Prosím o kontrolu logu

[Thenk]

pokračovat budu v pátek... ted dva dny nebudu doma

[Tom8sh16]

OK, pak se ozvěte

[Thenk]

zdravím tak už jsem tu a vše udělal jak bylo napsáno.... tady je log z MBR

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1fd !

[Tom8sh16]

Dobrý den, stáhněte si tento soubor:

Kód: Vybrat vše

http://www.edisk.cz/stahni/25292/atapi.rar_49.77KB.html

Uložte ho na disk C:\, tam ho i rozbalte.
Potom si stáhněte Avenger, viz. můj podpis.
Tento script:

Kód: Vybrat vše

Begin copying here:
Files to move:
c:\atapi.sys | c:\windows\system32\drivers\atapi.sys
c:\atapi.sys | c:\windows\system32\dllcache\atapi.sys

zadejte do okna aplikace a klikněte na tlačítko Execute. V dalším okně potvrďte výzvu ke spuštění scriptu a restartu.
Po restartu vyčkejte na otevření logu Avengeru, který sem vložte

[Thenk]

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "c:\atapi.sys|c:\windows\system32\drivers\atapi.sys" completed successfully.

Error: file "c:\atapi.sys" not found!
File move operation "c:\atapi.sys|c:\windows\system32\dllcache\atapi.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

[Tom8sh16]

To samé proveďte s tímto scriptem

Kód: Vybrat vše

Begin copying here:
Files to move:
c:\atapi.sys | c:\windows\system32\dllcache\atapi.sys

Potom znovu stáhněte nebo spusťte MBR

Kód: Vybrat vše

http://download.viry.cz/tools/mbr.exe

a pošlete sem log.

[Thenk]

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "c:\atapi.sys" not found!
File move operation "c:\atapi.sys|c:\windows\system32\dllcache\atapi.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

[Thenk]

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x12a18ac1 size 0x1fd !

[Tom8sh16]

▪ Pokud možno vypněte všechny rezidentní bezpečnostní program (antivirus, firewall, ...).
▪ Stáhněte si HxD

Kód: Vybrat vše

http://www.edisk.cz/stahni/07931/HxD.rar_644.63KB.html

▪ Program rozbalte a spusťte.
▪ Po spuštění klikněte nahoře na ikonku disku, vypadá takhle: , po kliknutí se objeví malé okno, ve kterém označte Pevný disk 1, pod Fyzické disky, viz. obrázek:

▪ Zkontrolujte, jestli je zaškrtnuté "Otvor len na citanie", pokud ano, klikněte na OK.
▪ V pravo nahoře je napsané "Sektor" a je tam okénko se šipkami. Pomocí těch šipek budete nastavovat a hledat jednotlivé sektory.
Projeďte všechny sektory od sektoru 1 až po sektor 62, tyto sektory by měly být nulové (t.j. 000000000000), těmi ostatními se vůbec nezabývejte, pouze sektory 1 - 62
Sem pak napište, ve kterých sektorech nuly nebyly.

[Thenk]

tak nuly jsou všude, kromě sektoru 60, 61, 62 tam jsou čísla a písmena

[Tom8sh16]

OK, takže spusťte HxD.
▪ Znovu otevřte Pevný disk 1 (pod Fyzické disky), ale odškrtněte fajfku u "Otvor len na citanie". Díky tomu se program otevře v edit módu.
▪ Najděte sektor 60.
▪ Myší označte celý sektor.
▪ Do označeného sektoru klikněte pravým tl. myši -> Vyplň výber.
Mělo by to vypadat takhle:

Pak dejte OK.
▪ Takhle to provedete i s dalšími přepsanými sektory, tj. sektor 61 a 62. Sektory, které jsou dál se vůbec nezabývejte
▪ Zavřete program, při zavírání potvrdíte změnu.
▪ Restartujete PC.
▪ Po restartu zase otevřete program a podíváte se, zdali se sektory skutečně přepsaly.

Pak znovu log z MBR.

[Thenk]

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[Tom8sh16]

Fajn, jsou nějaké problémy s PC?

[Thenk]

Přijde mi rychlejší takže je to asi v pořádku....

[Tom8sh16]

Super, ještě dočistíme.
Na dočištění použijte T-Cleaner, viz. můj podpis.
Pro potvrzení stiskněte vždy klávesu A nebo Enter.
(Poznámka: Některé antiviry chybně tuto utilitu označují jako vir. Pokud by ho tedy antivir blokoval, vypněte ho, stáhněte a použijte T-Cleaner, a pak antivir zase zapněte).


a ještě ATF Cleaner, viz. můj podpis
Po spuštění staženého souboru se objeví okno:

Zatrhněte Select All, klikněte na Empty Selected + všechny aktivní záložky (nahoře) - Main, Firefox + Opera a pak Exit

Potom už jen restartujte PC a je to vše Kdyby byly nějaké problémy, ozvěte se.