Здравствуйте!
ПОудалял много вирусов, остался руткит на mbr. Подскажите как его правильно удалить.
Спасибо.
Printable View
Здравствуйте!
ПОудалял много вирусов, остался руткит на mbr. Подскажите как его правильно удалить.
Спасибо.
Здравствуйте,
Мы будем Вам очень признательны, если Вы прочтёте и в точности выполните наши несложные [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL].
В противном случае мы никак не сможем быть Вам полезны.
Добавил логи.
Логи посмотрите?
Загрузите ПК с установочного диска Windows XP,
войдите в Консоль восстановления и
выполните следующие команды:
[B]FIXMBR
FIXBOOT C:
EXIT[/B]
(на вопросы о перезаписи MBR и загрузочного сектора отвечать [B]Y[/B]).
После перезагрузки запустите свою систему и сделайте следующее:
1. [b]Отключите восстановление системы![/b]
2. Выполните скрипт в AVZ:
[code]
Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
begin
KeyName := AName+'\'+KeyList[i];
RegKeyResetSecurity(ARoot, KeyName);
RegKeyResetSecurityEx(ARoot, KeyName);
end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
i : integer;
KeyList : TStringList;
KeyName : string;
begin
Result := 0;
if StopService(AServiceName) then Result := Result or 1;
if DeleteService(AServiceName, not(AIsSvcHosted)) then Result := Result or 2;
KeyList := TStringList.Create;
RegKeyEnumKey('HKLM','SYSTEM', KeyList);
for i := 0 to KeyList.Count-1 do
if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;
if RegKeyExistsEx('HKLM', KeyName) then begin
Result := Result or 4;
RegKeyResetSecurityEx('HKLM', KeyName);
RegKeyDel('HKLM', KeyName);
if RegKeyExistsEx('HKLM', KeyName) then
Result := Result or 8;
end;
end;
if AIsSvcHosted then
BC_DeleteSvcReg(AServiceName)
else
BC_DeleteSvc(AServiceName);
KeyList.Free;
end;
begin
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','microsoft sto');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Download Master');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Antivirus Pro 2010');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sys32_nov');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','webHancer Agent');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sysgif32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sys32_nov');
DeleteFileMask('C:\WINDOWS\Temp', '*.*',true);
BC_ServiceKill('ljvchg');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
3. Сделайте новые логи, включая лог gmer.
Спасибо. Но пришлось форматнуть диск :( время поджимало.
Тему можно закрыть.
Если там действительно был руткит в MBR, то format c: его не убил.
Нет. Не только формат.
Убил разделы, по новой диски создал.