VIRY.CZ

Dobrý den,

Potřebuju zkontrolovat PC před formátem, abych si nic nevzal s sebou, přikládám výsledky bootkitu (unknown, což nic neznamená - bug) a mbr.exe (zdá se v pořádku, parametry -t -s).

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: ee7fe9f24bc949ea3a78cf7064fbe50b

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD1600AAJS-00PSA0 rev.05.06H05 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-16

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
1 ntkrnlpa!IofCallDriver[0x804EF196] -> \Device\Harddisk0\DR0[0x8A53FAB8]
3 CLASSPNP[0xBA0E8FD7] -> ntkrnlpa!IofCallDriver[0x804EF196] -> \Device\00000063[0x8A54C200]
5 ACPI[0xB9F7F620] -> ntkrnlpa!IofCallDriver[0x804EF196] -> \Device\Ide\IdeDeviceP2T0L0-16[0x8A54C318]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [BP+0x0], CH; JL 0x2e; JNZ 0x3a; }
user & kernel MBR OK

Nemám přes windowsacký CD pro jistotu provést příkazy FIXMBR a FIXBOOT před formátem a instalací? Díky!

Pokud budete dělat reinstal s formatem, můžete to provést tak, že zrušíte systémovou partition. Po té ji znovu vytvoříte a zformatujete disk. To je jistota, po které vám na disku nezbude žádný šmejd, i kdyby byl jakýkoliv.

Ano, po nabootování instalačního CD XP vždycky smažu oddíl, vytvorim novy a naformatuji NTFS (pomalu) a potom už se to automaticky instaluje. Díky , Tudíž tento rok smaže i případný rootkit v bootkit sektoru?

Zrušení partice zničí vše, i to, co je v MBR. MBR sektor se nachází v několika prvních clusterech disku a pokud je odstraníme (což se stane zrušením partition), odstraníme vše, co v nich bylo. Formatem je pak znovu vytvfoříme a instalací se zapíše úplně nový MBR.