Nefunkční MS Word, TOTAL CMD, zpomalené PC. Prosím o kontrol

[Gustavson]

Prvni:

msgpc.sys

http://www.virustotal.com/cs/analisis/7 ... 1280959400

Druhý:

tifm21.sys

https://www.virustotal.com/cs/analisis/ ... 1280959676

[riffman]

a nic

mate instalacni CD Windows?

[Gustavson]

Mám, ale už jsem ho použil. Jelikož systém nebylo možno efektivně (nebo téměř vůbec) využívat, byl jsem nucen udělat krátký proces, tzn. format c: a nainstalovat vše znovu. Nicméně datový disk může být pořád silně infekční a možná i systémový. Nainstaloval jsem si sice Avast 4.8, který našel něco přes 200 souborů napadených virem Win32:Saline nebo Salite nebo tak nějak. Mohl bych tedy udělat nový log v RSITu a poslat ho?

[riffman]

Win32.Sality?

to je souborovy infektor...s tim toho moc neudelate...maximalne vam muzu poradit stahnout trial verzi Kaspersky antivirus ci Norton antivirus a lecit vsechno co pujde, ale uspesnost moc vysoka nebude

[Gustavson]

Přesně, Sality. Avast ho našel a já ho léčit nechtěl - všechny soubory jsem smáznul. I když, teď mě napadá, byly to všechno .exe a .sys. Že by nenapadal žádné dokumenty? Nebo je infikovaný i avast...

Může nějaký vir infikovat MBR? To je předpokládám asi jediná oblast nedotčená formátem. Nebo se nějak zásadně mýlím?

[riffman]

Přesně, Sality. Avast ho našel a já ho léčit nechtěl - všechny soubory jsem smáznul. I když, teď mě napadá, byly to všechno .exe a .sys. Že by nenapadal žádné dokumenty? Nebo je infikovaný i avast...

nenapada dokumenty

Může nějaký vir infikovat MBR? To je předpokládám asi jediná oblast nedotčená formátem. Nebo se nějak zásadně mýlím?

muze, v soucasne dobe toho leti docela dost a da se to opravit

[Gustavson]

Tak to jsou asi nejlepší "virové" zprávy za dva dny.

Můžu teda poslat nějaký log na to MBRko, příp. ještě na ten datový oddíl? Ať mám jistotu, že se mi to zase někde nezanese. RSIT už jsem udělal, ale tady asi potřeba nebude, hádám správně?

[riffman]

http://www.esagelab.com/files/bootkit_remover.rar

stahnout, rozbalit na plochu, spustit

po spusteni klik pravym mysidlem do okna, zvolit moznost Vybrat vse, CTRL+C a sem do odpovedi CTRL+V (tim mi sem plesknete log)

[Gustavson]

Zde:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional (build 2600)

System volume is \\.\D:
\\.\D: -> \\.\PhysicalDrive0 at offset 0x00000000`007e0000
Boot sector MD5 is: ee7fe9f24bc949ea3a78cf7064fbe50b

Size Device Name MBR Status
--------------------------------------------
37 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

[riffman]

stahnete MBR

presunte mbr.exe do adresare C:\Windows

dalsi postup jest nasledujici:

Start/Spustit a do chlivecku napiste cmd a stisk Enter.

vybafne na vas okenko prikazoveho radku; vy nadatlujte rucne prikaz:

mbr.exe -f

a stisknete Enter

Po provedeni operace restartujte a spustte mbr jeste jednou, jiz normalne a vlozte sem log

[Gustavson]

Spustit normálně = bez parametru?

Jediný log, který jsem našel, byl v souboru vedle, a je to totéž, co probliklo v CMD, je:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[riffman]

ano, tohle je spravne, ve vasem stroji se MBR rootkit nevyskytuje