Win32/Olmarik.TDL4.trojan - prosim o pomoc

[vyosek]

Nyni zkuste TDSSKiller

[buhtak]

bohužial nič..len ho spustím a pýta sa či chcem povoliť vykonávanie zmien v počítači dám povoliť a potom nič..

[vyosek]

Stahnete aswMBR http://public.avast.com/%7Egmerek/aswMBR.exe a ulozte jej na plochu.

• Utilitu spustte a prikazte ji, at skenuje - klik na Scan
• Kliknutim na Save log ulozte log aswMBR na plochu
• Obsah logu aswMBR mi sem vlozte

[buhtak]

robí to isté čo TDSSKiller ,nebude to niečím blokované?

[vyosek]

Prave premyslim a snazim se zjistit cim, jelikoz CF se zda ciste

Stahnete MBRScan http://eric71.geekstogo.com/tools/MbrScan.exe

• Ulozte nejlepe na plochu
• Pokud pouzivate Win Vista ci W7, kliknete na MBRScan pravym a dejte Run As Administrator ci Spustit jako spravce
• Kliknete na Report
• Po chvilce se objevi log do souboru MBRScan.txt, ten sem vlozte

[buhtak]

MBRScan v1.1.1

OS : Windows 7 (32 bit)
PROCESSOR : x86 Family 6 Model 23 Stepping 10, GenuineIntel
BOOT : Normal Boot
DATE : 2012/04/03 (ISO 8601) at 19:08:57
________________________________________________________________________________

DISK : Device\Harddisk0\DR0 __Hitachi HDS721064CLA332 (JPGOA3BF)
BUS_TYPE : (0x03) P-ATA
USE_PIO : NO
MAX_TRANSFER : 128 Kb
ALIGNMENT_MASK : word aligned
________________________________________________________________________________

Device\Harddisk0\DR0 596.2 Go [Fixed] ==> MaxSS.SST.B MBR Code

MBR_MD5 : 4296D6887CA52A3E1B7461339C318336
MBR_SHA1 : 689CF55736C5B92EA3AF4E191EE336AC7AFAB5D9

Device\Harddisk0\Partition1 100.0 Mo 0x07 NTFS / HPFS __ BOOTABLE __
Device\Harddisk0\Partition2 298.5 Go 0x07 NTFS / HPFS
Device\Harddisk0\Partition3 8.25 Go 0x07 NTFS / HPFS
Device\Harddisk0\Partition4 289.4 Go 0x07 NTFS / HPFS
________________________________________________________________________________

############################### Additional scan ################################

DRIVER : C:\Windows\System32\Drivers\sptd.sys => LOCKED!
ADDRESS : 0x83ABE000
SIZE : 1.07 Mo

DRIVER : C:\Windows\System32\Drivers\dump_dumpata.sys => Invisible on the disk
ADDRESS : 0x93D0F000
SIZE : 44.0 Ko

DRIVER : C:\Windows\System32\Drivers\dump_atapi.sys => Invisible on the disk
ADDRESS : 0x93D1A000
SIZE : 36.0 Ko

DRIVER : C:\Windows\System32\Drivers\dump_dumpfve.sys => Invisible on the disk
ADDRESS : 0x93D23000
SIZE : 68.0 Ko

DRIVER : C:\Windows\system32\Drivers\PROCEXP113.SYS => Invisible on the disk
ADDRESS : 0x9D7C2000
SIZE : 8.0 Ko

BCD EmsSettings {0CE4991B-E6B3-4B16-B23C-5E0D9250E5D9} => BcdLibraryBoolean_EmsEnabled (16000020)

SystemStartOptions : NOEXECUTE=OPTIN IN MINT

________________________________________________________________________________

_____FAKED \Device\Harddisk0\DR0

0x00000000 31 C0 8E D0 BC 00 7C 0E 1F 0E 07 66 60 88 16 00 1À.м.|....f`...
0x00000010 7E C6 06 04 7E 1E B4 48 BE 04 7E CD 13 B0 50 0F ~Æ..~.´H¾.~Í.°P.
0x00000020 82 73 01 83 2E 13 04 14 A1 13 04 C1 E0 06 A3 02 .s......¡..Áà.£.
0x00000030 7E 83 EC 0E 6A 10 89 E5 BE 99 7D B9 05 00 66 31 ~.ì.j..å¾.}¹..f1
0x00000040 DB E8 F7 00 FF 36 02 7E 07 8C 46 06 8C 5E 04 E8 Ûè÷..6.~..F..^.è
0x00000050 08 00 83 C4 10 66 61 06 1E CB 66 60 57 66 FF 36 ...Ä.fa..Ëf`Wf.6
0x00000060 14 7E 66 8F 46 08 66 FF 36 18 7E 66 8F 46 0C 66 .~f.F.f.6.~f.F.f
0x00000070 8B 45 10 66 40 66 29 46 08 66 19 5E 0C 8B 45 14 .E.f@f)F.f.^..E.
0x00000080 89 46 02 B4 42 8A 16 00 7E 89 EE CD 13 B0 52 0F .F.´B...~.îÍ.°R.
0x00000090 82 03 01 31 C0 BA 04 04 BE B4 7D 88 9F 42 7E FE ...1Àº..¾´}..B~þ
0x000000A0 C3 75 F8 8A 8F 42 7E 02 04 E8 7E 00 46 FE CE 75 Ãuø..B~..è~.FþÎu
0x000000B0 04 29 D6 88 D6 FE C3 75 EA 31 C0 89 C3 8B 56 02 .)Ö.ÖþÃuê1À.Ã.V.
0x000000C0 C1 E2 09 8B 76 04 FE C3 8A 8F 42 7E E8 5B 00 00 Áâ..v.þÃ..B~è[..
0x000000D0 E9 30 ED 89 CF 8A 8D 42 7E 26 30 0C 46 4A 75 E6 é0í.Ï..B~&0.FJuæ
0x000000E0 5F 66 8B 4D 18 66 0F B7 56 04 81 F9 FF 7F B0 53 _f.M.f.·V..ù..°S
0x000000F0 0F 87 A2 00 66 FF 75 1C 66 31 C0 66 89 45 1C 66 ..¢.f.u.f1Àf.E.f
0x00000100 F7 D0 26 67 32 02 66 42 B3 08 66 D1 E8 73 06 66 ÷Ð&g2.fB³.fÑès.f
0x00000110 35 20 83 B8 ED FE CB 75 F1 E2 E7 66 F7 D0 66 5B 5 .¸íþËuñâçf÷Ðf[
0x00000120 66 39 D8 B0 43 75 6F 66 61 C3 00 C8 89 C7 8A AD f9Ø°CuofaÃ.È.Ç.­
0x00000130 42 7E 88 AF 42 7E 88 8D 42 7E C3 66 60 BF 00 80 B~.¯B~..B~Ãf`¿..
0x00000140 8C 4E 06 89 7E 04 66 89 D8 40 89 45 14 66 0F B7 .N..~.f.Ø@.E.f.·
0x00000150 06 B2 7D 66 89 45 10 B8 20 00 E8 FD FE 8B 7E 04 .²}f.E.¸ .èýþ.~.
0x00000160 8B 55 18 FC 60 F3 A6 83 7D FE 5C 74 0D E3 0D 61 .U.ü`ó¦.}þ\t.ã.a
0x00000170 01 C7 29 C2 77 EE B0 4E EB 1C 41 4E 5F 83 C4 0E .Ç)Âwî°Në.AN_.Ä.
0x00000180 60 89 FE BF 22 7E 59 57 89 C1 F3 A4 61 E3 02 EB `.þ¿"~YW.Áó¤aã.ë
0x00000190 C9 59 57 66 61 C3 F4 EB FD 5C 62 6F 6F 74 00 00 ÉYWfaÃôëý\boot..
0x000001A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x000001B0 00 00 02 00 14 91 E8 CA 9E 21 63 5D 00 00 80 20 ......èÊ.!c]...
0x000001C0 21 00 07 DF 13 0C 00 08 00 00 00 20 03 00 00 DF !..ß....... ...ß
0x000001D0 14 0C 07 FE FF FF 00 28 03 00 00 88 4E 25 00 FE ...þ...(....N%.þ
0x000001E0 FF FF 0F FE FF FF 00 B0 51 25 00 60 2B 24 00 FE ...þ...°Q%.`+$.þ
0x000001F0 FF FF 07 FE FF FF 00 10 7D 49 B0 22 08 01 55 AA ...þ....}I°"..Uª

__ORIGINAL \Device\Harddisk0\DR0

0x00000000 33 C0 8E D0 BC 00 7C FB 8E C0 8E D8 8B F4 BF 00 3À.м.|û.À.Ø.ô¿.
0x00000010 06 B9 00 02 FC F3 A4 EA 60 06 00 00 00 00 00 00 .¹..üó¤ê`.......
0x00000020 52 65 63 6F 76 65 72 79 4D 67 72 20 00 10 7D 49 RecoveryMgr ..}I
0x00000030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x00000040 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0D 0A ................
0x00000050 00 00 00 00 57 00 00 00 FF FF FF FF FF FF FF FF ....W...........
0x00000060 86 4C BD BE 30 06 AC B4 0E 33 DB CD 10 0A C0 75 .L½¾0.¬´.3ÛÍ..Àu
0x00000070 F5 E3 0B FE 06 13 06 53 53 E8 70 00 EB 39 B4 11 õã.þ...SSèp.ë9´.
0x00000080 CD 16 74 2D B4 10 CD 16 80 FC 85 75 F1 3C 00 75 Í.t-´.Í..ü.uñ<.u
0x00000090 ED EB 24 8B 16 6C 04 FA 66 A1 1C 06 BF 54 06 B1 íë$..l.úf¡..¿T.±
0x000000A0 03 F2 66 AF FB 3D 00 00 6C 04 2B C2 83 F8 24 76 .òf¯û=..l.+Â.ø$v
0x000000B0 E6 B0 01 84 C0 75 1C BB C6 7D 66 8B 37 66 8B 3E æ°..Àu.»Æ}f.7f.>
0x000000C0 2C 06 66 3B F7 74 07 80 C3 10 73 EE EB 05 BB 28 ,.f;÷t..Ã.sîë.»(
0x000000D0 06 EB 10 BB C2 7D 80 7F FC 00 78 07 80 C3 10 73 .ë.»Â}..ü.x..Ã.s
0x000000E0 F5 EB FE 66 FF 77 04 E8 02 00 FF E4 C8 10 00 00 õëþf.w.è...äÈ...
0x000000F0 B4 08 B2 80 CD 13 8A C1 24 3F FE C6 8A D8 F6 E6 ´.².Í..Á$?þÆ.Øöæ
0x00000100 C0 E9 06 86 CD 41 91 F7 E1 39 56 06 8B 56 06 8B Àé..ÍA.÷á9V..V..
0x00000110 46 04 73 1C F7 F1 91 92 F6 F3 86 CD C0 E1 06 02 F.s.÷ñ..öó.ÍÀá..
0x00000120 CC 41 8A F0 B8 01 02 BB 00 7C 86 26 13 06 EB 14 ÌA.ð¸..».|.&..ë.
0x00000130 83 C4 10 0E 0E 52 50 0E 68 00 7C 6A 01 6A 10 8B .Ä...RP.h.|j.j..
0x00000140 F4 B8 00 42 B2 80 CD 13 C9 C2 04 00 1E 50 53 0E ô¸.B².Í.ÉÂ...PS.
0x00000150 1F BB 1B 06 A0 17 04 24 0F 88 47 04 E4 60 3C E0 .».....$..G.ä`<à
0x00000160 74 1A 3C 1D 74 10 3C 2A 74 0C 3C 36 74 08 3C 38 t.<.t.<*t.<6t.<8
0x00000170 74 04 84 C0 79 06 66 83 27 00 EB 06 FE 07 02 1F t..Ày.f.'.ë.þ...
0x00000180 88 07 5B 58 1F EA 00 00 00 00 00 00 00 00 00 00 ..[X.ê..........
0x00000190 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x000001A0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x000001B0 00 00 00 00 00 00 00 00 9E 21 63 5D 00 00 80 20 .........!c]...
0x000001C0 21 00 07 DF 13 0C 00 08 00 00 00 20 03 00 00 DF !..ß....... ...ß
0x000001D0 14 0C 07 FE FF FF 00 28 03 00 00 88 4E 25 00 FE ...þ...(....N%.þ
0x000001E0 FF FF 0F FE FF FF 00 B0 51 25 00 60 2B 24 00 FE ...þ...°Q%.`+$.þ
0x000001F0 FF FF 07 FE FF FF 00 10 7D 49 B0 22 08 01 55 AA ...þ....}I°"..Uª

[vyosek]

Poprosil jsem kolegu Naughtyho o soucinnost...

Jedna se o PC neb ntb

[buhtak]

normálny stolový PC

[vyosek]

Zvladnete udelat bootovaci flash disk kdyz dame navod a pak s ni pracovat? podobne jako jsou nejake live CD tak tohle bude obdoba...je treba ale tohle udelat na nenakazen PC, resp. je to lepsi...mate nejake k dispozici

[buhtak]

no na stránke kde som bol predtým tak som pozeral že tým Live CD by to šlo a aj som to chcel skúsiť ale potom som sa ešte prišiel spýtať sem...mám ešte jeden neinfikovaný PC takže to by šlo

[vyosek]

Zde tedy postup kolegy na bootovaci flash disk

Dělej na nenakaženém pc!

Prvně stáhni z následujících odkazů dva soubory http://www.itxassociates.com/OT-Tools/OTLPEStd.exe a http://www.eeepc.fr/wp-content/uploads/ ... eepcfr.zip
¨

Předpříprava instal souborů
----------------------------

1.

Za pomocí winrar/7-zip rozbal OTLPEStd do libovolné složky, jenž bude obsahovat tři soubory:

ImgBurn.exe
ImgBurn.ini
OTLPE_New_Std.iso <-- Opět rozbal, ale tentokrát na plochu, tak aby byla složka OTLPE_New_Std, v ní budou už složky/soubory programu


2.

Rozbal eeepcfr.zip vedle složky OTLPE_New_Std, tak aby existovala jen jedna složka eeepcfr obsahující samotné soubory/složky programu.


Příprava bootovací flash (klúče)
---------------------------------

Vlož prázdnou flash (min. požadavek kapacity 512MB) do usb
Spusť ...\eeecpfr\usb_prep8.cmd, při objevení černého okna zmačkni libovolnou klávesu, tímto krokem dojde k načtení ovládacího okna.

Nastav:
- pod USB removable nastav zprávnou jednotku s flashkou
- do Drive Label vypiš: OTLPE
- klikni na tři tečky u "Source Path to built BartPE/WinPE Files" navol cestu ke složce OTLPE_New_Std (klik na Ok)
- zbytek programu nech nastaveno jak je (viz přiložený obrázek)



- ujisti se, že je ptvrzena volba "Enable File Copy".
- klik na Start, potvrď 2X kliknutím na YES/Ano
- dojde ke kopírování souborů, při dokončení potvrď dialogove okno
- kliknutím na "close" ukonci program PetoUSB, ukonči i černé okno

poznámka: pokud tě vyzvu zkopíruj na flash i soubory, které sem uvedl

- vytáhni flash s PC.

Pokud nejde vytvořit flash disk, spusť nero, v menu programu zvol otevřít, najdi cestu k iso souboru (tj. OTLPE_New_Std.iso), dej vypálit. Dále postupuj jak u flash s přenosem na druhý pc. Informuj mne o tim, že report byl vytvořen z cd.

Na nakaženém pc!

- zasuň flash do PC, zapni
- pokud nedojde k načtení nebo dojde k BSOD (modré obrazovce) přejdi do BIOS-u (vetšinou přes tlačítko del hned při zapnutí PC) kde nastavíš:
V Boot Sequence hledej usb bootable nebo other a nastav first
V AHCI Mode/Sata mode - jen v případě BSOD - natav IDE
poznámka: každý bios je jiný, proto zevrubný popis
- při úspěšném startu operačního systému "starting Reatogo-X-Pe" s usb se načte plocha

Jak budete mit nacteny Reatogo-X-Pe tak si stahnete MBRScan http://eric71.geekstogo.com/tools/MbrScan.exe a ulozte na plochu

Udelame dump sektoru 0 - 64

Spustte MBRScan a kliknete na moznost Hexa

Ulozeni sektoru se provadi tlacitkem Dump Sector posun mezi sektory tlacitk Sector + a Sector -

Cislo sektoru ve kterem aktualne jste, je nad tim tlacitkem Sector -

Zalohovat budem vsechny tzv.nenulove sektory = sektory kde nejsou same nuly

Takze postupne prochazejte sektory od 0 do 64 a pokud najdete nejaky nenulovy, tak jej ulozte - klik na Dump Sector

Po dokonceni vsechny tyhle zalohy zabalte do raru a zase nekam uploadnete, treba na LP http://leteckaposta.cz/

Takhle vypada sektor, ktery NENI treba ukladat


Takhle vypada sektor, ktery JE potreba ukladat

[buhtak]

asi mi bude zálohovať data nie? nemôže sa ten vírus nakopírovať do nejakých súborov? a po tom bootovaciom CD by tam už ten vítus nemal byť?

[vyosek]

Dulezite a osobni dokumenty je treba mit zazalohovat stale...Nikdy nevite kdy je havet muze sezrat ci nejak modifikovat...

Ta bootovaci flashka nam ukaze kde by havet mela byt a pokusime se pak o opravu...

[buhtak]

teraz cez prázdniny som nemal prístup na pc tak som toto neriešil...musím zohnať flashku lebo tú čo mám je pokazená..potom sa to pokúsim nejak spraviť

[vyosek]

Oki, dobra