Win32/Mebroot.K

[stell]

no zadaj prikaz
fixmbr \device\harddisk1 [enter]
exit [enter] a uvidis ze ci sa disk objavi v tento pocitac,ak ano mas vyhrate,ak nie skus znova ci uz sa da priradit pismenko

[Ondras]

vsak jsem ho tam zadaval... je to na fotce
E:/WINDOWS/fixmbr/device/harddisk1
a pise: tento prikaz je neplatny. Prikazem Help.....atd

[stell]

no vsak som ti aj pisal ze potom co treba robit,mas 2-moznosti.

[Consolero]

Ahoj, zde prikladam log.

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x2e937cc1 size 0x1ac !

[Ondras]

tak to je neuveritelny, jak 1 program dokaze znicit tolik giga behem chvilky

[stell]

Consolero
ok,sprav toto -ale vsetko robis na vlastnu zodpovednost,mas na systemovom disku malicious code,zaloha dat a mas to raz dva.

Ok,teraz velmy pozorne citaj co pisem.
Sprav zalohu dolezitych dat
:Stiahnes program HXD>nainstaluj ho ak to budes mat napis dostanes dalsie instrukcuie:
ftp://wa651f2:anonymous@mh-nexus.de/HxDsk.zip


1:Vypni Firewall>spust program HXD<klikni hore na ikonku pevneho disku>na karte ktora sa objavi>pod Fyzicke disky>Klik >oznac PEVNY DISK>vyber fajku >otvor len na citanie>klik>ok a este raz OK>


2:V pravo hore >je napisane >sector>a okienko + sipky>budes nastavovat a hladat sectory so sipkamy>sector 0>je MBR>a sector -63 je BOOT>Nebabrat>sector 1-62 maju byt Nulove>000000000000.

3:Program HXD otvor na plnu obrazovku>nastav so sipkou sector napriklad-1>ak cely sector 1-je nulova stlac lavu mysku oznac ho> pravy klik kopirovat presne cely nulovy sector>ale presne od ciary po ciaru

4:Skontroluj zo sipkamy sectory 1-62 a kde nie je cely sector nulovy stlac lavu mysku oznac presne cely sector>pravy klik>PREPISAT.

5:prepisu sa ti na cerveno>na 0000000-ly>ak toto budes mat klik v pravom hornom rohu na krizik a zatvor program HXD,objavi sa ti okno ci chces zmenu ulozit suhlasis.Zatvoris program HXD>restartnes >PC< a po restarte spust mbr.exe a vloz sem log.
Nepomyl sa nie ze zacnes prepisovat logicke disky

[stell]

hm

ak to je neuveritelny, jak 1 program dokaze znicit tolik giga behem chvilky

To nie program ale neodborny postup pri odstraneni MEBROOTA.Tohoto smejda treba velmi opatrne odstranovat a predtym zaloha dolezitych dat asi takto,Tak ti poviem ze zajaca ste isli lovit tankom.

[Ondras]

a nevi nekdo z vas nejaky navod na poškozený mbr sektor? na internetu jsem par navodu nasel, ale potreboval bych tzv. online pomoc, kdyz se neco bude dit...

[stell]

takto ty nemas poskodeny mbr sector na systemovom disku ale na datovom,a podla mna ani nie poskodeny ale komplet odstraneny.

[Ondras]

cili se vsechny veci co na nem jsou smazali, nebo se jeste pujdou dat zachranit?

[stell]

nie vsetko co tam mas je tam,okrem MBR-a preto windows nevie citat disk,som ti pisal ze skus disk zapojit ako slave,alebo to mas tak??

[Ondras]

no prave ze disk mam na slave a tak mi normalne fungoval... tak jsem ho dal na master a pri nacteni ho ve sprave pocitace - sprava disku ani neukazal...kdyz ho mam na slave, tak ho tam mam videt, ale nemuzu zmenit to pismeno jednotky a cestu...

[stell]

no ak ho tam vidis tak to otvor ci sa da.

[Ondras]

no prave nejde tam upravit, abych tam napsal to pismeno, jak jsme tu resili... ani prikaz fixmbr/device/harddisk1 nefunguje...

[stell]

uz se opakujem,uz som ti pisal ze ak sa neda priradit pismenko a nevidis v tento pocitac a ani konzola ho nerozpozna je poskodeny,alebo uplne odtsraneny MBR.sector,,,,,da sa carovat prikazom Diskpart a potom pouzit program npr,getdataback a podobne programy na zachranu dat,ale nie som si isty vysledkom,a ani tu nie je priestor na to,skus poprosit Kolegu CARLS-mozno ze ma lepsi napad,