Mbr:\\.\psysicaldrive0 (!!!!!?????)

[ibanezac]

Imam HP 510 laptop i u njemu:

Threat: Rootkit: hidden boot-sector
MBR:\\.\PSYSICALDRIVE0

Probam da ga obrisem pa mi avast! kaze da je to odlozeno do restartovanja. Onda restartujem pa avast! skenira i ne napravi nista. Opet sve iz pocetka. E sad komp nece vise ni da se restartuje. Iskljucujem ga na dugme. Sta da radim, gde da ga nadjem, da mu se krvi napijem?
Hvala

[Basa Mrkalj]

Preuzmi na desktop http://public.avast.com/~gmerek/aswMBR.exe

Pokreni aswMBR i klikni scan
Kad zavrsi skeniranje klikni SaveLog i sacuvaj ga na desktop.

Kopiraj sadrzaj loga ovde.

[ibanezac]

Evo ga:

aswMBR version 0.9.4 Copyright(c) 2011 AVAST Software
Run date: 2011-04-10 12:36:15
-----------------------------
12:36:15.828 OS Version: Windows 5.1.2600 Service Pack 3
12:36:15.828 Number of processors: 1 586 0xD08
12:36:15.859 ComputerName: PC246872845316 UserName: Transylvania
12:36:17.015 Initialize success
12:36:19.921 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdePort0
12:36:19.921 Disk 0 Vendor: ST96812A 7.26 Size: 57231MB BusType: 3
12:36:19.921 Device \Device\Ide\IdeDeviceP0T0L0-4 -> \??\IDE#DiskST96812A______________________________ __7.26____#5&ef8520a&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} not found
12:36:19.937 Device \Driver\atapi -> DriverStartIo 8656727f
12:36:21.937 Disk 0 MBR read successfully
12:36:21.937 Disk 0 MBR scan
12:36:21.937 Disk 0 TDL4@MBR code has been found
12:36:21.937 Disk 0 MBR hidden
12:36:21.937 Disk 0 MBR [TDL4] **ROOTKIT**
12:36:21.937 Disk 0 trace - called modules:
12:36:21.937 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86567439]<<
12:36:21.937 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86511ab8]
12:36:21.953 3 CLASSPNP.SYS[f75e7fd7] -> nt!IofCallDriver -> \Device\00000077[0x865849e8]
12:36:21.953 5 ACPI.sys[f745e620] -> nt!IofCallDriver -> [0x86585940]
12:36:22.328 \Driver\atapi[0x8658cc78] -> IRP_MJ_CREATE -> 0x86567439
12:36:22.328 Scan finished successfully

[Basa Mrkalj]

Ponovo pokreni aswMBR

Klikni scan.
Kad zavrsi skeniranje klikni Fix
Kad zavrsi popravku, save log i kopiraj ovde

[ibanezac]

Citat:

Basa Mrkalj kaže:

Ponovo pokreni aswMBR

Klikni scan.
Kad zavrsi skeniranje klikni Fix
Kad zavrsi popravku, save log i kopiraj ovde

Au, snimio txt pa greskom obrisao Sad sam ponovio scan, fix i save:


aswMBR version 0.9.4 Copyright(c) 2011 AVAST Software
Run date: 2011-04-10 12:45:43
-----------------------------
12:45:43.203 OS Version: Windows 5.1.2600 Service Pack 3
12:45:43.203 Number of processors: 1 586 0xD08
12:45:43.203 ComputerName: PC246872845316 UserName: IP Maesstro
12:45:43.406 Initialize success
12:45:45.171 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdePort0
12:45:45.171 Disk 0 Vendor: ST96812A 7.26 Size: 57231MB BusType: 3
12:45:45.187 Device \Device\Ide\IdeDeviceP0T0L0-4 -> \??\IDE#DiskST96812A______________________________ __7.26____#5&ef8520a&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} not found
12:45:45.187 Device \Driver\atapi -> DriverStartIo 8656727f
12:45:47.187 Disk 0 MBR read successfully
12:45:47.187 Disk 0 MBR scan
12:45:49.187 Disk 0 scanning sectors +117210240
12:45:49.671 Disk 0 scanning C:\WINDOWS\system32\drivers
12:45:57.984 Service scanning
12:45:59.593 Disk 0 trace - called modules:
12:45:59.609 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86567439]<<
12:45:59.609 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86511ab8]
12:45:59.609 3 CLASSPNP.SYS[f75e7fd7] -> nt!IofCallDriver -> \Device\00000077[0x865849e8]
12:45:59.609 5 ACPI.sys[f745e620] -> nt!IofCallDriver -> [0x86585940]
12:45:59.953 \Driver\atapi[0x8658cc78] -> IRP_MJ_CREATE -> 0x86567439
12:45:59.968 Scan finished successfully

[Basa Mrkalj]

Ovo dobro izgleda, imas li jos nekih problema.

[ibanezac]

Citat:

Basa Mrkalj kaže:

Ovo dobro izgleda, imas li jos nekih problema.

Nadam se da nece biti. Ako nedajboze bude, javicu.

Blagodarim!

[acafacaa]

Svi samo pricaju o ciscenju kada vec dodje do infekcije,ja picam o preventivi.
Vidi se da avast rastura,svi koji dodju sa problemima sa virusima,svi se naboli na tdl4 ili virut,i svi imaju avast koji ih STITI.
Ma da,kako da ne

[voodoo_]

Pre treba da se zapitaš kako si uopšte došao u situaciju da imaš rootkit, kao najozbiljniji tip malwarea, na svom kompjuteru. Pod hitno da menjaš navike na šta klikćeš na Internetu i kakve fleševe i DVD-ove ubacuješ u kompjuter.

[kuureee]

Pa ne mora da znaci da je Avast kriv za te viruse.
Mozda je neznanje korisnika u pitanju ,a tu ne moze ni jedan AV da spreci.

Takoda nema potreba za nikakvim likovanjem.

[acafacaa]

Citat:

kuureee kaže:

Pa ne mora da znaci da je Avast kriv za te viruse.
Mozda je ne znanje korisnika u pitanju ,a tu ne moze ni jedan AV da spreci.

Takoda nema potreba za nikakvim likovanjem.

Naravno da antivirus moze da spreci,Comodo nikada ne bi pustio rootkit tek tako u sistem i kraj price.
Ali to ne mozes ljudima da dokazes nikako,jer su svi ubedjeni da je taj tdl4 nezaustavljiv...
E pa nije,naravno sa odgovarajucom zastitiom.
Ja nekada ne provociram prvi,da si samo video post koji je postavio sajevac,pa je obrisan,kaze da idem na psihijatriju,to je likovanje...

[kuureee]

Nisi u pravu.I Comodo moze da podbaci ,ako priajvi upozorenje i korisnik ga pust ,mozda je tako i bilo sa Avastom.

Zato kazem ,ne znas na koi nacin se to desilo i ne treba da pravis od misa slona.

Sta cemo sa onim korisnicima Avasta ,sto godinama nisu nisu iamli problema?

A ima ih na ovom foruma ,takvih.

[acafacaa]

Citat:

kuureee kaže:

Nisi u pravu.I Comodo moze da podbaci ,ako priajvi upozorenje i korisnik ga pust ,mozda je tako i bilo sa Avastom.

Zato kazem ,ne znas na koi nacin se to desilo i ne treba da pravis od misa slona.

Sta cemo sa onim korisnicima Avasta ,sto godinama nisu nisu iamli problema?

A ima ih na obom foruma ,takvih.

Comodo za takve stvari ne pita,to AUTOMATSKI odlazi u sandbox...
Samo izadje pop-up the file has been sandboxed as partually limited i THE END.

[Keki]

Slucajno sam video ovu temu pa da ne otvaram novu.
Pre par dana nije hteo da se butuje sistem do kraja, izbacivao je BSOD i pisalo je "UNMOUNTABLE_BOOT_VOLUME". Nekako sam odradio repair, ali sam ipak odlucio da skeniram ovim alatom cisto da proverim da li ima nekih problema.
Ako Basi ili nekome drugome nije proglem da pogleda log...

aswMBR version 0.9.4 Copyright(c) 2011 AVAST Software
Run date: 2011-04-10 19:45:54
-----------------------------
19:45:54.287 OS Version: Windows 5.1.2600 Service Pack 2
19:45:54.287 Number of processors: 1 586 0x209
19:45:54.302 ComputerName: KEKI-160A99 UserName: Keki
19:45:59.959 Initialize success
19:46:21.177 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
19:46:21.193 Disk 0 Vendor: WDC_WD1600AAJB-00PVA0 00.07H00 Size: 152627MB BusType: 3
19:46:21.193 Disk 0 MBR read error
19:46:21.193 Disk 0 MBR scan
19:46:21.193 MBR BIOS signature not found 0
19:46:21.193 Disk 0 scanning sectors +312560640
19:46:21.193 Disk 0 scanning C:\WINDOWS\system32\drivers
19:46:31.865 Service scanning
19:46:34.146 Disk 0 trace - called modules:
19:46:34.177 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll prosync1.sys sfsync02.sys >>UNKNOWN [0x8278b1f8]<<
19:46:34.177 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8276dab8]
19:46:34.177 3 CLASSPNP.SYS[f99f205b] -> nt!IofCallDriver -> \Device\00000074[0x82745e98]
19:46:34.177 5 ACPI.sys[f985d620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x827614e0]
19:46:34.177 \Driver\atapi[0x82761c28] -> IRP_MJ_CREATE -> 0x8278b1f8
19:46:34.224 Scan finished successfully

Mene brine ono boldovano, znam da ne valja ali ne znam sta mi je ciniti.

[Basa Mrkalj]

Citat:

Mene brine ono boldovano, znam da ne valja ali ne znam sta mi je ciniti.

Sto mislis da ne valja, imas li konkretan problem sa racunarom?

[Sass Drake]

I instaliraj SP3.

[Keki]

Citat:

Basa Mrkalj kaže:

Sto mislis da ne valja, imas li konkretan problem sa racunarom?

Problema vecih nemam. Ponekad komp malo zakoci, po ulasku u sistem treba sacekati par minuta dok komp bude dovoljno "spreman" da reaguje zato sto na pocetku rada ne reaguje na komande i treba mu dugo da se programi pokrenu. Moram da napomenem da mi je komp star te da je to moguc uzrok.

Kada sam pre 8 dana skenirao sa MBAM, on je nasao sledece:
Inficirani kljuèevi u registru:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\oreans32 (Rootkit.Agent) ->
Inficirane datoteke:
c:\WINDOWS\system32\drivers\oreans32.sys (Rootkit.Agent) -> Quarantined and deleted
Takodje je nasao jedan keylogger, inficiran calc.exe, i nista vise. Ti logovi iz nekog razloga nisu sacuvani.

Ono sto mene brine je sama ta greska, jer da je sve u redu ne bi to bilo prikazano. Zanima me da li imam konkretno razloga za uzbunu, da li da udjem u recovery console i odradim fixmbr?

EDIT: SP3 u ovom trenutku nije opcija. I sta da radim sa ovim MBR.dat fajlom na desktopu? Da obrisem?

[Basa Mrkalj]

Nemas nikakvih razloga za brigu jer nije u pitanju TDL rootkit. To sto se sporije dize nije vezano za malware.
To sto je mbam uklonio je IRC backdoor Trojan (worm), nije rootkit u klasicnom smislu.

[Keki]

Citat:

Basa Mrkalj kaže:

Nemas nikakvih razloga za brigu jer nije u pitanju TDL rootkit. To sto se sporije dize nije vezano za malware.
To sto je mbam uklonio je IRC backdoor Trojan (worm), nije rootkit u klasicnom smislu.

Uf super, drago mi je da je sve OK. A da li "Disk 0 MBR read error" predstavlja neki problem po sam rad sistema? E da, jos nesto, sta da radim sa ovim MBR.dat fajlom na desktopu? Da obrisem?
EDIT: U onom avastovom skeneru postoji opcija fixmbr. Da li da kliknem, ima li potrebe?

[Basa Mrkalj]

Ne, napisao sam ti da nemas razloga za brigu.