Prosím o kontrolu logů - torpig, mebroot problém

[filip610]

Vše se zdá být v pořádku. Sektory na tomto PC s XP jsou už čisté, na Win 7 sem se do toho zatím nepouštěl.
Odstranil jsem Microsoft Security Essentials a ponechal pouze Avast + Comodo firewall přidal.
Požádám opět o aktivaci služeb od UPC a uvidíme jestli to bude Ok. Mám do sítě zapojené právě 3 PC, ostatní se zdá
v pořádku, to se dařilo vyčistit, jen zde byl problém s tím MBR.

Každopádně díky moc za váš čas, ještě se zeptám jak se vám odvděčím či fóru?

[motji]

Domluvte se na UPC, ať Vás zapojí a dají vědět, zda je tam ještě vir, jinak na to nepřijdeme. Pak ještě uklidíme po combofixu, pokud už bude vše ok.
Na těch dalších pc je mbr čisté? Ještě můžeme mrknout na ty win7, jestli chcete .
Pokud chcete, můžete podpořit forum, odkaz mám v podpise

[filip610]

Určitě ano, mám tedy založit vlákno ještě pro ten Win 7 nebo to mám nahodit sem?
Ostatní PC s Win XP se zdají v pořádku, včetně toho MBR, které je díky vám už také čisté.

[motji]

Když už tu máme hotovo, tak můžete sem .
Já tu budu teď asi do půl12 a pak zase v noci.

[filip610]

Win 7 + SP1

MBR.exe

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7601

device: opened successfully
user: error reading MBR
error: Read Neplatný popisovač.
kernel: error reading MBR

[motji]

Čím jste tento pc už čistil?

[filip610]

CCleaner, Spy-bot, MWAV, TDSSkiler, Combofix a Avenger myslím - nic to nenašlo, jen to MBR nějak zlobí, respektive
na chodu PC nebo startování nic není vyloženě znát, vše běží jak má, jen že ten MBR.exe vrací nějakou chybu tak jsem to zmínil..

[motji]

Můžete mi sem vložit log z combofixu?

Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, klikněte na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu provedete druhý sken a log sem také vložíte.

[filip610]

GMER:

GMER 1.0.15.15572 - http://www.gmer.net
Rootkit scan 2011-05-02 11:54:48
Windows 6.1.7601 Service Pack 1
Running: 509eox4o.exe


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\506313cfc89a
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\506313cfc89a (not active ControlSet)

---- Files - GMER 1.0.15 ----

File C:\## aswSnx private storage 0 bytes
File C:\## aswSnx private storage\r29 0 bytes
File C:\## aswSnx private storage\snx_rhive 262144 bytes
File C:\## aswSnx private storage\snx_rhive.LOG1 21504 bytes
File C:\## aswSnx private storage\snx_rhive.LOG2 0 bytes
File C:\## aswSnx private storage\snx_rhive{b7b0ade3-7491-11e0-bd71-00262d98686f}.TM.blf 65536 bytes
File C:\## aswSnx private storage\snx_rhive{b7b0ade3-7491-11e0-bd71-00262d98686f}.TMContainer00000000000000000001.regtrans-ms 524288 bytes
File C:\## aswSnx private storage\snx_rhive{b7b0ade3-7491-11e0-bd71-00262d98686f}.TMContainer00000000000000000002.regtrans-ms 524288 bytes

---- EOF - GMER 1.0.15 ----

[motji]

Gmer je nějaký krátký . Combofix je ok. Zkuste ještě znovu gmer a zaškrtnout podle návodu všechny položky.

[motji]

Ještě vyzkoušejte tento program

Stahněte ASWMBR http://public.avast.com/~gmerek/aswMBR.exe na plochu
- otevřte program dvojklikem na ikonu
-klikněte na volbu scan
-program provede krátký sken Mbr, pak klikněte na volbu save log
-program zavřete a log mi zkopírujete zde

[filip610]

aswMBR na Win 7:
aswMBR version 0.9.5.247 Copyright(c) 2011 AVAST Software
Run date: 2011-05-03 13:43:43
-----------------------------
13:43:43.215 OS Version: Windows x64 6.1.7601 Service Pack 1
13:43:43.215 Number of processors: 4 586 0x2502
13:43:43.217 ComputerName: ACER UserName:
13:43:44.362 Initialize success
13:43:49.091 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
13:43:49.095 Disk 0 Vendor: WDC_WD32 01.0 Size: 305245MB BusType: 3
13:43:49.117 Disk 0 MBR read successfully
13:43:49.121 Disk 0 MBR scan
13:43:49.125 Disk 0 unknown MBR code
13:43:49.129 Service scanning
13:43:52.130 Disk 0 trace - called modules:
13:43:52.159 ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll
13:43:52.167 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004bcf060]
13:43:52.174 3 CLASSPNP.SYS[fffff88001b6a43f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0xfffffa800494a050]
13:43:52.181 Scan finished successfully
13:44:04.837 Disk 0 MBR has been saved successfully to "C:\Users\Filip\Desktop\MBR.dat"
13:44:04.838 The log file has been saved successfully to "C:\Users\Filip\Desktop\aswMBR.txt"

AswMBR na Win XP:
aswMBR version 0.9.5.247 Copyright(c) 2011 AVAST Software
Run date: 2011-05-03 13:47:34
-----------------------------
13:47:34.531 OS Version: Windows 5.1.2600 Service Pack 3
13:47:34.531 Number of processors: 1 586 0x2F02
13:47:34.531 ComputerName: HP UserName:
13:47:35.312 Initialize success
13:47:37.703 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
13:47:37.703 Disk 0 Vendor: WDC_WD1600JS-60MHB1 10.02E02 Size: 152627MB BusType: 3
13:47:37.703 Device \Driver\atapi -> MajorFunction 8a853a78
13:47:37.703 Disk 0 MBR read error 0
13:47:37.703 Disk 0 MBR scan
13:47:37.703 Disk 0 unknown MBR code
13:47:37.718 MBR BIOS signature not found 0
13:47:37.718 Disk 0 scanning sectors +312560640
13:47:37.718 Disk 0 scanning C:\WINDOWS\system32\drivers
13:47:48.531 Service scanning
13:47:50.250 Disk 0 trace - called modules:
13:47:50.250 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8a853a78]<< <----------- CERVENE
13:47:50.250 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8a9989c0]
13:47:50.250 3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\00000069[0x8a9dd158]
13:47:50.765 5 ACPI.sys[b9f39620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x8a9a2d98]
13:47:50.765 \Driver\atapi[0x8aa1c9c8] -> IRP_MJ_CREATE -> 0x8a853a78 <----------- CERVENE
13:47:50.765 Scan finished successfully
13:47:56.406 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\HP_DX5150\Plocha\MBR.dat"
13:47:56.421 The log file has been saved successfully to "C:\Documents and Settings\HP_DX5150\Plocha\aswMBR.txt"

--------

u toho Gmeru to dělám podle návodu zde na fóru, ale nelze mi tam zatrhnout ty první položky,
aby se skenovalo, spouštím to jako správce přímo z c:/, jsou pořád šedivé..

[motji]

Ještě zkusíme něco

Stahněte OTL http://oldtimer.geekstogo.com/OTL.exe
-uložte ho na plochu a spustte soubor OTL.exe.
-do bílého okna dole skopírujte tento skript:

Kód: Vybrat vše

netsvcs
drivers32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
c:\windows\*.* /U
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
nvraid.sys
ndis.sys
winlogon.exe
explorer.exe
userinit.exe
lsass.exe
svchost.exe
smss.exe
hal.dll
ws2_32.dll
tcpip.sys
cryptsvc.dll
Changer.sys
JakNDis.sys
isapnp.sys
cdrom.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
%systemroot%\system32\drivers\*.sys /3
%systemroot%\system32\*.* /3
CREATERESTOREPOINT 
SAVEMBR:0

- zaškrtněte okénko Pro všechny uživatele.
-označte okénka Kontrola na havěť "LOP" a Kontrola na havěť "Purity"
- Klikněte na tlačítko Prohledat
-po dokončení skenu se objeví logy OTL.Txt a Extras.txt, vložte je zde