pravděpodobně neznámý TSR.BOOT virus

[koprkuba]

Přesně podle návodu a zase to nic nenašlo.

log:
28.5.2010 22:31:06 Task started
29.5.2010 9:56:28 Task completed

Ještě přikládám log z ESET Smart Security:


Aktivní boot sektor 1. fyzického disku - pravděpodobně neznámý TSR.BOOT virus [7] - nelze léčit
Aktivní boot sektor 1. fyzického disku - pravděpodobně neznámý TSR.BOOT virus [7] - nelze léčit
Aktivní boot sektor 1. fyzického disku - pravděpodobně neznámý TSR.BOOT virus [7] - nelze léčit
E:\ - chyba při otevírání [4]
Aktivní boot sektor 1. fyzického disku - pravděpodobně neznámý TSR.BOOT virus [7] - nelze léčit
Aktivní boot sektor 1. fyzického disku - pravděpodobně neznámý TSR.BOOT virus [7] - nelze léčit
G:\ - chyba při otevírání [4]
Aktivní boot sektor 1. fyzického disku - pravděpodobně neznámý TSR.BOOT virus [7] - nelze léčit
Aktivní boot sektor 1. fyzického disku - pravděpodobně neznámý TSR.BOOT virus [7] - nelze léčit

\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\0880eea9554155909e41bfabf6731850_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\0a66a81b9094e48200a9699c7fbb132b_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\0c26ce3b2b4bc5ffbb3f65c6367c323a_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\10f778d29a452624ae1c2a2090ce600f_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\150409c80bd9d2343bd27f738e98ef94_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\1b884f27003bd5dbce06b50b6f9b89c6_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\1c06a7933a8925e3ad811d49f02009d7_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\202678853852380b4e95ef0a441cc2b7_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\2cc6b7af4833121a87e226eef5fa1845_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\2cfe1ad026f68c85abc328aa4f178da9_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\355d756e4d3048e31f17993d452f1b78_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\3de540053b6322144538773561cb40ee_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\4c685bfdc6fdaf10d42f6e450a2b31a4_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\4e4d9ede4264ff819fbc03ce16d611ac_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\53578b2163bdf399c064258409ee2ad7_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\5d6724089749ff6161005f717ff52da7_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\62b764603eac7a8f4dc489515e332ec1_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\6be250962b374eff2bc49d3dfe684e7a_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\7c2236d56fbfc94b645296c3529ecdeb_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\86ad5e762f3f93581b11d7ff1b323e68_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\90b311879ed6817fff91513d9b067fad_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\aa99d3b0df7e78ea777c6b0eeccdeafa_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\b677cf1fce5a200eec821c64002ae4c0_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\bf3503a1f0321798dac959d57d22d45a_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\d086b14a04ff5ca0eb3c84138f06b738_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\d17b9d950aadbe7b305fdd4ede582c41_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\d80a90f37db772bf9281e89376eaa1f3_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Crypto\RSA\MachineKeys\f8ce83da48e93fdfe8e756b42897e885_ec341d09-b33f-4687-9829-8405e4ba2abb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Search\Data\Applications\Windows\MSS.log - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Search\Data\Applications\Windows\MSStmp.log - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Search\Data\Applications\Windows\tmp.edb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Search\Data\Applications\Windows\Windows.edb - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Windows Defender\IMpService925A3ACA-C353-458A-AC8D-A7E5EB378092.lock - chyba při otevírání [4]
\\Kopr-pc\Users\All Users\Microsoft\Windows Defender\Scans\History\CacheManager\MpSfc.bin - chyba při otevírání [4]
\\Kopr-pc\Users\Kopr\NTUSER.DAT - chyba při otevírání [4]
\\Kopr-pc\Users\Kopr\ntuser.dat.LOG1 - chyba při otevírání [4]
\\Kopr-pc\Users\Kopr\ntuser.dat.LOG2 - chyba při otevírání [4]
\\Kopr-pc\Users\Kopr\AppData\Local\Google\Chrome\User Data\Default\Current Session - chyba při otevírání [4]
\\Kopr-pc\Users\Kopr\AppData\Local\Google\Chrome\User Data\Default\Current Tabs - chyba při otevírání [4]
\\Kopr-pc\Users\Kopr\AppData\Local\Google\Chrome\User Data\Default\Visited Links - chyba při otevírání [4]
\\Kopr-pc\Users\Kopr\AppData\Local\Microsoft\Windows\UsrClass.dat - chyba při otevírání [4]
\\Kopr-pc\Users\Kopr\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 - chyba při otevírání [4]
\\Kopr-pc\Users\Kopr\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 - chyba při otevírání [4]
\\Kopr-pc\Users\Kopr\AppData\Roaming\Skype\koprkuba\bistats.lock - chyba při otevírání [4]
\\Kopr-pc\Users\Kopr\AppData\Roaming\Skype\koprkuba\main.lock - chyba při otevírání [4]
\\Kopr-pc\Users\Kopr\AppData\Roaming\Skype\shared_dynco\dc.lock - chyba při otevírání [4]
\\Kopr-pc\Users\Kopr\AppData\Roaming\Skype\shared_httpfe\queue.lock - chyba při otevírání [4]

Počet nalezených infiltrací: 7
Poznámky:
[4] Objekt nelze otevřít ke čtení. Je využíván jinou aplikací (nebo operačním systémem), která ho otevřela výhradně pro sebe.
[7] Objekt je pravděpodobně infikován neznámou hrozbou.

[riffman]

stahnete MBR

presunte mbr.exe do adresare C:\Windows

dalsi postup jest nasledujici:

Start/Spustit a do chlivecku napiste cmd a stisk Enter.

vybafne na vas okenko prikazoveho radku; vy nadatlujte rucne prikaz:

mbr.exe -f

a stisknete Enter

Po provedeni operace restartujte a spustte mbr jeste jednou, jiz normalne a vlozte sem log

[koprkuba]

Bohužel na Win7 nejde spustit, cmd.exe samozřejmě spouštím s administrátorským oprávněním, ale nic.

.......................................................................................................................................
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: error reading MBR
.......................................................................................................................................

[riffman]

fajn

mate instalacni CD (teda vlastne DVD) Windows?

[koprkuba]

jojo mam... mam vyzkouset obnovit bootovaci partition?

[riffman]

obnova bootovaci partition je ve vasem podani co, prosim pekne?

[koprkuba]

Systemový disk nabízí automatickou opravu bootovacího sektoru, ale ještě jsem to nikdy nezkoušel. Navíc virus je nahraný na všech discích včetně USB zařízení. Rád bych se vyhnul kompletnímu smazání disků (nemyslím formát, ten zřejmě problém nevyřeší, ale smazání i systémového sektoru disku). I když to začíná vypadat tak, že se tomu stejně nevyvhnu

[riffman]

nejdriv udelejte to, ze zformatujete vsechny USB flash disky

pak se zkuste drzet nasledujiciho postupu:

1. Připravím si instalační CD Windows XP
2. Pokud používám speciální SCSI, nebo RAID ovladače, tak si najdu též disketu s ovladačem
3. Vzpomenu si na heslo uživatele administrator *)
4. V BIOSu si zařídím aby se systém zavedl (boot) z CD
5. Restartem PC a zavedením z CD se spustí instalace
6. Pokud používám nějaké speciální ovladač SCSI, nebo RAID, tak stihnu F6 jejich zavedení z diskety
7. Zvolením R přejdu do konzoly pro zotavení (ve znakovém režimu)
8. Konzola ohledá připojené disky a nabídne seznam nalezených instalací. např:

   Kód: Vybrat vše

   1. C:\WINDOWS

9. Po výzvě

   Kód: Vybrat vše

   Ke které instalaci Windows se chcete přihlásit:

   odpovím číslem zvolené instalace, třeba: 1
   POZOR: NumLock na klávesnici nesvítí!
10. Zadám heslo uživatele administrator a octnu se v adresáři %WINDIR% (obvykle C:\WINDOWS)
11. V příkazovém řádku zadám příkaz

    Kód: Vybrat vše

    fixmbr

    a potvrdím enterem
12. Zadám příkaz

    Kód: Vybrat vše

    EXIT

    pro restart PC

ten navod je psany pro WinXP, u vas to bude zhruba podobne

[koprkuba]

Ok jdu zkusit... Mohu zazálohovat USB Ecterní disk na pevný disk počítače? Případně nějaký webový server?

[riffman]

hrozi tam realne nebezpeci infekce, takze pri zpetnem kopirovani urcite sken antivirem

[koprkuba]

Vir odstraněn, postup uvádím zde:

1) Stáhl jsem si "Hiren's boot CD"
2) Spustil jsem miniWin XP
3) spustil jsem z C:/Windows/ příkaz "mbr.exe -f" a pak "mbr.exe" (nevím zda to mělo vliv) každopádně toto je log z toho mbr.exe

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

4) Spustil jsem si z toho BootCD (program je na ploše) následně menu -> Partition / Boot -> MbrFix (Commandline)
5) Příkazy:
"MbrFix /drive 0 fixmbr /win7" nechat provést "y"
"MbrFix /drive 1 fixmbr /win7" nechat provést "y"
"MbrFix /drive 2 fixmbr /win7" nechat provést "y"
...
až pokud to napsalo, že disk s tímto označením (0-?) neexistuje.
6) Restart a následný sken BootSectoru ESET Smart Security je čistý...

Ještě jsem nezkoušel vložit flashku, ale nechci to riskovat, pro jistotu provedu MbrFix i na všechna USB zařízení.

[riffman]

problem je v tom, ze na 64bitu nefunguje skoro nic, proto nemuzu aplikovat bezne nastroje

je skvele, ze jste na reseni prisel sam, muze to pomoci i dalsim uzivatelum se stejnym problemem

[koprkuba]

Díky za pochvalu toho si cením. Problém je jednak v x64 OS, ale zároveň také v konverzi XP/VISTA(Win7) dokonce ani fixmbr moje 7ky neznají. Proto jsem použil BootCD. Jediné čeho se bojím je USB Flash Disk. Naformátoval jsem jej také pomocí "USB Format Tool" z Hiren's BootCD tak ještě dám vědět zda to stačilo. Co se týče Externího disku, tak jsem pomocí nástroje "EASEUS Partition Master", opět nástroj obsažený na Hiren's BootCD, odstranil jeho partition vytvořil jsem novou a naformátoval. U 1TB disku je to na dlouho tak až to bude dám vědět, zda jsem havěť zlikvidoval úplně či ne.

Každopádně Vám děkuji moc za pomoc.

[riffman]

nemate vubec zac, vzdyt jste si to odhmyzil sam

[koprkuba]

Super, postup na USB zařízení funguje takže postup funguje .
Ano odhmizil jsem si stroj sám, ale nebýt vašich nápadů konktrétně toho posledního s fixmbr asi by mne nenapadlo použit Hiren's BootCD a MbrFix

Každopádně díky a můžete lock