Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

MBR rootkit

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Odpovědět
Zpráva
Autor
Sentello
Návštěvník
Návštěvník
Příspěvky: 21
Registrován: 12 led 2010 15:12

Re: MBR rootkit

#16 Příspěvek od Sentello »

SPTD - mě nejde zapnout, mám 31bit OS
Obrázek
za mmt doplním
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: MBR rootkit

#17 Příspěvek od vyosek »

Prejdete na Deffoger, stahl jste sice verzi pro 32bit OS, tak nevim co se SPTD nelibi, ale oki - nechme to tak...pokracujte vesele dale...
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Sentello
Návštěvník
Návštěvník
Příspěvky: 21
Registrován: 12 led 2010 15:12

Re: MBR rootkit

#18 Příspěvek od Sentello »

Ok, Defoggerem jsem zrušil emulaci mechanik a restartoval.

A zde je MBR:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: FUJITSU_MHV2080AT rev.000000A0 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys viaide.sys
1 nt!IofCallDriver[0x804E37D5] -> \Device\Harddisk0\DR0[0x8981DAB8]
3 CLASSPNP[0xF7637FD7] -> nt!IofCallDriver[0x804E37D5] -> \Device\00000078[0x897F29E8]
5 ACPI[0xF75AE620] -> nt!IofCallDriver[0x804E37D5] -> \Device\Ide\IdeDeviceP0T0L0-3[0x89827940]
kernel: MBR read successfully
user & kernel MBR OK
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: MBR rootkit

#19 Příspěvek od vyosek »

:arrow: Log z mbr je cisty jak slovo bozi :o Je mozne ze tam byla falesna detekce od CF diky tem virtualnim mechanikam ktere vyuzivaji rootkit techniky

:arrow: Spustte ComboFix znovu, bez skriptu, log opet sem
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Sentello
Návštěvník
Návštěvník
Příspěvky: 21
Registrován: 12 led 2010 15:12

Re: MBR rootkit

#20 Příspěvek od Sentello »

No jo :lol: Asi za to může Deamon Tools

LOG:
ComboFix 10-11-29.02 - Sentello 11.2010 г. 22:45:50.4.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.359.1033.18.1459.1165 [GMT 1:00]
Running from: c:\documents and settings\Sentello\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2010-10-28 to 2010-11-29 )))))))))))))))))))))))))))))))
.

2010-11-29 18:41 . 2010-11-29 18:42 -------- d-----w- C:\rsit

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-11-23 19:54 . 2008-04-14 12:00 361600 ----a-w- c:\windows\system32\drivers\tcpip.sys
2010-09-18 11:23 . 2008-04-14 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2008-04-14 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2008-04-14 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2008-04-14 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-01 11:51 . 2008-04-14 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll
.

------- Sigcheck -------

[-] 2010-11-23 . CBEEBEB899E31EF52B962CB31FC8CA5C . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[-] 2010-11-14 . 68F06FE0021B01E670AF37B8C5964FDF . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"VTTrayp"="VTtrayp.exe" [2005-09-14 167936]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 90112]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-07-08 729178]
"TrueImageMonitor.exe"="c:\program files\Acronis\TrueImageHome\TrueImageMonitor.exe" [2010-03-27 5107232]
"Acronis Scheduler2 Service"="c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe" [2010-03-27 362232]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Sentello\Start Menu\Programs\Startup\
HDDlife.lnk - c:\program files\HDDlife for Notebooks\HDDlife for Notebooks.exe [2006-12-8 1125888]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=3 (0x3)
"JavaQuickStarterService"=2 (0x2)
"JUPOERXJVJY"=3 (0x3)
"afcdpsrv"=2 (0x2)
"AcrSch2Svc"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Google Update"="c:\documents and settings\Sentello\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CanonSolutionMenu"=c:\program files\Canon\SolutionMenu\CNSLMAIN.exe /logon
"CanonMyPrinter"=c:\program files\Canon\MyPrinter\BJMyPrt.exe /logon
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"d:\\Program Files\\uTorrent\\uTorrent.exe"=
"d:\\Program Files\\Nonoh.net\\Nonoh\\nonoh.exe"=
"d:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 tdrpman258;Acronis Try&Decide and Restore Points filter (build 258);c:\windows\system32\drivers\tdrpm258.sys [22.11.2010 г. 10:38 911680]
R1 tidnet;TID NDIS Protocol Driver;c:\windows\system32\drivers\tidnet.sys [15.9.2009 г. 10:51 19200]
R2 afcdpsrv;Acronis Nonstop Backup service;c:\program files\Common Files\Acronis\CDP\afcdpsrv.exe [24.11.2010 г. 13:23 2480048]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [24.11.2010 г. 13:23 160704]
R3 tapoas;TAP-Win32 Adapter OAS;c:\windows\system32\drivers\tapoas.sys [03.8.2010 г. 16:25 26112]
S2 OpenVPNAccessClient;OpenVPN Access Client;c:\program files\OpenVPN Technologies\OpenVPN Client\core\capiws.exe [12.8.2010 г. 17:45 24064]
S3 Huawei;HUAWEI Mobile Connect - USB Smart Card Reader;c:\windows\system32\drivers\ewdcsc.sys [15.11.2010 г. 21:31 24448]
S3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\drivers\ewusbdev.sys [15.11.2010 г. 21:31 100736]
S3 smsbda;DVB-T TV Stick;c:\windows\system32\drivers\smsbda.sys [17.11.2010 г. 20:52 52128]
S4 JUPOERXJVJY;JUPOERXJVJY;c:\docume~1\Sentello\LOCALS~1\Temp\JUPOERXJVJY.exe --> c:\docume~1\Sentello\LOCALS~1\Temp\JUPOERXJVJY.exe [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.11.2010 г. 22:32 664064]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder

2010-11-15 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 20:51]

2010-11-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-682003330-1417001333-1003Core.job
- c:\documents and settings\Sentello\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-11-15 15:52]

2010-11-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1844237615-682003330-1417001333-1003UA.job
- c:\documents and settings\Sentello\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-11-15 15:52]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://google.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-29 22:50
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2010-11-29 22:52:45
ComboFix-quarantined-files.txt 2010-11-29 21:52

Pre-Run: 10 203 574 272 bytes free
Post-Run: 10 242 613 248 bytes free

- - End Of File - - 915ADC31BC080A5725A0842FD226FC0D

Děkuji moc :worship:
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: MBR rootkit

#21 Příspěvek od vyosek »

:arrow: Odinstalujte Combofix
  • Start - Spustit (nebo pouzijte klavesobou zkratku Win+R)
  • Napiste ComboFix /Uninstall
  • Stisknete Enter
  • Tohle smaze Combofix a jeho slozky
:arrow: T-Cleaner http://sweb.cz/Marinus/T-Cleaner.exe
  • Stahnete a spustte
  • Pro potvrzeni volby mackejte A, Enter
  • Po pouziti utilitu smazte
  • Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)
:arrow: OTC http://oldtimer.geekstogo.com/OTC.exe
  • Stahnete a spustte
  • Kliknete na CleanUp a potvrdte YES
  • Program uklidi a restartuje PC

:arrow: TFC http://oldtimer.geekstogo.com/TFC.exe
  • Stahnete a spustte
  • Kliknete na Start a potvrdte OK
  • Program uklidi a restartuje pc
  • Po pouziti utilitu smazte
:arrow: Stahnete Ccleaner (viz muj podpis)
Panel čistič
  • Vse nechte jak je, jen dejte Analyzovat a pote Spustit CCleaner
Panel registry
  • dejte Hledej problémy
  • nasledne Opravit problémy - zalohu registru doporucuji udelat, opravte vsechny problemy
  • postup opakujte dokud nebude bez problemu - vetsinou cca 3x
Panel nástroje
  • Zde muzete odinstalovat nepotrebne programy
CCleaner doporucuji pouzivat cca jednou za 14 dni

:arrow: Priste pouzivejte ComboFix jen na doporuceni osoby, ktera s nim umi pracovat - ne jak tento IT, ktery Vam rekl pouzijte a pritom jste se diky nemu desil ze tam mate mbr rootkit, jelikoz Vam dale neporadil co s logem

:arrow: Spustte znovu Defforeg a dejte Re-Anable at si zapnete deamona

:arrow: A pokud nejsou problemy a ani dotazy, je to z me strany vse :turned:
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Sentello
Návštěvník
Návštěvník
Příspěvky: 21
Registrován: 12 led 2010 15:12

Re: MBR rootkit

#22 Příspěvek od Sentello »

Paráda ;) takže tam žádný vir nebyl?

Děkuji moc za pomoc, příště ten ComboFix nebudu bezhlavě zapínat. Po pravdě ani jsem nevěděl co to udělá :D jen mě bylo řečeno ať se podívám na log a pročtu si ho...


DÍKY
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: MBR rootkit

#23 Příspěvek od vyosek »

:arrow: Cist si v nem muzete jak chce, ale kdy nevite co jaky radek znamena, resp. co s nim provest, tak je Vam vylozene k ho*no...CF je urcen pro radce :!:

:arrow: Ale jo, nejaka ta havet tam byla ale ne mbr rootkit

Nemate zac, rad jsem pomohl :) Zase nekdy Obrázek
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Sentello
Návštěvník
Návštěvník
Příspěvky: 21
Registrován: 12 led 2010 15:12

Re: MBR rootkit

#24 Příspěvek od Sentello »

:D přesně tak, jako čtivo je to fain. Dovím se co se smazalo a tak ale nic víc
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: MBR rootkit

#25 Příspěvek od vyosek »

Dovite se co se smazalo, ale co je potreba smazat a jak, zo uz tezko udelate :o

Takze pokud nejsou problemy a ani dotazy, je to z me strany vse :turned:
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Sentello
Návštěvník
Návštěvník
Příspěvky: 21
Registrován: 12 led 2010 15:12

Re: MBR rootkit

#26 Příspěvek od Sentello »

Dneska to bylo vyčerpávající :D můžete zamknout

Ještě jednou díky
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: MBR rootkit

#27 Příspěvek od vyosek »

Nemate zac, rad jsem pomohl :) Zase nekdy Obrázek
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Odpovědět

Zpět na „Řešení problémů, logy“