Wirus MBR?

Witam, to mój pierwszy post. Zawsze jakoś radziłam sobie z różnymi paskudztwami na komputerze, a teraz nie umiem.

Po kradzieży danych z karty (miałam jakiś keylogger) zaczęłam grzebać. Miałam wtedy program Kaspersky, który (zignorowałąm to niestety w grudniu) powiedział:‘legalne oprogramowanie może byc wykorzystane do uszkodzenia komputera i prywatnych danych PDM.keylogger.’ To oprogramowanie to oryginalny software do karty tv Leadteka, ładowane ze strony Leadteka. Było to dla mnie tak nieprawdopodobne, że posądziłam Kaspersky’ego o paranoję. Poza tym myślałam, że on to już automatycznie zablokował… Jednak tydzien pozniej ktos zrobil zakupy moja karta kredytową (W Egipcie…)

Teraz mam inny anytywirus, Norton 360 (też trzymiesięczna wersja z czasopsisma) który niczego nie widzi.

W miedzyczasie przez mój komputer przewinęło się kilka narzędzi do wykrywania trojanów i wirusów (ComboFix, Malwarebytes Antimalware) i znikło kilka trojanów, ale na ślad keyloggera (nazwanego keylogger…) nie trafiłam.

Teraz niby wszytko jest w potrzadku, ale nie daje mi spokoju jedna rzecz. Cos siedzi w MBR. Gdyby można było podejrzeć, co to jest!!

Jak sądzicie, czy ten wpis świadczy o wirusie w sektorze rozruchowym, a jeśli to ślad działania jakiegoś programu sprzed wieków, który zrobił kopię bezpieczeństwa sektora? Lubie testować różne programy i już nie pamiętam, co było rok czy dwa lata temu. Co to znaczy possible infection? Jest zarażony, czy nie???

Miałam ochotę to szybko naprawić. Załączyłam płytę z Win XP, weszłam w konsole odzyskiwania … i stchórzyłam po komunikacie że z tym sektorem coś jest nie tak, i nadpisanie go może zamazać dane.

Co o tym sądzicie?

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A75B1F8]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xba10cfc3

\Driver\ACPI -> ACPI.sys @ 0xb9e66cb8

\Driver\atapi -> 0x8a75b1f8

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c

ParseProcedure -> ntkrnlpa.exe @ 0x8058155c

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c

ParseProcedure -> ntkrnlpa.exe @ 0x8058155c

Warning: possible MBR rootkit infection !

user & kernel MBR OK

copy of MBR has been found in sector 1 !

Jest OK.

jessi

Sektor mbr windowsa można usunąć za pomocą wbudowanego instalatora w linux mandriva , a później go odbudować lub format całej partycji windows, ale za pomocą linuxa. Ja tak też robiłem. Myślę że pomoże, jeśli ktoś zna lepszy sposób to też chętnie poczytam.

Do jessici: dlaczego uważasz, że jest OK? Czy też sądzisz, że ten “dodatkowy” sektor to jakaś kopia bezpieczeństwa?

Do edelmann: rada żeby usunąć i odbudować sektor mbr za pomocą linuxa lub też podobnie sformatować partycję widnows brzmi ciekawie. Ale hmm, chyba nie polecałbyś tej czynności komuś, kto nigdy nie używał linuxa?..

(To oczywiście nie jest taki duży problem, bo mogę kogoś znaleźć…)

Przecież z ubuntu live CD to dziecinnie proste…ikone masz na pulpicie bodajże… :o

Po bootowaniu masz normalny system- nie konsolowy…Narzędzie jest banalne w obsłudze więc to nie powinno być problemem

Mam jeszcze jedno pytanie. Chciałabym, zanim coś zrobię z MBR. zrobić backup danych. Nagrywanie wszystkiego na płyty jest trochę kłopotliwe, pomyślałam żeby nabyć dysk przenośny, który i tak przyda się do archiwizacji. Mam tylko taki problem: jeśli coś siedzi w tym MBR, to czy nie przeniesie się na następny dysk w trakcie jego instalacji?