VIRY.CZ

tady je MBR: stále tam je smejd jeden...........


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8B21E938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x8b21e938
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC ->Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 62 !
Use "Recovery Console" command "fixmbr" to clear infection !

dejte mi prosím přesný návod jak udělat ten fixmbr: dělal jsem to 2x a vždy to nějak proběhlo, třeba jsem to udělal špatně.......

dělal jsem to už s Rudym, ale moc jsem si nebyl jist co dělám lol

Něco podobného jsem viděl u TDL3 rootkitu. Nechci do toho Motji zasahovat a nemám teď moc času.
Počkejte zatím do večera. Dalo by se to řešit spuštěním konzoly pro zotavení a přepsáním kódu MBR a bootsectorů (FIXMBR a FIXBOOT) opravou systémových souborů pomocí bootovacího CD vytvořeném v MSDaRT. Ale raději počkejte na Motji.

Takže ovladač atapi.sys je infikován rootkitem, ndis.sys je čistý

Hodte mi pls ten přesný krokový návod na ty kroky v SZ a jdeme na to, jen je třeba na na scan čekat asi 3hodiny a více....... pokud to neopraví zásah...

ok jdu na to dle návodu ze SZ....... držte palec, sakra už

v BIOSU zakázat ten přepis MBR???? Asi ano co?

Počkejte na Motji. Pokud se nemůžete k diskům dostat z konzoly pro zotavení, odstraní s vámi ten soubor pomocí Combofixu.

pro Motji: Dobrý večer,

co se dnes událo: SP3 Instalace nepomohla
Deamon pryč a scany jsem poskytl
s MiliNessem jsme přepsali o5 MBR, chtěli jsme MBR udělat i pro Disk0,1,2 a nešlo, nelze udělat výpis dir, ani pro jiné disky než c:, připadámi, že rootkit mění disky....... např. to co vidím při stand. spuštění jsou C:D:F:( před MBR to bylo R:), I: a P: pokud v konzoli se chci přepnout na tyto disky neexistujím jen c: a d: tak nejde zase dir, chtěli jsme s MiliNessem přepsat poškozený driver uložený v kořenu C: ale nenajdehoto a dir nefunguje, více sdělí asi MiliNess......... Díky moc..

už jsem tu .
Takže sp3 je nainstalovaný?



Stáhněte SystemLook
http://jpshortstuff.247fixes.com/SystemLook.exe

- uložte ho na plochu a spustte.
- do okénka zkopírujte - klikněte na Look, proběhne sken, na konci se zobrazí log, jehož obsah zkopírujete sem





stáhněte na plochu http://support.kaspersky.com/downloads/ ... killer.zip

Otevřete si Poznámkový blok a zkopírujte do něj text

-uložte jako (typ: všechny soubory) kde za název souboru zadáte "antiTDL3.bat" bez uvozovek,
-klikněte na uložit, pak na soubor standardně 2X klikněte , spustí se sken, po skončení zmáčkněte libovolnou klávesu.
-otevře se poznámkový blok, obsah zde zkopírujte

Zazálohujte si důležitá data, pro jistotu
Atapi.sys je důležitý systémový soubor, kdyby počítač náhodou "spadl"

ano je nainstalovaný............ psal jsem poslední můj koment dnešní akce s Milinessem.....

co myslíte uložením důležitých dat, krom společného disku c: a i: ( to je jeden disk ) a NEBO VŠECHNY DISKY?

tady scan: stránky mi nešli spusti ale stáhlo se to..........

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 20:29 on 14/03/2010 by Martin (Administrator - Elevation successful)

========== filefind ==========

Searching for "Atapi.sys"
C:\WINDOWS\$NtServicePackUninstall$\atapi.sys -----c 95360 bytes [06:35 14/03/2010] [20:59 03/08/2004] CDFE4411A69C224BD1D11B2DA92DAC51
C:\WINDOWS\ServicePackFiles\i386\atapi.sys ------ 96512 bytes [18:40 13/04/2008] [18:40 13/04/2008] 9F3A2F5AA6875C72BF062C712CFA2674
C:\WINDOWS\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\atapi.sys --a--- 96512 bytes [18:40 13/04/2008] [18:40 13/04/2008] 9F3A2F5AA6875C72BF062C712CFA2674
C:\WINDOWS\system32\drivers\atapi.sys ------ 96512 bytes [14:53 04/09/2008] [18:40 13/04/2008] 9F3A2F5AA6875C72BF062C712CFA2674
C:\WINDOWS\system32\ReinstallBackups\0008\DriverFiles\i386\atapi.sys --a--- 95360 bytes [12:08 04/05/2008] [20:59 03/08/2004] CDFE4411A69C224BD1D11B2DA92DAC51

Searching for "ndis.sys"
C:\WINDOWS\$NtServicePackUninstall$\ndis.sys -----c 182912 bytes [06:35 14/03/2010] [21:14 03/08/2004] 558635D3AF1C7546D26067D5D9B6959E
C:\WINDOWS\ServicePackFiles\i386\ndis.sys ------ 182656 bytes [19:20 13/04/2008] [19:20 13/04/2008] 1DF7F42665C94B825322FAE71721130D
C:\WINDOWS\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\ndis.sys --a--- 182656 bytes [19:20 13/04/2008] [19:20 13/04/2008] 1DF7F42665C94B825322FAE71721130D
C:\WINDOWS\system32\drivers\ndis.sys ------ 182656 bytes [14:53 04/09/2008] [19:20 13/04/2008] 1DF7F42665C94B825322FAE71721130D

-=End Of File=-

Máte nějaká data na disku C? Pokud ne, tak je to v pořádku, v nejhorším by jste tento disk zformátoval a dal nový systém. Ale to je jen pro jistotu

systém nemůže najít uvedenou cestu.............. report je prázdný

Zkuste ještě s tímto

@echo off
"%userprofile%\plocha\TDSSKiller.exe" -l report.txt -v
notepad report.txt
del %0
exit