Systém startuje 60minut.

[MatesJ]

tady je MBR: stále tam je smejd jeden...........


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8B21E938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x8b21e938
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC ->Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 62 !
Use "Recovery Console" command "fixmbr" to clear infection !

[MatesJ]

dejte mi prosím přesný návod jak udělat ten fixmbr: dělal jsem to 2x a vždy to nějak proběhlo, třeba jsem to udělal špatně.......

dělal jsem to už s Rudym, ale moc jsem si nebyl jist co dělám lol

[MiliNess]

Něco podobného jsem viděl u TDL3 rootkitu. Nechci do toho Motji zasahovat a nemám teď moc času.
Počkejte zatím do večera. Dalo by se to řešit spuštěním konzoly pro zotavení a přepsáním kódu MBR a bootsectorů (FIXMBR a FIXBOOT) opravou systémových souborů pomocí bootovacího CD vytvořeném v MSDaRT. Ale raději počkejte na Motji.

[MiliNess]

Takže ovladač atapi.sys je infikován rootkitem, ndis.sys je čistý

[MatesJ]

Hodte mi pls ten přesný krokový návod na ty kroky v SZ a jdeme na to, jen je třeba na na scan čekat asi 3hodiny a více....... pokud to neopraví zásah...

[MatesJ]

ok jdu na to dle návodu ze SZ....... držte palec, sakra už

v BIOSU zakázat ten přepis MBR???? Asi ano co?

[MiliNess]

Počkejte na Motji. Pokud se nemůžete k diskům dostat z konzoly pro zotavení, odstraní s vámi ten soubor pomocí Combofixu.

[MatesJ]

pro Motji: Dobrý večer,

co se dnes událo: SP3 Instalace nepomohla
Deamon pryč a scany jsem poskytl
s MiliNessem jsme přepsali o5 MBR, chtěli jsme MBR udělat i pro Disk0,1,2 a nešlo, nelze udělat výpis dir, ani pro jiné disky než c:, připadámi, že rootkit mění disky....... např. to co vidím při stand. spuštění jsou C:D:F:( před MBR to bylo R:), I: a P: pokud v konzoli se chci přepnout na tyto disky neexistujím jen c: a d: tak nejde zase dir, chtěli jsme s MiliNessem přepsat poškozený driver uložený v kořenu C: ale nenajdehoto a dir nefunguje, více sdělí asi MiliNess......... Díky moc..

[motji]

už jsem tu .
Takže sp3 je nainstalovaný?



Stáhněte SystemLook
http://jpshortstuff.247fixes.com/SystemLook.exe

- uložte ho na plochu a spustte.
- do okénka zkopírujte

Kód: Vybrat vše

:filefind
Atapi.sys
ndis.sys

- klikněte na Look, proběhne sken, na konci se zobrazí log, jehož obsah zkopírujete sem





stáhněte na plochu http://support.kaspersky.com/downloads/ ... killer.zip

Otevřete si Poznámkový blok a zkopírujte do něj text

Kód: Vybrat vše

@echo off
"%userprofile%\desktop\TDSSKiller.exe" -l report.txt -v
notepad report.txt
del %0
exit

 

-uložte jako (typ: všechny soubory) kde za název souboru zadáte "antiTDL3.bat" bez uvozovek,
-klikněte na uložit, pak na soubor standardně 2X klikněte , spustí se sken, po skončení zmáčkněte libovolnou klávesu.
-otevře se poznámkový blok, obsah zde zkopírujte

Zazálohujte si důležitá data, pro jistotu
Atapi.sys je důležitý systémový soubor, kdyby počítač náhodou "spadl"

[MatesJ]

ano je nainstalovaný............ psal jsem poslední můj koment dnešní akce s Milinessem.....

[MatesJ]

co myslíte uložením důležitých dat, krom společného disku c: a i: ( to je jeden disk ) a NEBO VŠECHNY DISKY?

[MatesJ]

tady scan: stránky mi nešli spusti ale stáhlo se to..........

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 20:29 on 14/03/2010 by Martin (Administrator - Elevation successful)

========== filefind ==========

Searching for "Atapi.sys"
C:\WINDOWS\$NtServicePackUninstall$\atapi.sys -----c 95360 bytes [06:35 14/03/2010] [20:59 03/08/2004] CDFE4411A69C224BD1D11B2DA92DAC51
C:\WINDOWS\ServicePackFiles\i386\atapi.sys ------ 96512 bytes [18:40 13/04/2008] [18:40 13/04/2008] 9F3A2F5AA6875C72BF062C712CFA2674
C:\WINDOWS\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\atapi.sys --a--- 96512 bytes [18:40 13/04/2008] [18:40 13/04/2008] 9F3A2F5AA6875C72BF062C712CFA2674
C:\WINDOWS\system32\drivers\atapi.sys ------ 96512 bytes [14:53 04/09/2008] [18:40 13/04/2008] 9F3A2F5AA6875C72BF062C712CFA2674
C:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys --a--- 95360 bytes [12:08 04/05/2008] [20:59 03/08/2004] CDFE4411A69C224BD1D11B2DA92DAC51

Searching for "ndis.sys"
C:\WINDOWS\$NtServicePackUninstall$\ndis.sys -----c 182912 bytes [06:35 14/03/2010] [21:14 03/08/2004] 558635D3AF1C7546D26067D5D9B6959E
C:\WINDOWS\ServicePackFiles\i386\ndis.sys ------ 182656 bytes [19:20 13/04/2008] [19:20 13/04/2008] 1DF7F42665C94B825322FAE71721130D
C:\WINDOWS\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\ndis.sys --a--- 182656 bytes [19:20 13/04/2008] [19:20 13/04/2008] 1DF7F42665C94B825322FAE71721130D
C:\WINDOWS\system32\drivers\ndis.sys ------ 182656 bytes [14:53 04/09/2008] [19:20 13/04/2008] 1DF7F42665C94B825322FAE71721130D

-=End Of File=-

[motji]

Máte nějaká data na disku C? Pokud ne, tak je to v pořádku, v nejhorším by jste tento disk zformátoval a dal nový systém. Ale to je jen pro jistotu

[MatesJ]

systém nemůže najít uvedenou cestu.............. report je prázdný

[motji]

Zkuste ještě s tímto

@echo off
"%userprofile%\plocha\TDSSKiller.exe" -l report.txt -v
notepad report.txt
del %0
exit