BSOD velmi kriticke / fast help

[vyosek]

nepiste tim hovadskym velkym pismem, blbe se to cte...

ja myslim ze neprenese, spis ne jak pres tu flashku

[petr0266]

Visty jsou tam, Herr Müller .

[vyosek]

Stahnete si TDSSKiller http://support.kaspersky.com/downloads/ ... killer.exe

• Utilitu spustte a prikazte ji, at skenuje - klik na Start Scan
• Pokud utilita najde infikekci, bude ji chtit lecit (Cure), povolte leceni kliknutim na Continue
• Pokud utilita najde podezrely soubor (suspicious), bude jej chtit preskocit (Skip), povolte preskoceni kliknutim na Continue
• Po dokonceni skenu bude mozna nutny restart PC, povolte jej kliknutim na Reboot now
• Po restartu na Vas vyskoci log, pokud se tak nestane, najdete jej primo na disku, kde mate Windows (obvykle c:\) ve tvaru TDSSKiller.nejaka cisilka _log.txt - jeho obsah sem vlozte
• Pokud restart nebude vyzadovan, kliknete na Close a nasledne na Report - vytvori se log - jeho obsah sem vlozte

[petr0266]

TDSS Killer nic nenašel, omlouvám se, že předbíhám, ale zkousel jsem disinfect bootkit removerem, ale píše to, že nemůže zapisovat do prvního sektoru.

[vyosek]

Stahnete SPTD http://www.duplexsecure.com/en/downloads

• Vyberte z uvedene stranky verzi dle sveho operacniho systemu (32(x86)bit ci 64(x64)bit)
• Ulozte na plochu a spustte
• Zvolte moznost Uninstall a restartujte PC - pokud nepujde kliknout (tlacitko bude sede), krok preskocte

Stahnete Defogger http://www.jpshortstuff.247fixes.com/Defogger.exe

• Ulozte na plochu a spustte
• Kliknete na Disable a restartujte PC - pokud nepujde kliknout (tlacitko bude sede), krok preskocte

Stahnete MBR na plochu http://www2.gmer.net/mbr/mbr.exe ale nespoustejte

Kliknete na Start a pote Spustit, pripadne pouzijte klavesou zkratku Win+R

• Vyskoci na Vas okenko, do ktereho zkopirujte text nize

• Kód: Vybrat vše

  "%userprofile%\Desktop\mbr" -t -s

• Kliknete na OK
• Na plose se Vam vytvori log s nazvem mbr.txt, jeho obsah mi sem vlozte

[petr0266]

Je toto opravdu důležité? Musím to tam házet přes flash disk, protože nemám CD s ovladači a notebook je celkově s vistama nekompaktibilní hardwarově, přes MBR.EXE ten prográmek, co jsem zkoušel, tak správně pouze otevření device a zbytek error reading. Chtělo by to nějak přepsat MBR, ale přes recovery dvd ani bootkit remover to nelze.

[vyosek]

1:Stiahnuť aswMBR.exe na plochu.
http://public.avast.com/%7Egmerek/aswMBR.exe
2:Dvakrát kliknite na aswMBR.exe a spusťte
3:Kliknite na tlačidlo "Scan" pre spustenie skenovania
4:V prípade infekcie Kliknite na tlačidlo "Fix"
5:Uložte asw.log na plochu.
6:Log vloz sem.

[petr0266]

Provedu, nicméně je to asi opravdu ROOTKIT, zkusil jsem combofix, po něm už bootkit remover funguje (disinfect bohužel ne) a ukazuje jasně, že je disk "controlled by rootkit!".

[vyosek]

Reknu to asi takto, kdyz si hodlate delat co chcete a ne podle bych kroku, tak si poradte sam...ja se snazim na to jit cestou nejmensiho zla a vzhledem k tomu, co muze byt v PC, tak CFko ho mohlo poslat klidne do kytek uplne...

[petr0266]

při stisknu tlačítka scan, BSOD a vytváření dump logu, potom to hodí restart ihned.

[petr0266]

omlouvám se.

[vyosek]

Dejte mi sem teda ten log ComboFixu

[petr0266]

ComboFix 11-06-19.0r1 - Lukáš 20.06.2011 19:24:11.1.2 - x64
Microsoft® Windows Vista™ Home Basic 6.0.6000.0.1250.420.1029.18.2012.1499 [GMT 2:00]
Spuštěný z: E:\ComboFix.exe
* Vytvořen nový Bod Obnovení
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-05-20 do 2011-06-20 )))))))))))))))))))))))))))))))
.
.
2011-06-20 17:37 . 2011-06-20 16:42 -------- d-----w- c:\windows\Panther
2011-06-20 17:37 . 2011-06-20 17:37 -------- d-----w- C:\Boot
2011-06-20 17:28 . 2011-06-20 17:28 -------- d-----w- c:\windows\ConfigSetRoot
2011-06-20 17:23 . 2011-06-20 17:23 -------- d-----w- C:\32788R22FWJFW
2011-06-20 16:47 . 2011-06-20 16:47 -------- d-----w- c:\users\Lukáš
2011-06-20 16:40 . 2011-06-20 16:42 -------- d-----w- c:\windows\system32\catroot2
2011-06-20 16:40 . 2011-06-20 16:45 -------- d-----w- c:\windows\Debug
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2006-11-02 1513984]
"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 2159104]
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - 17143182
*Deregistered* - 17143182
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Doplňkový sken -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = %SystemRoot%\system32\blank.htm
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKLM-Run-Windows Defender - c:\program files (x86)\Windows Defender\MSASCui.exe
.
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
Celkový čas: 2011-06-20 19:28:18
ComboFix-quarantined-files.txt 2011-06-20 17:28
.
Před spuštěním: Volných bajtů: 235 707 248 640
Po spuštění: Volných bajtů: 235 643 826 176
.
- - End Of File - - 4198821552AF2800EB0DAA8FE06F7258

[vyosek]

Pokud nemate, tak presunte Combofix na plochu

• Spustte poznamkovy blok (Start-spustit-notepad)
• Zkopirujte skript nize

• Kód: Vybrat vše

  KillAll::
  
  Driver::
  17143182
  
  RegLock::
  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
  
  MBR::
  
  Reboot::

• Ulozte vytvoreny TXT jako CFScript.txt
• Pretahnete vytvoreny CFScript.txt nad Combofix a pustte (viz obrazek nize)
  
• Po aplikaci skriptu (a pripadnem restartu) na Vas vypadne log, jeho obsah sem vlozte

Muze se stat, ze po aplikaci skriptu nenabehnou windows, v tomto pripade restartuje PC a mackejte F8 a zvolte Posledni znamou konfiguraci

[petr0266]

ComboFix 11-06-19.0r1 - Lukáš 20.06.2011 19:59:19.2.2 - x64
Microsoft® Windows Vista™ Home Basic 6.0.6000.0.1250.420.1029.18.2012.1428 [GMT 2:00]
Spuštěný z: c:\users\LukßÜ\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\LukßÜ\Desktop\CFScript.txt
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-05-20 do 2011-06-20 )))))))))))))))))))))))))))))))
.
.
2011-06-20 18:02 . 2011-06-20 18:02 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-06-20 17:37 . 2011-06-20 16:42 -------- d-----w- c:\windows\Panther
2011-06-20 17:37 . 2011-06-20 17:37 -------- d-----w- C:\Boot
2011-06-20 17:28 . 2011-06-20 17:28 -------- d-----w- c:\windows\ConfigSetRoot
2011-06-20 17:23 . 2011-06-20 17:58 -------- d-----w- C:\32788R22FWJFW
2011-06-20 16:47 . 2011-06-20 16:47 -------- d-----w- c:\users\Lukáš
2011-06-20 16:40 . 2011-06-20 16:42 -------- d-----w- c:\windows\system32\catroot2
2011-06-20 16:40 . 2011-06-20 16:45 -------- d-----w- c:\windows\Debug
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((( SnapShot@2011-06-20_17.27.08 )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-11-02 15:38 . 2011-06-20 17:59 28642 c:\windows\system32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2011-06-20 16:48 . 2011-06-20 17:59 1742 c:\windows\system32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-4259601315-1495439950-3419779471-1000_UserData.bin
+ 2011-06-20 16:45 . 2011-06-20 17:56 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2011-06-20 16:45 . 2011-06-20 16:58 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-06-20 16:45 . 2011-06-20 17:56 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2011-06-20 16:45 . 2011-06-20 16:58 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2006-11-02 1513984]
"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 2159104]
.
.
--------- x86-64 -----------
.
.
------- Doplňkový sken -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = %SystemRoot%\system32\blank.htm
CLSID: {603d3801-bd81-11d0-a3a5-00c04fd706ec} - %SystemRoot%\SysWow64\browseui.dll
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes]
"SymbolicLinkValue"=hex(6):5c,00,52,00,45,00,47,00,49,00,53,00,54,00,52,00,59,
00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,4f,00,46,00,\
.
Celkový čas: 2011-06-20 20:03:22
ComboFix-quarantined-files.txt 2011-06-20 18:03
ComboFix2.txt 2011-06-20 17:28
.
Před spuštěním: Volných bajtů: 235 601 616 896
Po spuštění: Volných bajtů: 235 581 292 544
.
- - End Of File - - 24504E9B2699E01EB0D9951BBEAAFA54