Zrejme zavirovane PC. Samovolne se nacita disketova jednotka

[motji]

Fajn, teď potřebuji, aby jste udělal jednu věc .

Soubor z této cesty C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys zkopírujte přímo na disk C, tak aby cesta k němu byla C:\atapi.sys.
Až to budete mít, udělejte další krok

Stáhněte Avenger
http://swandog46.geekstogo.com/avenger.exe

-spustíte program a potvrdíte kliknutím na ok,tím potvrzujete, že všechny činnosti s tím spojené činíte na vlastní riziko.
-Po odkliknutí se objeví hlavní okno programu,do bílého okna něj zkopírujte tento skript:

Kód: Vybrat vše

Begin copying here:
Files to move:
c:\atapi.sys | c:\windows\system32\drivers\atapi.sys

-zaškrtněte políčko scan for rootkits

a klikněte na tlačítko Execute.
-Potom se objeví okno,kde kliknutím Yes potvrdíte spuštění skriptu. Pak znovu tlačítkem yes potvrdíte restart počítače.
-Po restartu by se měl otevřít poznámkový blok s logem o vykonání skriptu, bude také uložený v C:\avenger.txt.
-Log vložte sem


-----------------
Asi do půlnoci tu budu

[sokolus]

o.k jdu na to. Pokud by to usnadnilo komunikaci,muzu Vam sem napsat kontakt na icq,nebo skype

[motji]

Problémy řešíme zde v topicu, ne po icq .
Počkám tady. A přečtěte si sz

[sokolus]

splneno,sz precteno a zde je log:


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat Jan 22 23:01:18 2011

23:01:17: Error: Could not register cleanup.
Aborting execution! (error 0: operace byla dokon?ena úsp?šn?.)


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat Jan 22 23:03:19 2011

23:03:19: Error: Could not register cleanup.
Aborting execution! (error 0: operace byla dokon?ena úsp?šn?.)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "c:\atapi.sys|c:\windows\system32\drivers\atapi.sys" completed successfully.

Completed script processing.

*******************

Finished! Terminate.

[motji]

Otestujte na www.virustotal.com
c:\windows\system32\drivers\atapi.sys

[sokolus]

nejak se tomu nechce. Navic virustotal hlasi,ze je zaneprazdnen a muze to trvat i 15 minut

[motji]

Zkuste virustotal znovu, a pokud zase nepojede, provedte znovu to hledání atapi v systemlook a log mi vložte zde

[sokolus]

Virustotal se nechytil,tady je log ze system lock :

SystemLook 04.09.10 by jpshortstuff
Log created at 23:38 on 22/01/2011 by Michal
Administrator - Elevation successful

========== filefind ==========

Searching for "atapi.sys"
C:\WINDOWS\system32\drivers\atapi.sys --a---- 95360 bytes [22:59 03/08/2004] [22:59 03/08/2004] (Unable to calculate MD5)
C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys --a--c- 95360 bytes [15:04 17/02/2007] [22:59 03/08/2004] CDFE4411A69C224BD1D11B2DA92DAC51

-= EOF =-

[motji]

Pořád infikovaný . jdeme hledat dál


odinstalujte všechny virtuální jednotky (Daemon nebo alcohol)

Stáhněte SPTD http://www.duplexsecure.com/en/downloads
-vyberte verzi podle svého operačního systému. SPTD for Windows (32 bit) nebo (64b)
-uložte na plochu a spusťte
- zvolte možnost Uninstall
- restart PC


Stahněte http://www.jpshortstuff.247fixes.com/Defogger.exe
- spustte,
- potvrdte disabled
-log vložte zde



Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, kliknete na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu proveďte druhý sken a log sem také vložte.

stáhněte MBR
http://www2.gmer.net/mbr/mbr.exe
-uložte ho na plochu


start-spustit
do okénka zkopírujte

Kód: Vybrat vše

"%userprofile%\plocha\mbr" -t

ok

vytvoří se log s názvem mbr.log, vložte ho zde





Stahněte z mého podpisu AVPTOOl http://www.viry.cz/forum/viewtopic.php?f=29&t=58179

-Podle návodu nainstalujte a proveďte sken
-co najde nechejte léčit, mazat
-sken může trvat několik hodin
-vložte zde log z výsledky

[sokolus]

toto je log z posledniho avengru


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "c:\atapi.sys|c:\windows\system32\drivers\atapi.sys" completed successfully.

Completed script processing.

*******************

Finished! Terminate.

po nem se mi po restartu objevilo,ze v jednotce neni zadny disk. Neco jakoze mi chybi harddisk

[sokolus]

Prozatim posledni systemlook


SystemLook 04.09.10 by jpshortstuff
Log created at 00:31 on 23/01/2011 by Michal
Administrator - Elevation successful

========== filefind ==========

Searching for "atapi.sys"
C:\WINDOWS\system32\drivers\atapi.sys --a---- 95360 bytes [22:59 03/08/2004] [17:22 09/03/2010] (Unable to calculate MD5)
C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys --a--c- 95360 bytes [15:04 17/02/2007] [22:59 03/08/2004] CDFE4411A69C224BD1D11B2DA92DAC51

-= EOF =-

[motji]

Tak zase nic .
Vrhněte se na ten Gmer a avptool.

[sokolus]

Dobre rano,defogger hotov. Zde je log:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 06:28 on 23/01/2011 (Michal)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Already disabled


-=E.O.F=-

[sokolus]

Prvni log z gmru:


GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2011-01-23 06:35:37
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\00000082 ST3250620AS rev.3.AAE
Running: gmer.exe; Driver: C:\DOCUME~1\Michal\LOCALS~1\Temp\uwliypob.sys


---- Devices - GMER 1.0.15 ----

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

---- EOF - GMER 1.0.15 ----

[motji]

Dobré ranko, vy jste ranní ptáče .
Uvidíme co na to druhý log.