Witam, to mój pierwszy post. Zawsze jakoś radziłam sobie z różnymi paskudztwami na komputerze, a teraz nie umiem.
Po kradzieży danych z karty (miałam jakiś keylogger) zaczęłam grzebać. Miałam wtedy program Kaspersky, który (zignorowałąm to niestety w grudniu) powiedział:‘legalne oprogramowanie może byc wykorzystane do uszkodzenia komputera i prywatnych danych PDM.keylogger.’ To oprogramowanie to oryginalny software do karty tv Leadteka, ładowane ze strony Leadteka. Było to dla mnie tak nieprawdopodobne, że posądziłam Kaspersky’ego o paranoję. Poza tym myślałam, że on to już automatycznie zablokował… Jednak tydzien pozniej ktos zrobil zakupy moja karta kredytową (W Egipcie…)
Teraz mam inny anytywirus, Norton 360 (też trzymiesięczna wersja z czasopsisma) który niczego nie widzi.
W miedzyczasie przez mój komputer przewinęło się kilka narzędzi do wykrywania trojanów i wirusów (ComboFix, Malwarebytes Antimalware) i znikło kilka trojanów, ale na ślad keyloggera (nazwanego keylogger…) nie trafiłam.
Teraz niby wszytko jest w potrzadku, ale nie daje mi spokoju jedna rzecz. Cos siedzi w MBR. Gdyby można było podejrzeć, co to jest!!
Jak sądzicie, czy ten wpis świadczy o wirusie w sektorze rozruchowym, a jeśli to ślad działania jakiegoś programu sprzed wieków, który zrobił kopię bezpieczeństwa sektora? Lubie testować różne programy i już nie pamiętam, co było rok czy dwa lata temu. Co to znaczy possible infection? Jest zarażony, czy nie???
Miałam ochotę to szybko naprawić. Załączyłam płytę z Win XP, weszłam w konsole odzyskiwania … i stchórzyłam po komunikacie że z tym sektorem coś jest nie tak, i nadpisanie go może zamazać dane.
Co o tym sądzicie?
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A75B1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba10cfc3
\Driver\ACPI -> ACPI.sys @ 0xb9e66cb8
\Driver\atapi -> 0x8a75b1f8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c
ParseProcedure -> ntkrnlpa.exe @ 0x8058155c
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c
ParseProcedure -> ntkrnlpa.exe @ 0x8058155c
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 1 !