Dziwne zachowanie systemu

system · 25 Grudzień 2009 14:01

Otóż ostatnio mam dziwne problemy z funkcjonowaniem windowsa .

Na dodatek ComboFix wykrywa rootkita i usunięte + zainfekowane pliki systemowe.

Proszę o jakieś rady z góry dziękuję .

deFco247 · 25 Grudzień 2009 15:04

Tak jak widać to jest żart Combofixa.

Niektóre wersje programów do tworzenia wirtualnych napędów patchują plik atapi.sys, przez co niektóre narzędzia mogą wykryć jego zmodyfikowaną wersję jako szkodliwą.

Ponadto każda jego próba podmiany się nie uda, gdyż za każdym razem ten sterownik będzie ponownie modyfikowany.

Pobierz SystemLook i uruchom.

Wklej w niego:

Klikasz Look i wklejasz powstały log.

Masz na dysku MBR.EXE, więc użyj jego opcji naprawy bootsektora zgodnie z tym opisem.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _

system · 25 Grudzień 2009 15:29

A więc tak: mbr rootkita nie wykrywa ale mbr w combofixie nadal wykrywa obecność rootkita. Logi:

SystemLook : http://wklej.org/id/246250/

MBR : http://wklej.org/id/246251/

ComboFix : http://wklej.org/id/246252/

deFco247 · 25 Grudzień 2009 15:47

Wypadałoby jednak opcji naprawiania bootsektora, gdyż to normalne nie jest:

Jednak ze względu na brak kilku plików będzie potrzebna płytka z systemem, a za pomocą niej też można naprawić MBR.

Uruchom Konsolę Odzyskiwania i wklepuj następujące komendy:

Zatwierdzasz klawiszem T.

Otwórz Notatnik i wklej do niego:

Zatwierdzasz każdą linijkę Enterem.

Po tym powrót do systemu i wykonaj nowy log Combofix.

system · 25 Grudzień 2009 16:13

Strasznie dziwna sytuacja … :

Wykonałem fixmbr z konsoli odzyskiwania z płyty windows ale to nic nie dało i to samo z expand :tzn podmieniłem literkę X na literę napędu ( w moim przypadku płyta była w napędzie “D:”) i log się nie zmienił , dalej ten sam przypadek mbr i brak plików systemowych . Nie mam pojęcia co z tym robić.

Nowy log z CF : http://wklej.org/id/246292/

deFco247 · 25 Grudzień 2009 16:16

Wykonaj pełny skan Dr.Web CureIt.

Pokaż raport.

system · 25 Grudzień 2009 16:55

Curelt się po 5 min skanowania wyłącza i wyskakuje okienko że aplikacja została zamknięta i kod błędu itp .

deFco247 · 25 Grudzień 2009 17:00

Jak dla mnie jedynym sensownym rozwiązaniem pozostaje skan pozasystemową płytką ze skanerem antywirusowym.

http://www.freedrweb.pl/livecd.php

Chociaż przez ten dziwny sektor MBR lepszy byłby niestety pełny format partycji systemowej.

system · 25 Grudzień 2009 17:03

Właśnie nie chce formatu a nie mogłem sobie poradzić z mbr więc napisałem tu a mam skaner curelt na płycie .

Wieczorem go odpalę . Jest jakieś wytłumaczenie co się dzieję z sektorem MBR ? czyżby tam jest rootkit ? a może log z gmera coś ujawni ?

– Dodane 25.12.2009 (Pt) 22:32 –

Skan z bootowalnej płyty nic nie wykrył wykonałem jeszcze 2x fixmbr i bez różnicy dalej taki sam stan mbr .