prosím o kontolu logu

[papanek333]

Přeji hezký den. Program z adr. http://www.duplexsecure.com/en/downloads mi nejde spustit pro 32kb ani 64kb verzi. / aplikace není platná pro tuto verzi./ Nevíte proč?

[vyosek]

Mate 32bit OS takze stahnete ten pro 32 bit, pokud by nesel, tak krok preskocte a pokracujte Deffraglerem, uvidime co tu udela s vysledkem mbr nize...Pripadne bych Vam jej pak nekam uploadnul...

[papanek333]

Přeji opět hezký den. Jestli mohu poprosit, zasílám k analýze log z mbr. Díky.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x85070568]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x85070568
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

[vyosek]

Mate instalacni CD od windows

[papanek333]

ano, ale někde ve sklepě.

[vyosek]

Dobre, zkusime to tedy mirnejsi metodou

Kliknete na Start a pote Spustit, pripadne pouzijte klavesou zkratku Win+R

• Vyskoci na Vas okenko, do ktereho zkopirujte text nize

• Kód: Vybrat vše

  "%userprofile%\plocha\mbr" -f

• Kliknete na OK
• Na plose se Vam vytvori log s nazvem mbr.txt, jeho obsah mi sem vlozte

Restart PC

Kliknete na Start a pote Spustit, pripadne pouzijte klavesou zkratku Win+R

• Vyskoci na Vas okenko, do ktereho zkopirujte text nize

• Kód: Vybrat vše

  "%userprofile%\plocha\mbr" -t

• Kliknete na OK
• Na plose se Vam vytvori log s nazvem mbr.txt, jeho obsah mi sem vlozte

[papanek333]

omlouvám se, ale nyní nemůžu provést restart vzhledem ke spuštěným programům. jestli to půjde, ozvu se tedy později.

[vyosek]

No je tam mbr rootkit, takze by to chtelo provest opravu v co nejblizsi dobe...Ale samozrejme na log po restartu pockam

[papanek333]

a můžu se zeptat co to vlastně je rootkit nejsem zas tak in

[vyosek]

Jednoduše řečeno, Rootkit je program, který se snaží zamaskovat vlastní přítomnost v PC (přítomnost souborů, změn v registru Windows...), popř. přítomnost jiných aplikací v PC.

MBR Rootkit je jeste vetsi mrcha, je zapsana v casti disku, ktery se ani reinstalaci systemu nepremezava, takze je treba ho odstranovat jinak...Muze zpomalovat system, provadet nekalou cinnost - proste sajrajt mbr rootkit se velmi tezko vysvetluje

[vyosek]

Jeste neco malo od kolegu

MBR vir je umisten v pevnem disku v sektoru MBR. Aktivuje se hned po spousteni systemu z daneho disku. Vlastne jeste pred spustenim sametneho OS. Nazyvaji se take bootviry.

Muze taky stahovat dalsi viry.

[papanek333]

no to tedy pěkně děkuji za takovou potvoru Můžu se prosím ozvat později večer? Potřebuji se věnovat jiné práci. Ale myslím, že jste trefil do černého. To bude přesně ten problém.

[vyosek]

Jasny v pohode, budu na foru prubezne celej vecer tak do 22 hod...

[papanek333]

Přeji hezký den a prosím o pokračování v kontrole, až budete mít zase chvilku. Děkuji moc. Vkládám 1.část MBR před restartem.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

a zde po rest.:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x850D9D68]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x850d9d68
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

[vyosek]

Bohuzel fixnuti pomoci MBR je slabe - nedokaze to, budeme muset pres Konzolu pro zotaveni

• Konzola je bud na instalacnim CD Windows
• Je mozne ji stahnout pomoci ComboFixu - ten jsme jiz pouzili a Konzola se nenainstalovala - nevzpomenete si, jestli jeji instalaci CF nabidl Muzeme to zkusit pripadne znovu, ale radeji bych to videl na to instal. CD