Dziwne zachowanie systemu


(system) #1

Otóż ostatnio mam dziwne problemy z funkcjonowaniem windowsa .

Na dodatek ComboFix wykrywa rootkita i usunięte + zainfekowane pliki systemowe.

Proszę o jakieś rady z góry dziękuję .

LOG Z CF : http://wklej.org/id/246187/


(deFco247) #2

Tak jak widać to jest żart Combofixa.

Niektóre wersje programów do tworzenia wirtualnych napędów patchują plik atapi.sys, przez co niektóre narzędzia mogą wykryć jego zmodyfikowaną wersję jako szkodliwą.

Ponadto każda jego próba podmiany się nie uda, gdyż za każdym razem ten sterownik będzie ponownie modyfikowany.

Pobierz SystemLook i uruchom.

Wklej w niego:

Klikasz Look i wklejasz powstały log.

Masz na dysku MBR.EXE, więc użyj jego opcji naprawy bootsektora zgodnie z tym opisem.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _


(system) #3

A więc tak: mbr rootkita nie wykrywa ale mbr w combofixie nadal wykrywa obecność rootkita. Logi:

SystemLook : http://wklej.org/id/246250/

MBR : http://wklej.org/id/246251/

ComboFix : http://wklej.org/id/246252/


(deFco247) #4

Wypadałoby jednak opcji naprawiania bootsektora, gdyż to normalne nie jest:

Jednak ze względu na brak kilku plików będzie potrzebna płytka z systemem, a za pomocą niej też można naprawić MBR.

Uruchom Konsolę Odzyskiwania i wklepuj następujące komendy:

Zatwierdzasz klawiszem T.

Otwórz Notatnik i wklej do niego:

Zatwierdzasz każdą linijkę Enterem.

Po tym powrót do systemu i wykonaj nowy log Combofix.


(system) #5

Strasznie dziwna sytuacja ... :

Wykonałem fixmbr z konsoli odzyskiwania z płyty windows ale to nic nie dało i to samo z expand :tzn podmieniłem literkę X na literę napędu ( w moim przypadku płyta była w napędzie "D:") i log się nie zmienił , dalej ten sam przypadek mbr i brak plików systemowych . Nie mam pojęcia co z tym robić.

Nowy log z CF : http://wklej.org/id/246292/


(deFco247) #6

Wykonaj pełny skan Dr.Web CureIt.

Pokaż raport.


(system) #7

Curelt się po 5 min skanowania wyłącza i wyskakuje okienko że aplikacja została zamknięta i kod błędu itp .


(deFco247) #8

Jak dla mnie jedynym sensownym rozwiązaniem pozostaje skan pozasystemową płytką ze skanerem antywirusowym.

http://www.freedrweb.pl/livecd.php

Chociaż przez ten dziwny sektor MBR lepszy byłby niestety pełny format partycji systemowej.


(system) #9

Właśnie nie chce formatu a nie mogłem sobie poradzić z mbr więc napisałem tu a mam skaner curelt na płycie .

Wieczorem go odpalę . Jest jakieś wytłumaczenie co się dzieję z sektorem MBR ? czyżby tam jest rootkit ? a może log z gmera coś ujawni ?

-- Dodane 25.12.2009 (Pt) 22:32 --

Skan z bootowalnej płyty nic nie wykrył wykonałem jeszcze 2x fixmbr i bez różnicy dalej taki sam stan mbr .