Stale blika kontrolka HDD - prosim o kontrolu logu

[HonzaKopecky]

Taaak,
provedeno a hotovo!

Log cislo jedna (ten "malej", startovni) je zde:


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-08-04 09:43:14
Windows 6.1.7600
Running: gmer.exe; Driver: D:\Honza\AppData\Local\Temp\agdorpog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Kernel Mode Driver Framework Runtime/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----


No a nasleduje ten druhy (snad jsem vsechno udelal tak jak jsem mel podle navodu...)


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-08-04 10:25:08
Windows 6.1.7600
Running: gmer.exe; Driver: D:\Honza\AppData\Local\Temp\agdorpog.sys


---- System - GMER 1.0.15 ----

INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83240AF8
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83240104
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832403F4
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83228634
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83228898
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832401DC
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83240958
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832406F8
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83240F2C
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832411A8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82E59599 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82E7DF52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x92A2E000, 0x2BE63E, 0xE8000020]
.text peauth.sys 99635C9E 27 Bytes [B8, 51, BC, 38, 72, 0A, 3E, ...]
.text peauth.sys 99635CC2 27 Bytes [B8, 51, BC, 38, 72, 0A, 3E, ...]
PAGE peauth.sys 9963BB9C 71 Bytes [9B, 8D, B7, 9B, F5, 1B, 86, ...]
PAGE peauth.sys 9963BBED 110 Bytes [CF, C1, 72, E5, ED, 28, 5A, ...]
PAGE peauth.sys 9963C02D 101 Bytes [DA, 1B, 6F, 48, CD, 66, C9, ...]

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1900] kernel32.dll!SetUnhandledExceptionFilter 75E13162 4 Bytes [C2, 04, 00, 00]

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002713a00afc
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002713a00afc@0023f1cf7aa5 0x47 0x76 0xCE 0xCC ...
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\002713a00afc@0021aaa3d612 0x1B 0x7E 0x85 0x37 ...
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002713a00afc (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002713a00afc@0023f1cf7aa5 0x47 0x76 0xCE 0xCC ...
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\002713a00afc@0021aaa3d612 0x1B 0x7E 0x85 0x37 ...

---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: copy of MBR

---- EOF - GMER 1.0.15 ----



Tak az bude chvilka, kouknete se na to prosim...
Dekuju
Honza

[motji]

Vypadá to na MBR rootkita, nebo jeho pozůstatek.
Máte jeden disk nebo víc? Kolik máte operačních systémů?

stáhněte MBR
http://www2.gmer.net/mbr/mbr.exe
-uložte ho na plochu a spusťte
-vytvoří se log s názvem mbr.log, vložte ho zde


Stáhněte HxD portable http://mh-nexus.de/en/downloads.php?product=HxD
-uložte ho na plochu
-rozbalte ho a program uložte přímo na disk C
-spustte ho
-klikněte na otevřít disk - zvolte pevné disky(fyzické disky) (nepoplette to)
-vyberte pevný disk 1
-do nabídky napište, který sektor chcete otevřít, potvrdíte enter, a budete přímo v tom sektoru
-napište mi, co máte na sektoru 1-62
-napište mi, kde máte napsáno ntfs nebo ntdlr ( u mě je to mezi 63. a 64. sektorem)

Aby jste měl představu, co hledat, takto vypadá můj 60.sektor, měly by tak vypadat všechny od 1-62, ale Vy je tak mít pravděpodobně nebudete.

[HonzaKopecky]

Dobry vecer, omlouvam se za se ozyvam az ted, driv jsem se k PC nedostal...

K te Vasi prvni otazce:
mam jeden fyzicky disk rozdeleny na dva logicke (C a D) - Ccko pouzivam pro Windows 7 Professional a instalace aplikaci, Dcko pro data (a taky na nej obcas instaluju aplikace, o kterych vim, ze je jen kratce pouziju a zase odinstssluju.

OS pouzivam jeden jediny a to Win7Pro (s XP modem, ale ten - az na vyjimky - nepouzivam).

Otazka?
Vyse uvedene na tom Vasem navodu nic nemeni? Pokud ne, jdu na to... Ozvu se s vysledky...


Zatim dekuju
honxa

[HonzaKopecky]

Tak tady uje log z toho MBR:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK



Honza

[HonzaKopecky]

Dotaz k tomu HxD portable:
je tam mnoho ruznych jazykovych verzi (krom verzi "installable" - o ty nam nejde, chapu spravne, ze?)
Ale i tech "portable" je tam vic - otazka zni: je jedno kterou zvolim? (Anglicky sice umin, ale slovensky preci jen trochu jisteji; jak jsem pochopil z vaseho popisu, je treba nastavit program velmi presne a nerad bych udelal chybu kvuli nejaksnosti nejakeho vyrazu...)

Takze: SLO nebo EGN?

Diky
Honza

PS: podotykam, ze jde o stejne verze dle cislovani...

[motji]

Slovensky a pokračujte v postupu

[HonzaKopecky]

Nuze, po jistych nejasnostech jsem to (snad) zvladl spravne a nic u toho nepokazil - doufam!
Nevedel jsem, jak Vam nejlepe interpretovat vysledky, proto jsem udelal printscreeny a posilam je. Snad to nebyl uplne blbej napad... Chapu-li spravne, zajimaji Vas jen sektory do 62ho, dalsich milion (ci vic) ne, spravne? Vsechny sektory mezi 0 a 62 jsou takove jako ten Vas vzor, az na ty, ktere Vam zasilam.

No a co se tyce toho, kde je tam napsano ntfs nebo ntdlr -priznam se, ze jsem asi zcela nepochopil co se po me chce. Pouzil jsem tedy fci Hledej a nechal jsem oba textove retezce vyhledat - oba jsou tam vicekrat (teda: ntfs urcite, u toho druheho si nejsem jist, neb jsem nemel trpelivost cekat, nez to prohleda vsech tech janevimkolik milionu sektoru. Beru tedy v potaz jen prvni vyskyt a opet jsem Vam udelal printscreen konkretniho radku. Snad jsou to ty informace, ktere potrebujete. Kdyby ne nahodou ne, prosim, nenadavejte na me, spis mi zkuste polopaticteji vysvetlit, co se po me chce...

Predem diky
Honza

PS: JPG soubory prikladam jako jeden ZIP file (bez hesla), at tu zbytecne nezabiram misto...

[motji]

Takže jdem na opravy .
V první řadě si zazálohujte důležitá data. Může se stát, že něco špatně opravíme a už nenabootujete. (pokud by se tak stalo, máte win7 tak dáte opravu bootovacího sektoru z inst. dvd)
ještě si do notepadu uložte čísilka z 0.sektoru v HxD. t


Nabootujte z inst. DVD a do příkazového řádku napište
bootrec /fixmbr
enter


znovu spustte HxD
klikněte na otevřít disk - zvolte pevné disky(fyzické disky) (nepoplette to)
-vyberte pevný disk 1
-ze čtverečku odkliknete fajfku jen pro čtení
- otevře se program v edit modu
-najdete sektor2,53,54,61, 62
-označte myšítkem celý sektor2,53,54,61, 62 (zkopírujte si čísílka a uložte v notepadu, kdyby se něco nepovedlo, vrátíte je zpět)
-zvolte možnost vyplnit výběr (3. možnost odspodu mezi dvěma čarami,) otevřou se přednastavené hodnoty ( 00 00 00...)
-potvrdíte Ok
-zavřete program, potvrdíte změnu.
-pak restartujte počítač a zkontrolujte, zda je sektor přepsaný.


A pak napište. Já tu budu zase večer.

[HonzaKopecky]

Vyborne, dekuju za radu - budu se ji ridit, ale ma to jeden hacek - instalacni DVD od Win7 jsou v praci a tam se tento vikend nedostanu Takze to budeme muset nechat na pondeli...

Jen jeste par dotazu:
pokud nabootuju z inst DVD, nenabidne mi to rovnou Instalaci OS resp Opravu stavajiciho OS? Ptam se, protoze jsem si ty sedmicky neinstaloval sam, uz na NTB byly...
co ta zalohovana data? nebudou taky poskozena?
tesne predtim, nez se NTB zacal chovat tak, ze me vyprovokoval k obraceni se na Vas, jsem si z blbosti (neuvazene uziti Shift+Del) smazal nektera (docela podstatna) data. Vim, ze se (ve vetsine pripadu) daji vratit zpet pomoci ruznych programu, ale nesmi mezitim dojit k prepsani te casti HDD kde byla puvodne ulozena - cili dotaz zni: je v tom problem, nebo se "nase" opravy tykaji jine casti HDD (to bych predpokladal...)
pred chvilkou jsem zmenil zobrazeni ikonek v Pruzkumniku ze "seznam" na "velke ikony" a zjistil (zel az ted, ale rekl bych, ze to tak je uz delsi dobu) ze mam na nekterych ikonkach vlevo dole takovy malinkaty zamecek (prijde mi, ze to nejak souvisi se sdilenim, ne?). Nic jsem v tomhle smeru neprovadel (mam ucet s pravy admina), ale zvlastni je, ze napr slozka "Obrazky" je uplne prazdna, ve slozce "Mluvene slovo" zustala jen struktura slozek (a to jeste ne vsech, jen asi tak tretiny) ale soubor tam neni ani jediny (a to ani v zadne podslozce) a do tretice slozka "Stazene soubory" zustala beze zmeny (tedy az na ten zamecek - uvnitr se vsak nezmenilo vubec nic, co tam ma byt, tam taky je...) No a nakonec ve slozce "Hudba" (kde ten zamek neni!) opet zustala (tentokrat zda se) kompletni stromova struktura slozek, ale opet bez jedineho souboru...
Upozornuju, ze zadne z techto 4 slozek se netyka moje vyse zminena chyba s Shift+Del!!


Pouzivam (jak doma, tak v praci) jen jeden prihlasovaci ucet a to s pravy administratora. Tak jak: mam jit do Bohnic ja, nebo ten notas? Uz mi z toho zacina slusne hrabat


Prozatim dekuju a omlouvam se za komplikace
Honza

PS prikladam obrazek jak to s tema ikonkama vypada...

[motji]

No takhle
U notasu jsou věci, které nám tu opravu mohou zkoplikovat. Proto chci ty zálohy těch sektorů, klidně si je uložte do notepadu a přeneste na druhý pc, kdyby jste nenabootoval, dá se to opravit.
Nemáte notas od HP?

[HonzaKopecky]

Mam
HP ProBook 6540b, ale uz ted z hlavy nevim to presne oznaceni konfigurace. Problem??

[motji]

Trošinku, napíšu Vám sz s vysvětlením

[motji]

Instalační cd už máte?