Poprosím o kontrolu logu.Ďakujem

[roskild]

Nechce mi to zobrať

[1danab]

můžete popsat jak jste postupoval?

[roskild]

start,spustit,skopíroval som toto:"c:\documents and settings\jméno_uživatele - doplňte dle jména uživatele, pod kterým jste právě přihlášen\Plocha\remover.exe" fix \\.\PhysicalDrive0 . . . a namiesto jméno_uživatele som doplnil KC,nezobralo

[1danab]

nemáte náhodou účet s omezeným oprávněním? zkopíroval jste skrip určitě správně, včetně uvozovek?

[1danab]

omlouvám se...ten skript by měl být takto

"c:\documents and settings\jméno_uživatele - doplňte dle jména uživatele, pod kterým jste právě přihlášen\Desktop\remover.exe" fix \\.\PhysicalDrive0

[roskild]

Nie,neberie,keď sa pozriem do logu z RSIT tak som prihlásený KC,neberie to

[1danab]

zkuste to ještě v nouzovém režimu

[roskild]

Zdravím,nebol prístup k PC tak až teraz . . . no tak som to skúsil,tak isto nič,nebralo to.Včera večer som dal prečistit PC programom MWAV a v Bootkit Remover mi našiel trojana,nebol v tom problém?

[1danab]

stáhněte MBR

přesuňte mbr.exe do adresáře C:\Windows

další postup je následující:

Start/Spustit a do chlívku napište cmd a stiskněte Enter.

zobrazí se okénko příkazového řádku; vy napište příkaz:

mbr.exe -f

a stiskněte Enter

Po provedení operace restartujte a spusťte mbr ještě jednou, již normálně a vložte sem log

[roskild]

Reštartoval som,MBR som nechal v C:Windows,spustil som,tu je log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[1danab]

zopakujeme si to co už jsme dělali

Start/Spustit a do chlívku zkopírujte následující text:

"D:\D_DOKUMENTY\Data\Desktop\KC\remover.exe" fix \\.\PhysicalDrive0

potvrďte, restartujte a udělejte nový sken jako v předchozím případě bootkit removerem, log vložte sem

[roskild]

tak som stiahol nový Bootkit Remover lebo v predošlom bol trojan,dal som ho na plochu,skopíroval som odkaz:"D:\D_DOKUMENTY\Data\Desktop\KC\remover.exe" fix \\.\PhysicalDrive0 ale nenašlo ho tak som len použil Bootkit Remover a tu je log:


Bootkit Remover
(c) 2009 eSage Lab
http://www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive1 at offset 0x00000000`00007e00
Boot sector MD5 is: ee7fe9f24bc949ea3a78cf7064fbe50b

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive1 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...



a na ploche mám tento debug log:http://www.upnito.sk/subor/075009d125ec ... bcb1a.html

[1danab]

tak to teď zkusíme takhle

Start/Spustit a do chlívku zkopírujte následující text:

Kód: Vybrat vše

"D:\D_DOKUMENTY\Data\Desktop\KC\remover.exe" fix \\.\PhysicalDrive1

potvrďte, restartujte a udělejte nový sken jako v předchozím případě bootkit removerem, log vložte sem

[roskild]

neberie:http://uploading.sk/informace/obrazek/i ... screen.jpg

[1danab]

vyberte na ploše cokoliv, co tam máte uloženo, klikněte na to pravým tlačítkem myši, dejte Vlastnosti a zkopírujte mi sem celou cestu z okénka Cíl