Problem s viry - podezření na malware

[bledulka]

Ten log je nějaký krátký, měl jsi zaškrtnuté všechny položky?
Já už dnes končím, ahoj.

[Reklama]

[hollca]

Jo,vsechno jsem mel zaskrtnuty,ale je mozny ze je to tim,ze jsem to delal v nouzovem rezimu, protoze v normalnim rezimu tam toho bylo vic,ale restartovalo se to v prubehu testu. Ahoj

[jaro3]

Otestuj RAM Memtestem:
Memtest:
http://www.stahuj.centrum.cz/utility_a_ ... i/memtest/

Do políčka vlož největší velikost Tvé jednotlivé paměti RAM (256,512 nebo 1024,2048) dej Start , nech nejméně 2h běžet , pokud bude po 2h stále 0 errors , jsou v pořádku.


Je třeba zkontrolovat HDD na chyby , zkusit jeho defragmentaci. Příapně zkusit vyměnit zdroj.

Stáhni si TFC
Otevři soubor a zavři všechny ostatní okna, Klikni na Start k zahájení procesu. Program by neměl trvat dlouho.
Poté by se měl PC restartovat, pokud ne , proveď sám.

Jdi přes Start -> Spustit... a napiš do okna tento příkaz označený modře:
C:\mbr.exe -f
a dej Ok.mezi mbr.exe a -f je mezera
- pokud by tě bezpečnostní software upozornil na přepsání MBR tak to povol
- počkej až program proběhne a pak restartuj Pc

Znovu i Bootkit Remover

-spusť
- pak klikni do černého okna a zkopíruj sem výsledek, případně dej screen

[hollca]

Tak to TFC jsem si udelal. Ale kdyz jsem do start-spustit vlozil C:\mbr.exe -f tak mi to napsalo, ze system Windows nemuze nalezt C:\mbr.exe -f . Na testovani pameti se vrhnu tedka.

[jaro3]

Nejprve:
Stáhni si MBR Rootkit Detektor
- ulož si ho přímo na disk C a spusť ho
- za chvíli se ti vytvoří jeho log (mbr.log) vlož sem celý jeho obsah.

Pak zkus znovu , viz výše.

[hollca]

Ty pameti jsou v poradku. Nechal jsem to bezet 2 hodky a zadny chyby.

Tady je ten log z MBR:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

[hollca]

Uz to pres Start --> spustit slo.

A tady je ten log:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: ee7fe9f24bc949ea3a78cf7064fbe50b

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

[jaro3]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

@ECHO OFF
remover.exe fix \\.\PhysicalDrive0

EXIT


Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: fix.bat
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Poklepej na soubor fix.bat, ten se spustí a poté se systém restartuje , pokud ne proveď sám.

[hollca]

Ok.. Udelal jsem to.

[jaro3]

Tak znovu Bootkit Remover
-spusť
- pak klikni do černého okna a zkopíruj sem výsledek, případně dej screen.

Zkontroloval si HDD na chyby?

[hollca]

Tady je log: na defragmentaci jdu ted.


Bootkit Remover
(c) 2009 eSage Lab
http://www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00




Boot sector MD5 is: ee7fe9f24bc949ea3a78cf7064fbe50b

Size Device Name MBR Status
--------------------------------------------
298 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

[hollca]

Udelal jsem defragmentaci HDD a probehla v poradku. Davam sem pro ukazku log:

Svazek (C:)
Velikost svazku = 298 GB
Velikost clusteru = 4 kB
Využité místo = 23,91 GB
Volné místo = 274 GB
Procenta volného místa = 91 %

Fragmentace svazku
Celková fragmentace = 0 %
Fragmentace souborů = 1 %
Fragmentace volného místa = 0 %

Fragmentace souborů
Celkový počet souborů = 81 258
Průměrná velikost souboru = 392 kB
Celkový počet fragmentovaných souborů = 2
Celkový počet přebytečných fragmentů = 545
Průměrný počet fragmentů na soubor = 1,00

Fragmentace stránkového souboru
Velikost stránkového souboru = 2,00 GB
Celkový počet fragmentů = 1

Fragmentace složek
Celkový počet složek = 6 444
Počet fragmentovaných složek = 1
Počet přebytečných fragmentů složek = 0

Fragmentace hlavní tabulky souborů (MFT)
Celková velikost tabulky MFT = 86 MB
Počet záznamů tabulky MFT = 88 118
Procento využití tabulky MFT = 99 %
Celkový počet fragmentů tabulky MFT = 3

--------------------------------------------------------------------------------
Fragmenty Velikost souboruSoubory, které nelze defragmentovat
Žádné