Spomaleny pocitac - poprosil by som o kontrolu logu

[barioso]

Tak to prave neviem zistit .
Je to poznat len na grafickom vyobrazeni ( grafova tabulka vykon ) .
Tam je to pekne vidiet ako to pravidelne vyskakuje .
V tabulke procesy to neukaze .
Ale to vyskakovanie - nie je to vyzdy , no dost casto sa to spusti
aj pri necinnosti pc .

[vyosek]

seradte si proccesy podle vyuziti cpu a mel byste ho videt...

[barioso]

Takze : Spravca uloh - procesy systemovej necinnosti - procesor stale okolo 70 - 80 %
a to iste aj v DTaskManager - System Idle process 80 - 85 %

Odinstaloval som antivir Avira
Odinstaloval som Malvarebytes

Prakticky nemam nic spustene

[vyosek]

Aviru si dejte zpatky, ma maloui zatez, navic je PC nechranen

Stahnete SPTD http://www.duplexsecure.com/en/downloads

• Vyberte z uvedene stranky verzi dle sveho operacniho systemu (32(x86)bit ci 64(x64)bit)
• Ulozte na plochu a spustte
• Zvolte moznost Uninstall a restartujte PC - pokud nepujde kliknout (tlacitko bude sede), krok preskocte

Stahnete Defogger http://www.jpshortstuff.247fixes.com/Defogger.exe

• Ulozte na plochu a spustte
• Kliknete na Disable a restartujte PC - pokud nepujde kliknout (tlacitko bude sede), krok preskocte

Stahnete MBR na plochu http://www2.gmer.net/mbr/mbr.exe ale nespoustejte

Kliknete na Start a pote Spustit, pripadne pouzijte klavesou zkratku Win+R

• Vyskoci na Vas okenko, do ktereho zkopirujte text nize

• Kód: Vybrat vše

  "%userprofile%\desktop\mbr" -t -s

• Kliknete na OK
• Na plose se Vam vytvori log s nazvem mbr.txt, jeho obsah mi sem vlozte

Dejte logy z Gmeru - viz muj podpis

[barioso]

SPTD sa neda nijako spustit :
SPTD inst-v 178-x86.exe nie je platnou aplikaciou win 32

[vyosek]

pokracujte tedy dale

[barioso]

Tu to je :

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST3160815A rev.3.AAD -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll viaide.sys
1 nt!IofCallDriver[0x804E37C5] -> \Device\Harddisk0\DR0[0x83765030]
3 CLASSPNP[0xF7529FD7] -> nt!IofCallDriver[0x804E37C5] -> \Device\Ide\IdeDeviceP0T0L0-4[0x83758030]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [BP+0x0], CH; JL 0x2e; JNZ 0x3a; }
user & kernel MBR OK

[vyosek]

mbr je v poradku, pockame co gmer pripadne najde...

[barioso]

Prvy log z GMERu :

GMER 1.0.15.15627 - http://www.gmer.net
Rootkit quick scan 2011-05-25 16:10:22
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 ST3160815A rev.3.AAD
Running: gmer.exe; Driver: D:\DOCUME~1\Admin\LOCALS~1\Temp\pxtdapow.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

[vyosek]

Ok, na druhy si asi chvili pockate, trva obcas docela dlouho, ale zas je to nejucinejsi nastroj proti rootkitum...

[barioso]

Tak ale uz mam toho dost.
Skenovalo to od pol piatej do osmej a nakoniec mi vypisalo :
GMER Hasn´t found any system modification .

Log ostal cisty .

[vyosek]

No vim ze to nastve, ale jedine dobre - havet typu rootkit v PC neni...

Kdyz seradite procesy ve spravci uloh, tak tez neni videt co jej zatezuje

[barioso]

Ked zoradim podla zatazitelnosti CPU :

System Idle proces : 86 ,90 , 92 %
Datask Manager .exe : 04 , 03 % , to nepocitam lebo to je spravca co mam spusteny
Avant.exe : 02 , 03 04 % , to je browser - kam pisem Vam
Isass.exe : 01 , 02 %
csrss.exe : 01 , 02 %

ostatne je vsetko vzuyite na : 00

[barioso]

Napriklad : zapnem si len nejaku skladbu , napr. vo winamp a seka to s nou - prerusuje .
Neda sa to pocuvat .

[vyosek]

Jeste mrknete na toto

Správcovi zariadení > IDE ATA/ATAPI > Primary (aj Secondary) IDE Channel > vlastnosti > Advanced settings, nastavený Transfer Mode na PIO. Ak áno, zmeň ho na DMA.