Перейти к содержанию
lmaolmao

Не могу отделаться от трояна

Recommended Posts

lmaolmao

Здравствуйте. Следующая проблема - не могу отчистить ноутбук от троянской программы. Полный формат и переустановка винды не помогают.

Слышал, что есть так называемые руткиты или буткиты, которые записываются в загрузочный раздел диска - думаю, что это мой случай.

Подскажите, как можно избавиться от подобных троянов?

P.S. Не буду говорить какие, но доказательства, что трой после формата остается в системе имеются 100%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

из простого: tdsskiller, avptool, cureit

ps: я не экстрасенс, а только учусь....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
grixa

Может быть 2 причины того, что троян остался в системе (если вы 100% уверены, что он остался)):

1. Он находится в самом дистрибутиве ОС, которую вы ставите. Особенно велика вероятность подцепить заразу, устанавливая всякие сомнительные сборки.

2. У вас действительно какой-то хитрый буткит, который пережил переустановку ОС и форматирование HDD. В таком случае, хотелось бы взглянуть на логи TDSSKiller, AVZ и GMER.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Посмотрите, что сидит в MBR или VBR на разделах. Например, с помощью VBA Anti-Rootkit

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lmaolmao

Трой не может записаться куда-то еще? В оперативную память или в место, куда вшит BIOS или что-то подобное?

Если сменить жесткий диск на ноутбуке, то поможет?

Отредактировал lmaolmao

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
Полный формат и переустановка винды не помогают.

Слышал, что есть так называемые руткиты или буткиты, которые записываются в загрузочный раздел диска - думаю, что это мой случай.

Да, неуловимый мощный руткит. Это как раз Ваш случай.

Если сменить жесткий диск на ноутбуке, то поможет?

Нет, не поможет. Ситуацию помогут прояснить логи и доказательства о которых Вы почему-то умалчиваете.

Вспомнилась старая тема http://virusinfo.info/showthread.php?t=13237

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
lmaolmao

Почему не поможет, Сашенька? O_o

У Вас, кстати, очень хорошая память ;)

Отредактировал lmaolmao

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandra
У Вас, кстати, очень хорошая память ;)

Оставим комплименты.

Ссылка на случай, если надумаете сделать лог Vba32 AntiRootkit

http://virusinfo.info/showthread.php?t=78057 (ordinary mode)

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

А почему смена жёсткого диска не поможет?) это куда ещё может записать себя руткит? в контроллер что и?)) Форматирование не поможет, но вот полное пересоздание разделов, самое то.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
это куда ещё может записать себя руткит?

Ну, были случаи, когда писалось в BIOS :) Но это экзотика :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
deconf

куча сборок с предустановлеными вирусами, и это касаетса не только дистрибутивов. например разные качалки и прочий легальный софт.

о контролеррах: советую освежить свои познания в компьютерах и перезаписываемых чипах - это уже возможно и не надо спрашивать ссылки

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
B .
Ну, были случаи, когда писалось в BIOS :) Но это экзотика :)

Валера, ты про Trojan.Bioskit? Скажем так: это не то чтобы экзотика, а весьма сырая и, судя по всему, экспериментальная поделка, не представляющая серьезной опасности. Заражает только авардовские биосы, только некоторых модификаций, только при наличии свободного места для записи образа, да еще и с использованием стороннего приложения cbrom производства Phoenix.

В общем, пока еще эту категорию угроз можно серьезно не рассматривать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

B ., это была больше ирония. И под вопрос "куда ещё может" вполне подходит :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord
это уже возможно и не надо спрашивать ссылки

а кто спрашивает?) и про заражение бытовой техники читали)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.7.
    • demkd
      ---------------------------------------------------------
       4.15.7
      ---------------------------------------------------------
       o Исправлена старая ошибка проверки ЭЦП: "Not a cryptographic message or the cryptographic message is not formatted correctly"
         проявляющаяся в некоторых системах.

       o Обновлена база известных файлов.

       
    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
×