Kontrola Logu Vyřešeno

[Prosteeter]

Ano, viruální mechaniky mám


Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_HD103SJ rev.1AJ10001 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-e

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0xB7E0D864
user & kernel MBR OK






Bootkit Remover
(c) 2009 eSage Lab
http://www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\H:
\\.\H: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: ee7fe9f24bc949ea3a78cf7064fbe50b

Size Device Name MBR Status
--------------------------------------------
931 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...

.... sláva už jsem rozjel ten "H:\mbr.exe -f"
ja jsem jelito

[Reklama]

[jaro3]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

@ECHO OFF
remover.exe fix \\.\PhysicalDrive0
remover.exe fix \\.\PhysicalDrive1
remover.exe fix \\.\PhysicalDrive2
remover.exe fix \\.\PhysicalDrive3
EXIT

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: fix.bat
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Poklepej na soubor fix.bat, ten se spustí a poté se systém restartuje , pokud ne proveď sám.


Ještě Ti dával memphisto soubor na VT:
Toto otestuj na Virustotal
h:\windows\facemoods.exe

[Prosteeter]

Teda jsem udělal jak je popsáno nahoře

při načítání úvodní obrazovky se to jaksi zasekne viz schreen

[jaro3]

Restartuj PC a potom to zkus s tímto:

Kód: Vybrat vše

@ECHO OFF
remover.exe fix \\.\PhysicalDrive0

EXIT

Pak:
Odinstaluj všechny emulátory virtuálních mechanik:

Stáhni si SPTD

Vyber verzi svého operačního systému (64 nebo 32bit). Ulož na plochu a spusť.
zvol možnost Uninstall a restartuj PC.

Stáhni a spusť Defogger

Klikni na "Disable" a restartuj PC.

+
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

KILLALL::

DeQuarantine::
h:\windows\system32\atwtusb.exe.vir

MBR::

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT

Ráno se kouknu..

[Prosteeter]

zásadní problém bude asi v tom .. že se mi ani nenčte plocha > zatím to je pořád ve stavu jako na schreenu (pro odpovědi používám laptop)
...

[jaro3]

Upozornění : Může se stát, že po aplikaci skriptu a restartu počítače Windows nenaběhnou, pak znovu restartuj počítač, mačkej F8 a pak zvol poslední známou funkční konfiguraci.

Pokud budou problémy , kontaktuj bledulku skrz SZ..

[bledulka]

Máte sz, vydržte chvilku, projedu si tu logy. Ale podle mého názoru se odpálil bootovací sektor. Potřebuji vědět, jak to máte v pc, kolik disků, oddílů, systémů.

[Prosteeter]

Nakonec bylo nutno formátovat. Děkuji za pomoc všem!