Infekce v MBR Vyřešeno

[jaro3]

. Takže spusť znovu MbAM a dej Scan
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Ukaž výsledky
- ujistit se že máš zatrhnuté všechny vypsané nálezy a klikni na tlačítko Odstranit označené
- když skončí odstraňování tak se ti zobrazí log, tak ho sem dej.
- pak zvol v programu OK a pak program ukonči přes Exit

Můžeš sem pak vložit nový log z MbAM.


toto sis nastavoval sám:

Kód: Vybrat vše

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoAutoUpdate"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ERSvc"=2 (0x2)
"Start BT in service"=2 (0x2)
"PnkBstrB"=2 (0x2)
"PnkBstrA"=2 (0x2)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"MDM"=2 (0x2)
"BlueSoleil Hid Service"=2 (0x2)
2010-05-05 c:\windows\Tasks\Nová úloha.job
- c:\windows\system32\shutdown.exe [2004-08-17 06:52]


??

[Reklama]

[Orcus]

V MBaM mazu jen prvni, protoze ty dalsi tri se vazou k Win Sec Center ktery mam naschval komplet vyply:)


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoAutoUpdate"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

oboje ode mě

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ERSvc"=2 (0x2)
"Start BT in service"=2 (0x2) - BT program od bluesoleil
"PnkBstrB"=2 (0x2) - punkbuster - pouziva se u onlinovek proti explotium a cheaterum:)
"PnkBstrA"=2 (0x2) - punkbuster - pouziva se u onlinovek proti explotium a cheaterum:)
"ose"=3 (0x3) - - nemam sajnu o co de, podle googlu diagnostics k MS office
"odserv"=3 (0x3) - nemam sajnu o co de, podle googlu diagnostics k MS office
"MDM"=2 (0x2) - nemam sajnu o co de
"BlueSoleil Hid Service"=2 (0x2) BT program od bluesoleil
2010-05-05 c:\windows\Tasks\Nová úloha.job - planovanej shutdown kdyz koukam na filmy a usnu
- c:\windows\system32\shutdown.exe [2004-08-17 06:52] planovanej shutdown kdyz koukam na filmy a usnu

======================================================

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Verze databáze: 4086

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.5.2010 20:48:57
mbam-log-2010-05-10 (20-48-57).txt

Typ skenu: Rychlý sken
Skenované objekty: 133967
Uplynulý čas: 3 minuta(y), 46 sekunda(y)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 1
Infikované hodnoty registru: 0
Infikované datové položky registru: 3
Infikované složky: 0
Infikované soubory: 0

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5b4c3b43-49b6-42a7-a602-f7acdca0d409} (Adware.OneStepSearch) -> Quarantined and deleted successfully.

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
(Žádné škodlivé položky nebyly zjištěny)

[jaro3]

Fajn..

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

File::
c:\windows\system32\nvModes.dat

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Nákazu v MBR tam už nevidím.

[Orcus]

Ještě než se vrhnu na to použití skriptu, tak se jen zeptám k čemu jeho spuštění bude dobrý?:)

A druhá věc, nakáza je stále přes gmer vidět, a protože se mi už podařilo konzoli nainstalovat tak zkusim fixbot + fixmbr :) To by melo mbrko obnovit ze zalohy a ta pokud nebude nakazena tak to bude ok:)

[jaro3]

OK.

Nebo můžeš zkusit toto:
Jdi přes Start -> Spustit... a napiš do okna tento příkaz označený modře:
cmd
na blikající kurzor vlož toto:
cd \
a dej Enter.

Poté vlož :
mbr.exe –f
dej Enter
(mezi mbr.exe a –f je mezera)
Poté vlož:
Exit
A dej Enter
Vytvoří se zpráva v C:\mbr.log, zkopíruj sem její celý obsah.
Poté restartuj PC (nutné).

[Orcus]

Tak výsledkem fixmbr.exe s parametrem F je stejnej log kterej sem postoval na zacatku tematu... Zejtra zkusim fixmbr pres recovery konzoli. :)

[jaro3]

Jo , to můžeš , ale ještě zkus toto:

Jdi na tuto stránku:
http://www.sysint.no/en/Download.aspx

a stáhni si MBRFix , rozbal si ho a ulož na svojí plochu. Potom složku otevři a zkopíruj oba soubory (mbrfix.exe and mbrfix64.exe) do své složky C:\ ( kde máš operační systém).
Poté klikni na Start>> Run( spustit) >>zkopíruj a vlož tam tento text:
C:\MbrFix.exe /drive 0 fixmbr /yes
Restartuj PC a poté spusť znovu mbr.exe a vlož sem z něj opět log.

[Orcus]

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x3a380d80 size 0x1e4 !
copy of MBR has been found in sector 62 !
PE file found in sector at 0x03A380D80 !


bohužel záloha je infikovaná.... tudíž asi formát disku:))

[jaro3]

Zkus ještě:

Stáhni Bootkit Remover http://www.esagelab.com/files/bootkit_remover.rar
-ulož na plochu
-spusť
- pak klikni do černého okna a zkopíruj sem výsledek, případně dej screen

[Orcus]

screen logu je tady:

http://img231.imageshack.us/img231/2280/46244637.png

Diky za help:)

[jaro3]

Bootkit nic nenašel, ukazuje , že je to čistý.

Jedině se to dá přepsat.

Tak to zkusíme:

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

@ECHO OFF
remover.exe fix \\.\PhysicalDrive0

EXIT

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: fix.bat
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Poklepej na soubor fix.bat, ten se spustí a poté se systém restartuje , pokud ne proveď sám.

[Orcus]

Dávám uzavřeno. V prosinci budu kupovat novej disk, tudíž ten současnej zformátuju:)