VIRY.CZ

zdravim, dostal sa mi do ruk priatelkin pc ze nejde. myslel som si ze to dam dokopy ale vazne si neviem dat rady, pri starte pc sa automaticky vyhodi safe mode, start normaly, last know config. ked dam normaly, tak sa restartne ked dam safemode tak to skonci pri mup.sys a restartne last know tiez restart. skusil som repair winu cez bootovacie cd a nepomohlo, skusil som nakopcit cez livecd ten mup.sys do system32/drivers a nic. dal som aj chkdsk /r nepomohlo. ked dam zakaz restartu pri chybe tak to hodi bluescreen 0x0000007B (0xF7C4F524, 0xC0000034, 0x0000034, 0x00000000, 0x00000000), nechal som zbehnut aj memtest86 a ziadna chyba v ramke. na fixmbr som si netrufol. som si skoro urcite isty ze je to nejaky virus, nie hardwarova chyba. poradte nejake riesenie, format nechavam az nakonec.vdaka

Můžete ještě zkusit poslední známou funkční konfiguraci. Pokud toto nepomůže, zkuste opravu z instal. média. Pak bychom řešili věci další. Na to, abych dokázal přesně určit, zda se jedná o vir, či hw chybu, mám málo informací.

ako som pisal, z cdcka som to skusal repairnut, ale nepomohlo, taktiez posledna znama konfiguracia nepomohla stale sa restartuje..ja len ci neexistuje nejaky bootovaci "virus detector" alebo nieco take, k comu nieje potrebne dostat sa do windowsu..lebo momentalne jedine cez co sa viem vobec dostat do pc je linux live, alebo hiren boot kde je xp mini..

Pokud umíte s HirensBootCD, zkuste to. Je to výborná pomůcka. O žádném boot detektoru ale nevím. Jiná možnost je dát disk jako druhý do jiného PC a zkontrolovat ho některým skenerem.

zajtra skusim dat ten disk do druheho PC, a tam ked spustim RSIT tak to nehodi log len winu ktory aktualne bezi na tom "druhom PC"? alebo ked dam combofix tak to bude riesit zavady na celom disku aj z toho pc co je poskodeny, ked je rozdeleny na dve particie, c: kde je win a d: kde su data, s tym ze to cele bezi vlastne pod winom ktory neni priamo z toho HDD?

.

..a tam ked spustim RSIT tak to nehodi log len winu ktory aktualne bezi na tom "druhom PC"?

Ne, nehodí. Musíte použít skener, např. MBAM: http://www.malwarebytes.org/mbam.php , nebo AVPTool: http://www.viry.cz/forum/viewtopic.php?f=29&t=58179 .

takze som dal do mojho pc ten disk, dal v mbam full scan toho disku (c:) teraz h: a vyslo mi toto, moze to sposobovat tie restarty a nenabootovanie pc? cakam na dalsie pokyny, vdaka

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Verzia databázy: 5034

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

3. 11. 2010 18:58:04
mbam-log-2010-11-03 (18-58-04).txt

Typ kontroly: Úplná kontrola (H:\|)
Objektov kontrolovaných: 202229
Uplynulý čas: 1 hod, 8 min, 30 sek

Infikované služby pamäte: 0
Infikované moduly pamäte: 0
Infikované registračné kľúče: 0
Infikované registračné hodnoty: 0
Infikované položky registračných dát: 0
Infikované priečinky: 0
Infikované súbory: 27

Infikované služby pamäte:
(Škodlivé položky neboli zistené)

Infikované moduly pamäte:
(Škodlivé položky neboli zistené)

Infikované registračné kľúče:
(Škodlivé položky neboli zistené)

Infikované registračné hodnoty:
(Škodlivé položky neboli zistené)

Infikované položky registračných dát:
(Škodlivé položky neboli zistené)

Infikované priečinky:
(Škodlivé položky neboli zistené)

Infikované súbory:
H:\Documents and Settings\All Users\Application Data\QueryBrowser\querybrowser111.exe (Adware.QueryBrowser) -> No action taken.
H:\Documents and Settings\siemens\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_000dbc (Rogue.SmartEngine) -> No action taken.
H:\Documents and Settings\siemens\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_000dbd (Rogue.SmartEngine) -> No action taken.
H:\Documents and Settings\siemens\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_000dbe (Rogue.SmartEngine) -> No action taken.
H:\Documents and Settings\siemens\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_000dbf (Rogue.SmartEngine) -> No action taken.
H:\Documents and Settings\siemens\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_000dc0 (Rogue.SmartEngine) -> No action taken.
H:\Documents and Settings\siemens\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_000dc1 (Rogue.SmartEngine) -> No action taken.
H:\Documents and Settings\siemens\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_000dc2 (Rogue.SmartEngine) -> No action taken.
H:\Documents and Settings\siemens\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_000dc3 (Rogue.SmartEngine) -> No action taken.
H:\Documents and Settings\siemens\Local Settings\Application Data\Google\Chrome\User Data\Default\Cache\f_000ed1 (Rogue.SmartEngine) -> No action taken.
H:\Program Files\Google\Chrome\Application\7.0.517.41\up.exe (Trojan.Agent.Gen) -> No action taken.
H:\Program Files\QueryBrowser\querybrowser.dll (Adware.Agent.Gen) -> No action taken.
H:\Program Files\QueryBrowser\querybrowser.exe (Adware.QueryBrowser) -> No action taken.
H:\Qoobox\Quarantine\C\Documents and Settings\siemens\Application Data\dwm.exe.vir (Trojan.Agent.Gen) -> No action taken.
H:\Qoobox\Quarantine\C\Documents and Settings\siemens\Application Data\hotfix.exe.vir (Trojan.FakeAV) -> No action taken.
H:\Qoobox\Quarantine\C\Documents and Settings\siemens\Templates\memory.tmp.vir (Spyware.Passwords.XGen) -> No action taken.
H:\Qoobox\Quarantine\C\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL.vir (Adware.MyWebSearch) -> No action taken.
H:\Qoobox\Quarantine\C\Program Files\MyWebSearch\bar\3.bin\MWSSRCAS.DLL.vir (Adware.MyWebSearch) -> No action taken.
H:\Qoobox\Quarantine\C\Program Files\MyWebSearch\bar\4.bin\MWSSRCAS.DLL.vir (Adware.MyWebSearch) -> No action taken.
H:\Qoobox\Quarantine\C\WINDOWS\sqnlatag.dll.vir (Trojan.Hiloti) -> No action taken.
H:\Qoobox\Quarantine\C\WINDOWS\Temp\8A3.tmp.vir (Rootkit.TDSS) -> No action taken.
H:\System Volume Information\_restore{6A1038C1-9C1A-4441-BA24-2A8328F31FAC}\RP3\A0000238.exe (Trojan.Agent.Gen) -> No action taken.
H:\System Volume Information\_restore{6A1038C1-9C1A-4441-BA24-2A8328F31FAC}\RP3\A0000242.DLL (Adware.MyWebSearch) -> No action taken.
H:\System Volume Information\_restore{6A1038C1-9C1A-4441-BA24-2A8328F31FAC}\RP3\A0000243.DLL (Adware.MyWebSearch) -> No action taken.
H:\System Volume Information\_restore{6A1038C1-9C1A-4441-BA24-2A8328F31FAC}\RP3\A0000245.DLL (Adware.MyWebSearch) -> No action taken.
H:\System Volume Information\_restore{6A1038C1-9C1A-4441-BA24-2A8328F31FAC}\RP3\A0000255.dll (Trojan.Hiloti) -> No action taken.
H:\System Volume Information\_restore{F3EBDF03-7334-4457-828D-3F42F5D9642F}\RP170\A0043179.exe (Rogue.SmartEngine) -> No action taken.

Všechny nalezené položky smažte. Je tam (kromě dalších věcí) TDSS rootkit, který problém mohl způsobovat. Sice ho smazal už ComboFix a dal do karantény a MBAM ho nyní z ní vymaže. Ten to způsobovat mohl. Pokud to tak opravdu bylo, bude pravděpodobně třeba ještě oprava systému.

vdaka, este by som mal urobit nejake preventivne opatrenia/scany alebo nieco podobne skor ako vratim disk do povodneho pc?

Myslím, že ne. Jen doufejte, že TDSS nepoškodil vážně systém.

no robi to stale to iste, este skusim repair z CD a fixmbr - to by nemalo uz nic pokazit ked su viry odstranene vsak?

Víc bych vsadil na opravu systému.