• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена WORM_DOWNAD.AD

Статус
В этой теме нельзя размещать новые ответы.

Winston

Активный пользователь
Сообщения
21
Реакции
0
Баллы
391
Выполнил c:\mbr.exe -t и c:\mbr.exe -f. вЕРНО? На самом деле в этой рекоммендации нифига не понятно...
 

akok

Команда форума
Администратор
Сообщения
17,567
Реакции
13,419
Баллы
2,203
Winston, что с проблемами?

В логе CF есть модуль интересный.


Код:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86A06830]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x86a06830
Warning: possible MBR rootkit infection !
user & kernel MBR OK 
Use "Recovery Console" command "fixmbr" to clear infection !

Подробнее можно прочесь в этой статье обратимся к части Emergency Recovery Console
 

Winston

Активный пользователь
Сообщения
21
Реакции
0
Баллы
391
Я так понимаю, нужно установить консоль восстановления и запустить команду (Use "Recovery Console" command "fixmbr" to clear infection !) ???
Продолжу завтра вечером. Спасибо.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,567
Реакции
13,419
Баллы
2,203
Winston, я дал ссылку на краткую инструкцию.
 

Winston

Активный пользователь
Сообщения
21
Реакции
0
Баллы
391
MBR пофиксил. Карантин отправил. Может какие логи нужно скинуть?
 

akok

Команда форума
Администратор
Сообщения
17,567
Реакции
13,419
Баллы
2,203
Все зависит от самочуствия.

Хотя я бы не отказался от карантина и свежего лога CF.
 

Winston

Активный пользователь
Сообщения
21
Реакции
0
Баллы
391
лучше лог CF или AVZ ?
 

akok

Команда форума
Администратор
Сообщения
17,567
Реакции
13,419
Баллы
2,203
Лог Combofix.
 

akok

Команда форума
Администратор
Сообщения
17,567
Реакции
13,419
Баллы
2,203
Чисто.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /u, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу