autochk.exe infikovan

[Dejv]

Opravdu netusim ,kde maji ti zmrdi puvod. A jak ti je mam upnout? Mam ti upnout ten nakazenej autochk?

[Dejv]

Tady jsou ti jebáci. ten rp jsem vybral z OTL co ho kopl na c, protože ze systému ho rezervoval právě tam.

[Dejv]

Log komplet XueTr

[Dejv]

Kurňa , ale vidím , že je to oříšek a proto si říkám , že nakonec asi raději provedu formát a new instalaci, ale rád posloužím k výzkumu a snad se ti podaří ty šmejdy vychytat. Časově mě ten book netlačí páč mám i jiné stroje.Takže pokud budeš chtít tak ti budu nápomocen

[Dejv]

IE.exe je z Program Files/InternetExplorer.

[Dejv]

ok jdu na to....

[Dejv]

Ok, ten fixmbr můžu udělat i z origo xp CD v konzole, ale stejně je eště potřeba opravný fix OTLPE, takže zrovna bootnu OTL
reset biosu do default>otlboot>reset MBR>opravný fix, který zruší infikovaní autochk pak butnu do normál režimu a nakopčím čistej autochk.....jdu na to

[Dejv]

mrknu tam , ale taky nevím přesně jak se to jmenovalo....Hardware virtualization rootkits?....nevím prohlédám bios

[Dejv]

ok, dobrou budu bojovat....

[Dejv]

ojojoj....tak je asi dobojováno, po spuštění fixmbr a následně opravného fix sriptu v OTL nechce naběhnout systém, nejde nabootovat instalační CD windows, vše končí modrou smrtí. Zkusil jsem si z hirens CD butnout (což šlo) a v portable win 7 jsem zkusil vrátit v sstém 32/config souboryy sam,systém..atd z 25.4 a stále po restartu hned modrá smrt>restar>modrá smrt a tak stále dokola. Asi ten fix MBR nějak poděla boot i když nechápu proč, fix MBR jse dělal párkrát a vždy v pohodě.
No jdu chrnět a dumat, ráno moudřejšího večera.

[Dejv]

Jen jsem spustil v OTL z plochy ten příkaz. Jediý co se spustí a nehodí smrt je OTL LIVE. Myslíš , že se to ještě dá rozjet? Je divný, že pokud bych chtěl i udělat z win CD reinstal, tak když má naskočit entr>F8>a možnost R, tak opět modrá smrt, to je dost divný, s něčím se to mláti na HDD.

[Dejv]

No chlape máš recht, že mě to hned nenapadlo, přitom vím že se musí přehodit na IDE pro XP instalaci kterou jsem dělal v roce 09. Už to naběhlo( bez autochk), tak to zkusím dokončit jak jsme to včera naplánovali.
Tak za hodinu poreferuji co se změnilo, musím na poštu na otočku.


spustil jsem oba i fixmbr a následně fixOTL

[Dejv]

Takže provedl jsem fixboot i fixmbr a skore žebráků stejné v autochk.exe 7/42, tak znova pro jistotu a pořád stejné, tak jsem stáhl poslední BIOS přes utilitu v biosu provedl flash na poslední verzi a skóre je 0/42 zmrdů ...měl jsi pravdu tahalo si to přímo z BIOSU, takže to byl biosrootkit. Jak se to tam dostalo? To by přece musel někdo dumpnout obsah BIOSu a udělat úpravu i když teď jsem četl , že je schopen se do biosu přímo nainstalovat a odtama špehovat celej PC. Každopádně scanoval asi po 5 restartech jak ve firefoxu, tak IE a na virustotal i na virscan a konečně čistota.

[Dejv]

No chtěl bych ovládat luštění logů jak to máš zmáklé ty, hlavně díky za pomoc a čas. Zase jsem se něco i přiučil

Kde se to do booku dostalo netuším , protože se jedná o stroj setry

Jdu začistit.

Za moment upnu ty zálohy .....

[Dejv]

Je fakt , že jasně ho poznal hned CF_log.........c:\windows\system32\autochk.exe . . . je infikován!!

Jinak bych o něm ani nevěděl. Zda by ho pozna RSIT nevím, protože jsem ho nepoužil.

Do večera to upnu mám nějak pomalej UP