Rootkit: MBR:\\. Physicaldrive0


(Nixon17) #1

przy starcie systemu avast wykrywa mi to swinstwo

komp mi zwolnil i czesto mam problem z ladowaniem sie obrazkow na stronach,

oto log z HijackThis:

http://wklej.org/id/95bf265f09


(huber2t) #2

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\CCPkiWNT.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox


(Nixon17) #3

napewno fixnac tego CryptoCard ? to jest program do bezpiecznego podpisu elektronicznego


(huber2t) #4

aha no to sory nie rób tego


(Hashi) #5

viewtopic.php?f=16&t=234611


(Grzegorz Ch) #6

skoro rootkit znajduje się na MBRze, to wystartuj komputer z płyty instalacyjnej windowsa, wejdź do konsoli odzyskiwania i nagraj nowy MBR poprzez wpisanie komend:

fixmbr

fixboot

(jessica) #7

Rozwiązanie podane przez @ grzegorzch nie jest jedynym rozwiązaniem, bo tego Rootkita da się "wykurzyć":

1) użyj > Dr. Web CureIt >>http://www.searchengines.pl/Mini-skanery-i-szczepionki-t18695.html. (daj z niego raport).

2) daj log z > mbr.exe >http://www.searchengines.pl/index.php?showtopic=31936&st=0&p=470953entry470953

3) daj log z --> ComboFixa

jessi


(Nixon17) #8

dzieki hubert

zrobilem tak jak w linku ktory mi podales, ale pojawil mi sie taki komunikat:

Stwierdzono, że ten komputer ma niestandardowy lub nieprawidłowy główny rekord rozruchu

Fixmbr może uszkodzić tabele partycji w przypadku kontynuowania operacji

w wyniku tego wszystkie partycje bieżącego dysku mogą stać się niedostępne

Jeżel nie ma problemów z dostępem do dysku nie należy kontynuować tej operacji