win32/mebroot.BG

[elpepe]

Ahoj
Prosím o pomoc s torjským koněm win32/mebroot.BG
Nejsem moc v počítačích zběhlý, tak bych potřboval polopatě postup.
Zkusil jsem něco , co už se zde na fóru někdo pokoušel, ale nevímm co dál s logem z combofixu.
díky za radu
Zde ten log:

ComboFix 10-02-08.02 - Pája 08.02.2010 23:06:08.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.511.225 [GMT 1:00]
Spuštěný z: c:\documents and settings\Pája\Plocha\ComboFix.exe
AV: ESET Smart Security 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\12271.exe
c:\windows\system32\12675.exe
c:\windows\system32\14222.exe
c:\windows\system32\18467.exe
c:\windows\system32\21359.exe
c:\windows\system32\24423.exe
c:\windows\system32\27273.exe
c:\windows\system32\31343.exe
c:\windows\system32\32736.exe
c:\windows\system32\391.exe
c:\windows\system32\4815.exe
c:\windows\system32\5697.exe
c:\windows\system32\6334.exe
c:\windows\system32\auto.exe
c:\windows\system32\ieuinit.inf

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-08 do 2010-02-08 )))))))))))))))))))))))))))))))
.

2010-02-08 19:20 . 2010-02-08 19:20 -------- d-----w- c:\program files\ESET
2010-02-04 17:26 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2010-02-04 17:26 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-02-03 17:10 . 2010-02-03 17:10 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-31 18:27 . 2010-02-03 20:16 -------- d-----w- C:\Filmy
2010-01-23 20:14 . 2010-01-23 20:14 -------- d-----w- C:\a0ffb4c9ba048d2ed5
2010-01-17 10:19 . 2010-01-17 19:49 -------- d-----w- c:\program files\Crawler

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-07 09:57 . 2010-01-08 16:26 -------- d-----w- c:\program files\ts
2010-01-27 10:29 . 2009-06-15 20:25 -------- d-----w- c:\program files\Google
2010-01-22 19:55 . 2009-04-18 07:17 98304 ----a-w- c:\windows\system32\CmdLineExt.dll
2010-01-14 09:17 . 2001-10-25 14:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2010-01-14 09:17 . 2001-10-25 14:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2010-01-08 07:13 . 2009-06-19 07:10 33096 ----a-w- c:\windows\system32\drivers\epfwndis.sys
2010-01-05 18:05 . 2010-01-05 18:05 -------- d-----w- c:\program files\AVG
2010-01-05 17:15 . 2010-01-05 17:15 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-30 13:55 . 2010-01-05 17:15 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-30 13:54 . 2010-01-05 17:15 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-18 14:02 . 2009-11-16 08:06 135048 ----a-w- c:\windows\system32\drivers\epfw.sys
2009-11-21 16:46 . 2004-08-17 13:49 470528 ----a-w- c:\windows\AppPatch\aclayers.dll
2009-11-16 08:06 . 2009-11-16 08:06 55768 ----a-w- c:\windows\system32\drivers\epfwtdi.sys
2009-11-16 08:03 . 2009-11-16 08:03 108792 ----a-w- c:\windows\system32\drivers\ehdrv.sys
2009-11-16 07:56 . 2009-11-16 07:56 116520 ----a-w- c:\windows\system32\drivers\eamon.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-17 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 57344]
"C-Media Mixer"="Mixer.exe" [2002-01-28 1228800]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-16 136600]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-08-22 81920]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-11-16 2054360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
uninstall.exe [2010-2-8 421888]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^raid_tool.exe.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\raid_tool.exe.lnk
backup=c:\windows\pss\raid_tool.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-17 13:49 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
2004-08-22 15:05 81920 ----a-w- c:\program files\D-Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"VSS"=3 (0x3)
"UPS"=3 (0x3)
"SwPrv"=3 (0x3)
"RDSessMgr"=3 (0x3)
"NtmsSvc"=3 (0x3)
"mnmsrvc"=3 (0x3)
"CiSvc"=3 (0x3)
"wscsvc"=2 (0x2)
"TrkWks"=2 (0x2)
"TermService"=3 (0x3)
"TapiSrv"=3 (0x3)
"srservice"=2 (0x2)
"SENS"=2 (0x2)
"seclogon"=2 (0x2)
"Schedule"=2 (0x2)
"SamSs"=2 (0x2)
"RemoteRegistry"=2 (0x2)
"RasMan"=3 (0x3)
"ProtectedStorage"=2 (0x2)
"helpsvc"=2 (0x2)
"FastUserSwitchingCompatibility"=3 (0x3)
"ERSvc"=2 (0x2)
"CryptSvc"=2 (0x2)
"Browser"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\EA Games\\The Battle for Middle-earth (tm)\\game.dat"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [8.5.2008 22:25 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [8.5.2008 22:25 5248]
R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [8.5.2008 22:35 77056]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [16.11.2009 9:03 108792]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [16.11.2009 9:04 735960]
.
Obsah adresáře 'Naplánované úlohy'

2010-02-08 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2010-01-05 21:18]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
FF - ProfilePath - c:\documents and settings\Pája\Data aplikací\Mozilla\Firefox\Profiles\6qafev9l.default\
FF - prefs.js: browser.search.selectedEngine - WebHledani
FF - prefs.js: browser.startup.homepage - hxxp://www.idnes.cz/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=cs&q=
FF - component: c:\documents and settings\Pája\Data aplikací\Mozilla\Firefox\Profiles\6qafev9l.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-08 23:08
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x81E9A008]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf857afc3
\Driver\ACPI -> ACPI.sys @ 0xf84c7cb8
\Driver\atapi -> 0x81e9a008
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0084
ParseProcedure -> ntoskrnl.exe @ 0x8056f07e
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0084
ParseProcedure -> ntoskrnl.exe @ 0x8056f07e
NDIS: VIA Rhine II Fast Ethernet Adapter -> SendCompleteHandler -> NDIS.sys @ 0xf834dba0
PacketIndicateHandler -> NDIS.sys @ 0xf835ab21
SendHandler -> NDIS.sys @ 0xf833887b
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x0DF9B543
malicious code @ sector 0x0DF9B546 !
PE file found in sector at 0x0DF9B55C !

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-436374069-1604221776-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:8f,63,1a,f9,f2,23,f5,b0,e4,a8,23,49,2c,8c,03,9d,e5,d6,e7,05,eb,2f,a1,
82,2a,1c,ce,18,e2,a0,68,35,a6,dd,a1,eb,76,4c,66,62,3c,fe,fa,48,8f,ac,99,d5,\
"??"=hex:ae,3b,ba,38,7b,6f,8b,bf,37,87,9b,c3,d0,0c,63,a7
.
Celkový čas: 2010-02-08 23:09:49
ComboFix-quarantined-files.txt 2010-02-08 22:09

Před spuštěním: Volných bajtů: 20 373 991 424
Po spuštění: Volných bajtů: 20 427 616 256

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - DEB766E22C6C9C46AD0D7E3B6522AE7B

[motji]

Dobré ranko

Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

MBR::

File::
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\uninstall.exe

Dirlook::
c:\program files\ts

-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:





-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci



stáhněte MBR
http://www2.gmer.net/mbr/mbr.exe
-uložte ho na plochu a spusťte
-vytvoří se log s názvem mbr.log, vložte ho zde



Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, kliknete na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu proveďte druhý sken a log sem také vložte.


Pokud něčemu nerozumíte, ptejte se

[elpepe]

Ahoj
Byl jsem 14 dní mimo domov.
Tak se omlouvám.

Zkusil jsem znovu ten Combofix. Nejde mi vložit log, protože mám více jak 60 000 znaků.
Jako soubor to nejde přiložit
díky

Pepe

[motji]

Bud log rozdělte na víc příspěvků, nebo ho uploadněte na www.leteckaposta.cz

[elpepe]

Dobrý den
Tady to je
http://leteckaposta.cz/562865682

Log z MBR:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0DF9B543
malicious code @ sector 0x0DF9B546 !
PE file found in sector at 0x0DF9B55C !


GMER 1:
¨GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2010-02-27 20:24:32
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF84F12A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF84FC910]

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 82370B60

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)

---- Modules - GMER 1.0.14 ----

Module _________ F8453000-F846B000 (98304 bytes)

---- Threads - GMER 1.0.14 ----

Thread 4:548 81BD5930

---- EOF - GMER 1.0.14 ----



Když pak dám Scan, tak se po chvíli restartuje počítač a žádný log to neukáže. Tam, nevím co dál.
díky
Pepe

[motji]

Můřete zkusit udělat sken v nouzovém režimu?
(po restartu mačkejte F8)

[elpepe]

stejný výsledek.
mám zkusit stáhnout program odjinud?
díky

[motji]

To Vám nepomůže.
Uděláme to jinak. Máte zbytkový kod po Mbr rootkitu v Mbr sektorech, zkusíme to vyčistit.

Zazálohujte si důležitá data, pro jistotu


Stáhněte HxD portable http://mh-nexus.de/en/downloads.php?product=HxD
-uložte ho na plochu
-rozbalte ho a program uložte přímo na disk C
-spustte ho
-klikněte na otevřít disk - zvolte pevné disky(fyzické disky) (nepoplette to)
-vyberte pevný disk 1
-do nabídky napište, který sektor chcete otevřít, potvrdíte enter, a budete přímo v tom sektoru
-napište mi, co máte na sektoru 1-62
(Měly by tam být samé 0, ale předpokládám, že je tam mít nebudete, aspon ne všude)

[elpepe]

sector 0
33 C0 8E D0 BC 00 7C FB 50 07 50 1F FC BE 1B 7C BF 1B 06 50 57 B9 E5 01 F3 A4 CB BD BE 07 B1 04 38 6E 00 7C 09 75 13 83 C5 10 E2 F4 CD 18 8B F5 83 C6 10 49 74 19 38 2C 74 F6 A0 B5 07 B4 07 8B F0 AC 3C 00 74 FC BB 07 00 B4 0E CD 10 EB F2 88 4E 10 E8 46 00 73 2A FE 46 10 80 7E 04 0B 74 0B 80 7E 04 0C 74 05 A0 B6 07 75 D2 80 46 02 06 83 46 08 06 83 56 0A 00 E8 21 00 73 05 A0 B6 07 EB BC 81 3E FE 7D 55 AA 74 0B 80 7E 10 00 74 C8 A0 B7 07 EB A9 8B FC 1E 57 8B F5 CB BF 05 00 8A 56 00 B4 08 CD 13 72 23 8A C1 24 3F 98 8A DE 8A FC 43 F7 E3 8B D1 86 D6 B1 06 D2 EE 42 F7 E2 39 56 0A 77 23 72 05 39 46 08 73 1C B8 01 02 BB 00 7C 8B 4E 02 8B 56 00 CD 13 73 51 4F 74 4E 32 E4 8A 56 00 CD 13 EB E4 8A 56 00 60 BB AA 55 B4 41 CD 13 72 36 81 FB 55 AA 75 30 F6 C1 01 74 2B 61 60 6A 00 6A 00 FF 76 0A FF 76 08 6A 00 68 00 7C 6A 01 6A 10 B4 42 8B F4 CD 13 61 61 73 0E 4F 74 0B 32 E4 8A 56 00 CD 13 EB D6 61 F9 C3 4E 65 70 6C 61 74 6E A0 20 74 61 62 75 6C 6B 61 20 6F 64 64 A1 6C 85 00 43 68 79 62 61 20 70 FD 69 20 6E 61 9F A1 74 A0 6E A1 20 6F 70 65 72 61 9F 6E A1 68 6F 20 73 79 73 74 82 6D 75 00 4F 70 65 72 61 9F 6E A1 20 73 79 73 74 82 6D 20 6E 65 6E 61 6C 65 7A 65 6E 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 2C 44 6A C1 34 C2 34 00 00 80 01 01 00 07 FE FF FF 3F 00 00 00 EA 52 7E 05 00 00 C1 FF 0F FE FF FF 29 53 7E 05 1A 62 7B 08 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 55 AA

Sector 32
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

Sector 60
8B F0 85 C0 9C 75 05 83 44 24 04 00 60 FC 8B 7C 24 24 81 E7 00 00 F0 FF B0 C7 AE 75 FD 81 3F 46 34 00 40 75 F5 B0 A1 AE 75 FD 8B 37 8B 36 8B 36 8B 5E 18 8B EB 43 81 3B 6A 4B 6A 19 75 F7 80 7B 04 89 75 03 83 C3 06 80 7B 04 E8 75 E8 8D 7B 09 B0 E8 AE 75 FD 66 81 7F 04 84 C0 75 D8 8B 17 8D 54 3A 04 E8 00 00 00 00 58 66 0D FF 01 40 89 50 04 89 68 0C 57 8B 75 3C 8B 74 35 50 03 F5 4E 81 CE FF 0F 00 00 81 EE FF 01 00 00 8B FE 96 B9 80 00 00 00 F3 A5 5F 2B C7 83 E8 04 AB 61 9D C3 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

V ostatních je 0
Od sektoru 63 už je toho více
Pepe

[motji]

Na sektor 0 nechytejte - už by jste nenabootoval

znovu spustte HxD
klikněte na otevřít disk - zvolte pevné disky(fyzické disky) (nepoplette to)
-vyberte pevný disk 1
-ze čtverečku odkliknete fajfku jen pro čtení
- otevře se program v edit modu
-najdete sektor 32 a 60
-označte myšítkem celý sektor 32, pak 60 (můžete si čísílka zkopírovat a uložit v notepadu, kdyby se něco nepovedlo, vrátíte je zpět)
-zvolte možnost vyplnit výběr (3. možnost odspodu mezi dvěma čarami,) otevřou se přednastavené hodnoty ( 00 00 00...)
-potvrdíte Ok
-zavřete program, potvrdíte změnu.
-pak restartujte počítač a zkontrolujte, zda je sektor přepsaný.

Spustte znovu program Mbr.exe, log vložte zde

[elpepe]

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0DF9B543
malicious code @ sector 0x0DF9B546 !
PE file found in sector at 0x0DF9B55C !

[motji]

Pořád tam je. V kterém sektoru ještě zůstal? 62 a 63?

[elpepe]

62 je prázdný
sektory 63-69 jsou ale plné

[motji]

Používáte Daemon nebo alcohol?

[elpepe]

Daemon, ale spíš uživatelsky