Prosim o kontrolu Vyřešeno

[sobtik]

Ano ten soubor c:\windows\system32\drivers\ntfs.sys jsem vymazal rucne a zase po restartu se obevil.

[Reklama]

[bledulka]

vymazal? Buď rád, že tam je, bez něho se do pc nedostaneš . ten se musí vyměnit, ne mazat . Něco ho tams tále vrací, podle gmeru bych měla zjistit co a opravit to
Jen ho prosím tě otestuj na virustotalu.

Soubor Ntfs.sys je ovladač, který umožňuje počítači číst a zapisovat do oddílu naformátovaného souborovým systémem NTFS.

[sobtik]

Uz jsem ho otestoval. Mam tu z toho neco vlozit?

[bledulka]

ano, link na stránku testu . A přečti si sz

[sobtik]

Tady je.

http://www.virustotal.com/file-scan/report.html?id=e0e6f3ed05068e32f1d5c2d2b38cdef4536b8656db6756c66cf6b40b60c8f3da-1294508512

[bledulka]

Ten virustotal se mi nenačetl, našlo to něco?

Pokračuj gmerem.

[sobtik]

Tady to je znovu. Ale nic nenasel.

http://www.virustotal.com/file-scan/rep ... 294508512#

Tady je prvni log z GMER

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit quick scan 2011-01-08 18:46:31
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\00000059 WDC_WD5000AVVS-63ZWB0 rev.01.01B01
Running: gmer.exe; Driver: C:\DOCUME~1\Iri&Tom\LOCALS~1\Temp\agaoyfob.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset)

---- EOF - GMER 1.0.15 ----




Druhy log z GMER

GMER 1.0.15.15530 - http://www.gmer.net
Rootkit scan 2011-01-08 19:12:59
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\00000059 WDC_WD5000AVVS-63ZWB0 rev.01.01B01
Running: gmer.exe; Driver: C:\DOCUME~1\Iri&Tom\LOCALS~1\Temp\agaoyfob.sys


---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB73003A0, 0x5CC259, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Mozilla Firefox\firefox.exe[2252] ntdll.dll!LdrLoadDll 7C9163A3 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
.text C:\Program Files\Mozilla Firefox\plugin-container.exe[3188] USER32.dll!TrackPopupMenu 7E3B531E 5 Bytes JMP 10402342 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs amon.sys (Amon monitor/Eset)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xE3 0x21 0x14 0x96 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x63 0x9A 0xA1 0x5D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x9E 0x2B 0x9B 0x5E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x9F 0x30 0x96 0x28 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xE3 0x21 0x14 0x96 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x63 0x9A 0xA1 0x5D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x9E 0x2B 0x9B 0x5E ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x9F 0x30 0x96 0x28 ...

---- EOF - GMER 1.0.15 ----




A tady je log z MBR

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD5000AVVS-63ZWB0 rev.01.01B01 -> Harddisk0\DR0 -> \Device\00000059

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll nvata.sys
C:\WINDOWS\system32\drivers\nvata.sys NVIDIA Corporation NVIDIA nForce(TM) IDE Driver
1 ntkrnlpa!IofCallDriver[0x804EF196] -> \Device\Harddisk0\DR0[0x8A710AB8]
3 CLASSPNP[0xB80E8FD7] -> ntkrnlpa!IofCallDriver[0x804EF196] -> \Device\0000005b[0x8A836918]
5 ACPI[0xB7F7F620] -> ntkrnlpa!IofCallDriver[0x804EF196] -> \Device\00000059[0x8A79E030]
kernel: MBR read successfully
user & kernel MBR OK

[bledulka]

Logy jsou v pořádku, tak tedy nevím, že by falešná detekce combofixu?



Stahni AVPtool http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
-nainstaluj, nech provést sken všechn jednotek
-co najde nech léčit
-pak sem vlož log.

[bledulka]

Prosím tě, testoval jsi na virustotalu ten soubor z Tvého pc? Pokud se tě zeptá, zda otestovat znovu, dej reanalyze.

Ještě udělej


Stáhni Bootkit Remover http://www.esagelab.com/files/bootkit_remover.rar
-ulož na plochu
-spusť
- pak klikni do černého okna a zkopíruj sem výsledek, případně dej screen



Stáhni SystemLook
http://jpshortstuff.247fixes.com/SystemLook.exe

- ulož ho na plochu a spusť.
- do okénka zkopíruj

Kód: Vybrat vše

:filefind
ntfs.sys



- klikni na Look, proběhne sken, na konci se zobrazí log, jehož obsah zkopíruješ sem

[sobtik]

Pred chvili mi skoncil ten test AVPtool.
Tady je z toho zprava.

Automatická kontrola: zastaveno před 1 hod. (události: 2, objekty: 157919, čas: 00:42:41)
8.1.2011 20:08:14 Úloha byla zastavena
8.1.2011 19:25:33 Úloha byla spuštěna
Automatická kontrola: dokončeno před 1 min. (události: 12, objekty: 137619, čas: 01:41:12)
8.1.2011 20:09:08 Úloha byla spuštěna
8.1.2011 21:22:42 Zjištěno: not-a-virus:AdWare.Win32.SaveNow.bi C:\System Volume Information\_restore{E1869702-EC58-4021-974C-0ED205538896}\RP31\A0006100.exe
8.1.2011 21:23:27 Odstraněno: not-a-virus:AdWare.Win32.SaveNow.bi C:\System Volume Information\_restore{E1869702-EC58-4021-974C-0ED205538896}\RP31\A0006100.exe
8.1.2011 21:24:18 Zjištěno: not-a-virus:AdWare.Win32.Dm.yx C:\System Volume Information\_restore{E1869702-EC58-4021-974C-0ED205538896}\RP33\A0008846.exe
8.1.2011 21:24:19 Zjištěno: Backdoor.Win32.Hupigon.mcuc C:\System Volume Information\_restore{E1869702-EC58-4021-974C-0ED205538896}\RP33\A0008847.exe/Zip.SFX
8.1.2011 21:25:06 Odstraněno: not-a-virus:AdWare.Win32.Dm.yx C:\System Volume Information\_restore{E1869702-EC58-4021-974C-0ED205538896}\RP33\A0008846.exe
8.1.2011 21:25:07 Odstraněno: Backdoor.Win32.Hupigon.mcuc C:\System Volume Information\_restore{E1869702-EC58-4021-974C-0ED205538896}\RP33\A0008847.exe
8.1.2011 21:25:10 Zjištěno: Backdoor.Win32.Hupigon.mcuc C:\System Volume Information\_restore{E1869702-EC58-4021-974C-0ED205538896}\RP33\A0008848.exe/Zip.SFX
8.1.2011 21:25:16 Odstraněno: Backdoor.Win32.Hupigon.mcuc C:\System Volume Information\_restore{E1869702-EC58-4021-974C-0ED205538896}\RP33\A0008848.exe
8.1.2011 21:25:30 Zjištěno: not-a-virus:AdWare.Win32.SaveNow.bi C:\ToolBar SD\Backup-TB\Program Files\VVSN\VVSN.exe
8.1.2011 21:25:41 Odstraněno: not-a-virus:AdWare.Win32.SaveNow.bi C:\ToolBar SD\Backup-TB\Program Files\VVSN\VVSN.exe
8.1.2011 21:50:21 Úloha byla dokončena

[bledulka]

Fajn, udělej ještě ty dvě věci, co jsem psala později.
Jinak co počítač?

[sobtik]

Remover log

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
ATA_Read(): DeviceIoControl() ERROR 1
Boot sector MD5 is: ee7fe9f24bc949ea3a78cf7064fbe50b

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>


Done;
Press any key to quit...


SystemLOck

SystemLook 04.09.10 by jpshortstuff
Log created at 22:03 on 08/01/2011 by Iri&Tom
Administrator - Elevation successful

========== filefind ==========

Searching for "ntfs.sys"
C:\cmdcons\NTFS.SYS --a---- 574592 bytes [22:15 03/08/2004] [22:15 03/08/2004] B78BE402C3F63DD55521F73876951CDD
C:\WINDOWS\$NtServicePackUninstall$\ntfs.sys -----c- 574592 bytes [17:16 03/01/2011] [21:15 03/08/2004] B78BE402C3F63DD55521F73876951CDD
C:\WINDOWS\ERDNT\cache\ntfs.sys --a---- 574976 bytes [15:41 07/01/2011] [23:45 13/04/2008] 78A08DD6A8D65E697C18E1DB01C5CDCA
C:\WINDOWS\ServicePackFiles\i386\ntfs.sys ------- 574976 bytes [23:45 13/04/2008] [23:45 13/04/2008] 78A08DD6A8D65E697C18E1DB01C5CDCA
C:\WINDOWS\system32\dllcache\ntfs.sys --a--c- 574976 bytes [21:15 03/08/2004] [23:45 13/04/2008] 78A08DD6A8D65E697C18E1DB01C5CDCA
C:\WINDOWS\system32\drivers\ntfs.sys --a---- 574976 bytes [21:15 03/08/2004] [23:45 13/04/2008] 78A08DD6A8D65E697C18E1DB01C5CDCA

-= EOF =-