Stránka 2 z 4
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 19:36
od mattey
No já v těch záložkách mám spoustu odkazů na různý stránky o kytarách, který jsem za posledních pár let vysurfoval. Stránek na tohle téma je téměř nekonečno, ale těch skutečně zajímavých je podstatně méně.
Myslíte, že jinak by mělo být vš OK?
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 19:38
od vyosek
Jeste to pro jistotu proverime
Stahnete
MBR na plochu
http://www2.gmer.net/mbr/mbr.exe ale nespoustejte
Kliknete na
Start a pote
Spustit, pripadne pouzijte klavesou zkratku
Win+R
- Vyskoci na Vas okenko, do ktereho zkopirujte text nize
- Kliknete na OK
- Na plose se Vam vytvori log s nazvem mbr.txt, jeho obsah mi sem vlozte
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 19:45
od mattey
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer,
http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_HD082GJ rev.JE100-19 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-c
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys sptd.sys >>UNKNOWN [0x8A6A88AC]<<
C:\WINDOWS\system32\drivers\sptd.sys
1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x8A65AAB8]
3 CLASSPNP[0xBA118FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\0000007b[0x8A650F18]
5 ACPI[0xB9E7D620] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Ide\IdeDeviceP0T1L0-c[0x8A6319E8]
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 156280320
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 19:46
od vyosek
Stahnete
SPTD http://www.duplexsecure.com/en/downloads
- Vyberte z uvedene stranky verzi dle sveho operacniho systemu (32(x86)bit ci 64(x64)bit)
- Ulozte na plochu a spustte
- Zvolte moznost Uninstall a restartujte PC - pokud nepujde kliknout (tlacitko bude sede), krok preskocte
Stahnete
Defogger http://www.jpshortstuff.247fixes.com/Defogger.exe
- Ulozte na plochu a spustte
- Kliknete na Disable a restartujte PC - pokud nepujde kliknout (tlacitko bude sede), krok preskocte
A znovu udelejte sken pomoci mbr pres start-spustit
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 20:06
od mattey
Oba kroky šly provést normálně.
Log mbr:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer,
http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_HD082GJ rev.JE100-19 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T1L0-c
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x8A666AB8]
3 CLASSPNP[0xBA118FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\00000079[0x8A6CA5A8]
5 ACPI[0xB9F7F620] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Ide\IdeDeviceP0T1L0-c[0x8A60EB00]
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 156280320
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 20:08
od vyosek
Vydrzte, dam konzultaci s kolegyni...
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 20:09
od mattey
Mimochodem, úžásně se zrychlilo nabíhání Windows
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 20:09
od mattey
ok, rád počkám
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 20:10
od vyosek
Kolegyne tu budu asi az v noci, takze to bude asi dele trvat...takze dekuji za strpeni
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 20:11
od mattey
bezva, aspoň si uvařím večeři
(průběžně to tu budu kontrolovat)
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 20:17
od vyosek
No spise tu bude neco az rano
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 21:25
od vyosek
Takze udelejte krok dle navodu kolegyne
motji píše: Stáhněte
HxD portable http://mh-nexus.de/en/downloads.php?product=HxD
-uložte ho na plochu
-rozbalte ho a program uložte přímo na disk C
-spustte ho
-klikněte na otevřít disk -
zvolte pevné disky(fyzické disky) 
(nepoplette to)
-vyberte
pevný disk 1
-do nabídky napište, který sektor chcete otevřít, potvrdíte enter, a budete přímo v tom sektoru
-napište mi, co máte na sektoru 1-62
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 21:51
od mattey
Nenašel jsem tam českou verzi, tak jsem stáhnul anglickou, vypadá to, že funguje trochu jinak než popisujete. Možná novější verze, zatím bez češtiny. Muselo se to instalovat a možnost Open disk jsem našel až po otevření záložky extras. Dostal jsem se až k tomu otvírání disků, což se mi povedlo (pdysical disks - hard disk 1), ale číslo sektoru ničemu neodpovídá, ač je tam na to nějaké hledací okénko...
Dá se ten program stáhnout jinde česky? (Resp. zaručeně přesně takový o kterém je řeč?)
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 21:54
od vyosek
Re: rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)
Napsal: 22 úno 2011 22:32
od mattey
Hm, tak to vypadá úplně stejně až na tu instalaci.
V záložce Extra jsem dal Otvor disk.
Objevilo se okno, kde jsou na výběr disky uspořádané do stromu.
Zakliknu jsem Fyzické disky - Pevný Disk 1.
Dál můžu jen potvrdit OK.
V původním okně se otevře celý disk a nohoře je formulář s nastavením parametrů. Když zadám do políčka Sektor hodnotu 1-62, nic se nestane a v políčku se objeví zpátky nula.