VIRY.CZ

Nainstalujte MBAM a udelejte vlastni sken vsech disku - http://forum.viry.cz/viewtopic.php?f=29&t=144868

• Upozorneni: tento sken zabere od 30 minut po nekolik hodin

Sken jsem udělal přesně podle návodu, bohužel situace je stejná, WinDef nelze spustit.
(Ono mi to ani nevadí, že ho nerozjedu, mám jinej, ale spíš jestli ještě nějaká havěť mi tu nestraší)

Co MBAM nalezl a smazal? Nebo byl bez nalezu?



Ulozte na plochu aswMBR - http://files.avast.com/files/rootkit-scanner/aswmbr.exe

• spustte jako spravce (v pripade XP obycejne dvojklikem)
• souhlaste s aktualizaci virove databaze Yes - bude se stahovat cca 205 MB a nasledne se chvili bude instalovat
• vse ponechte, jak je a kliknete na Scan - vezme cca 10 min
• kliknete na Save log a ulozte vysledek skenu - obsah tohoto logu vlozte do sve pristi odpovedi

Start -> vepiste cmd

• na vysledek vyhledavani kliknete pravym a zvolte Spustit jako spravce
• do spusteneho okna vepiste: sfc /scannow
• a odentrujte
• po jeho skonceni jeste do otevreneho prikazoveho radku vepiste (pripadne text zkopirujte do schranky pomoci Ctrl+C a vlozte pres pravy klik a vlozit)
• findstr /c:"[SR]" %windir%\logs\cbs\cbs.log >> "%userprofile%\desktop\sfcdetails.txt"
• a odentrujte
• obsah logu sfcdetails.txt umisteneho na plose zkopirujte do pristi odpovedi

aswMBR version 1.0.1.2290 Copyright(c) 2014 AVAST Software
Run date: 2016-01-19 21:16:11
-----------------------------
21:16:11.243 OS Version: Windows x64 6.2.9200
21:16:11.243 Number of processors: 4 586 0x2A07
21:16:11.243 ComputerName: FUFAN-PC UserName: Fufan
21:16:20.659 Initialize success
21:16:20.674 VM: initialized successfully
21:16:20.674 VM: Intel CPU supported virtualized
21:16:23.722 VM: disk I/O storahci.sys
21:16:26.974 AVAST engine defs: 16011900
21:16:34.652 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\0000002e
21:16:34.652 Disk 0 Vendor: ST9750420AS 0002SDM1 Size: 715404MB BusType: 11
21:16:34.943 Disk 0 MBR read successfully
21:16:34.943 Disk 0 MBR scan
21:16:34.959 Disk 0 Windows 7 default MBR code
21:16:34.974 Disk 0 Partition 1 00 1C Hidd FAT32 LBA MSDOS5.0 25600 MB offset 2048
21:16:34.974 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 299276 MB offset 52430848
21:16:35.006 Disk 0 Partition 3 00 27 Hidden NTFS WinRE NTFS 785 MB offset 665350144
21:16:35.006 Disk 0 Partition - 00 0F Extended LBA 389740 MB offset 666957824
21:16:35.056 Disk 0 Partition 4 00 07 HPFS/NTFS NTFS 389739 MB offset 666959872
21:16:35.319 Disk 0 scanning C:\WINDOWS\system32\drivers
21:16:52.700 Service scanning
21:17:35.152 Modules scanning
21:17:35.152 Disk 0 trace - called modules:
21:17:35.184 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys storport.sys hal.dll storahci.sys
21:17:35.200 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xffffe0013ca96060]
21:17:35.200 3 CLASSPNP.SYS[fffff8009cbe7d95] -> nt!IofCallDriver -> [0xffffe0013c7fae40]
21:17:35.216 5 ACPI.sys[fffff8009bb11361] -> nt!IofCallDriver -> \Device\0000002e[0xffffe0013c7fd060]
21:17:44.366 AVAST engine scan C:\WINDOWS
21:17:54.129 AVAST engine scan C:\WINDOWS\system32
21:22:51.047 AVAST engine scan C:\WINDOWS\system32\drivers
21:23:50.615 AVAST engine scan C:\Users\Fufan
22:42:48.943 Disk 0 MBR has been saved successfully to "C:\Users\Fufan\Desktop\MBR.dat"
22:42:48.943 The log file has been saved successfully to "C:\Users\Fufan\Desktop\aswMBR.txt"

Zbytek je příliš dlouhej, když tak mi řekněte, kterou část z toho dlouhýho logu.

Cely obsah logu vytvoreneho pomoci
findstr /c:"[SR]" %windir%\logs\cbs\cbs.log >> "%userprofile%\desktop\sfcdetails.txt"
vlozte do pristi odpovedi (pokud bude delsi nez 100.000 znaku, zabalte soubor do zipu/raru a prilozte jako prilohu nebo jej muzete vlozit napr. na pastebin, ulozto, leteckaposta apod.).

zbytek..

Zopakujte postup se sfc /scannow znovu - tentokrat v nouzovem rezimu.

Jen samotný scan bez následného příkazového řádku s příkazem findstr?

I s prikazovym radkem - prikaz vygeneruje log z práce sfc (co se podarilo opravit a co jeste ne). Puvodni sfcdetails.txt pred zahajenim skenu prosím smažte.

.

Postupujte dle navodu kolegy

vyosek píše: Stahnete si TDSSKiller http://media.kaspersky.com/utilities/Vi ... killer.exe

• Po spusteni odsouhlaste licencni podminky (klik na Accept)
• Kliknete na volbu Change parametrs
• V okne Additional Option zakliknete vsechny moznosti
• Kliknete na OK
• Utilite prikazte, at skenuje - klik na Start Scan
• Po dokonceni skenu se objevi okno, zkontrolujte, zda-li je vsude moznost Skip
• Pokud moznost Skip nebude primarne nastavena, prekliknete ji na Skip
• Pokud mate vsude Skip, kliknete na Continue
• Na disku, kde mate Windows (obvykle c:\) ve tvaru TDSSKiller.nejaka cisilka _log.txt bude log - jeho obsah sem vlozte

Žádnej "skip" jsem teda nenašel, ale log mám.

Protoze nebyla nalezena zadna infekce, nemel jste co preskakovat (skip). SFC hlasi poskozene soubory i jejich zalohy. Nejjednodussi by bylo "sfc /scannow" spustit z instalacniho CD (bootovatelneho media). Malware v logach nevidim.

Tím pádem teda asi v pohodě.

Velké díky!