot и fixmbr не помогла.
[COLOR=darkslateblue][COLOR=black]Вот эта программа[/COLOR] - "I AM SO HAPPY! I managed to get rid of this stupid worm thanks to this small wonderful program:[/COLOR] [URL]http://www.ambience.sk/fdisk-master-boot-r...lilo-fixmbr.php[/URL] [COLOR=navy](MbrFix). No[/COLOR] [COLOR=navy]matter of what the page says it is FULLY compatible with VISTA. You simply do the following things:[/COLOR]
[COLOR=navy]a) Boot from the VISTA DVD[/COLOR]
[COLOR=navy]b ) Choose the Command Prompt option (after you select REPAIR MY COMPUTER)[/COLOR]
[COLOR=navy]c) I saved the mbrfix.exe in drive C: so I switched to this drive and I wrote MBRFIX /DRIVE 0 FIXMBR and MBRFIX /DRIVE 1 FIXMBR....and....[/COLOR]
[COLOR=navy]...VOILA! THE PROBLEM SOLVED! Bye bye Rootkit Worm. Without formating anything without changing the order of the HDs. Who dares wins![/COLOR]
[COLOR=navy]I hope this solution will help other people in the future[/COLOR].
мне не помогла, DOS не распознаёт программ, указанных в ней, а именно MbrFix /drive <num> fixmbr. (у меня num=1)
Есть ещё способ
1. Moved data from DR1 to DR0
2. Disconected my DR0 (system disc)
3. Formatted my DR1 (from MS-DOS level)
4. Changed partitions on my DR1 (40GB/40GB into 45GB/35GB)
5. Formatted it again
6. Connected back DR0
7. Finally no sign of annoying sinowal.a
но у меня 200Га инфы, которую некуда писать, поражены буты обоих физдисков, а новый винт просто боюсь соединять с этим, хотя трояны не размножаются
Кто сражался успешно?
Благодарю

CureIt! пробовали?
Вообще-то вам [url=http://virusinfo.info/showthread.php?t=1235]сюда[/url].

Вроде 8-ой каспер, др.вэб и гмер умеют его убивать корректно.

KIS 2009 и Dr.Web лечат корректно(вчера воспроизводил),с помощью гмера лечить не рекомендуется,это очень опасно,проще всего скачать CureIT... :)

Могу ошибаться, но вроде AVZ не видит синовал и русток.це, так что "помогите" не поможет :)

[quote=Surfer;251439]Могу ошибаться, но вроде AVZ не видит синовал и русток.це, так что "помогите" не поможет :)[/quote]
Вот поэтому в правилах "помогите" CureIT стоит первым ... он по идее обязан найти и пролечить бутсектор

По идеи AVZ может видеть хуки IRP,если не так,Олег поправь плиз:)

[quote=Гриша;251453]По идеи AVZ может видеть хуки IRP,если не так,Олег поправь плиз:)[/quote]
Видеть хук и полечить буткита - разные вещи :) Да, хуки буткита будут видны ...

AVZ у меня стоял ещё до "помогите" - он не видит. Я пробовала много разных антивирей, но видит только Каспер. Попробую CureIt. Cпасибо всем.

[size="1"][color="#666686"][B][I]Добавлено через 4 часа 0 минут[/I][/B][/color][/size]

Да!!! Спасибо всем! CureIT убил его, только у Д.Вэбэра он идет под другим именем, не помню, что-то типа Мао, не найду, куда он лог кинул, и ещё кучу шпионов нашел, что другие не находили.

MaosBoot его имя. Лог CureIt! ищите в вашем профиле:
Пуск - Выполнить - %USERPROFILE%\DoctorWeb - OK