Poproszę ładnie moderatora o wydzielenie mojego tematu, ackolwiek jest bardzo podbny do poprzedniego i nowe doświadzenia myślę że należałoby łączyć ;) Powalczyłem wczoraj z tym dziadostwem. 1. Dr.WEB CureIt przy szybkim skanowaniu wykrywał jakiegoś Bacdoor'a, jednak czekałem aż skończy skanować i w pewnym momencie po wykryciu i dalszym skanowaniu zaczął mi "wylatywać" niebieski ekran z potrzebą zrzucania pamięci fizycznej. 2. MBRCheck jak widać na poprzednich obrazkach znajdował infekcje na Drive0 zrobiłem coś takiego: 37 GB \\.\PhysicalDrive0 MBR Code Faked (known infection: Whistler / Black Internet)! SHA1: 4F6C5CCDFE1D88BA7ACB6ED799869C65BBE7AAF4 Uruchom MBRCheck wpisz: Y (i naciśnij ENTER) wpisz cyfrę: 2 (i naciśnij ENTER) wpisz nr dysku: 0 (i naciśnij ENTER) wpisz nr Systemu: 0 (i naciśnij ENTER) wpisz: YES (i naciśnij ENTER) wciśnij ENTER na klawiaturze Zrestartuj komputer. 74 GB \\.\PhysicalDrive1 Unknown MBR code SHA1: 08B5B3B29CA4D1B2995AA711B347807095094CFF Uruchom MBRCheck wpisz: Y (i naciśnij ENTER) wpisz cyfrę: 2 (i naciśnij ENTER) wpisz nr dysku: 1 (i naciśnij ENTER) wpisz nr Systemu: 0 (i naciśnij ENTER) wpisz: YES (i naciśnij ENTER) wciśnij ENTER na klawiaturze Zrestartuj komputer. i nie pomoglło. 3 Uruchomiłem jeszcze raz Dr.WEB CureIt, z tą różnicą, że zaraz po pojawieniu się wpisu o infekcji przerwałem skanowanie i usunąłem infekanta Po ponownym uruchomieniu Dr.WEB CureIt problem z Drive0 zniknął Uruchomiłem jeszcze raz Dr.WEB CureIt, przelecialo szybkie skanowanie - nie wykryło nic. Skanowanie dokładne wykryło jednego adware. Coś jeszcze dolega Drive1, ale to chyba nie jest bardzo grożne zostawiam to na później. Na razie mam spokój, dotychczasowe problemy z bankiem zniknęły, komunikat dot. outlooka sie nie pojawia. Bardzo dziękuję za udzielone porady, jeżeli będą następne też będę wdzięczny :) Po pierwsze W dziale pogotowie antywirusowe jest zakaz podłączania się pod czyjeś tematy. Poproś ładnie moderatora o wydzielenie tego do nowego watku. Po drugie nie załączyłeś loga z tdsskillera. Po trzecie jest widoczna wyraźna infekcja w mbr. Przed podaniem rozwiązania chciałbym wiedzieć, czy na komputerze jest tylko jeden system? czy masz jakiegoś linuxa dodatkowo? Pozdrawiam.
MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Professional
Windows Information: Dodatek Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000019d
Kernel Drivers (total 135):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x806EC000 \WINDOWS\system32\hal.dll
0xF7A2E000 \WINDOWS\system32\KDCOM.DLL
0xF793E000 \WINDOWS\system32\BOOTVID.dll
0xF74DE000 ACPI.sys
0xF7A30000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF74CD000 pci.sys
0xF752E000 isapnp.sys
0xF7AF6000 pciide.sys
0xF77AE000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
0xF7A32000 intelide.sys
0xF753E000 MountMgr.sys
0xF74AE000 ftdisk.sys
0xF7A34000 dmload.sys
0xF7488000 dmio.sys
0xF77B6000 PartMgr.sys
0xF754E000 VolSnap.sys
0xF7470000 atapi.sys
0xF745E000 AACMgt.sys
0xF755E000 disk.sys
0xF756E000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF743F000 fltMgr.sys
0xF742D000 sr.sys
0xF757E000 PxHelp20.sys
0xF7416000 KSecDD.sys
0xF7942000 ifp700.sys
0xF7A36000 \WINDOWS\System32\Drivers\USBD.SYS
0xF73FF000 WudfPf.sys
0xF7372000 Ntfs.sys
0xF7345000 NDIS.sys
0xF732A000 Mup.sys
0xF730D000 kl1.sys
0xF77BE000 \WINDOWS\system32\drivers\TDI.SYS
0xF7A02000 \SystemRoot\system32\DRIVERS\tunmp.sys
0xF6CAA000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xF6C96000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF6C6C000 \SystemRoot\system32\DRIVERS\b57xp32.sys
0xF78AE000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xF6C49000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF78B6000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xF6C38000 \SystemRoot\system32\DRIVERS\el90xbc5.sys
0xF6BC9000 \SystemRoot\system32\drivers\ctaud2k.sys
0xF6BA5000 \SystemRoot\system32\drivers\portcls.sys
0xF776E000 \SystemRoot\system32\drivers\drmk.sys
0xF6B82000 \SystemRoot\system32\drivers\ks.sys
0xF6B69000 \SystemRoot\system32\drivers\ctoss2k.sys
0xF7A68000 \SystemRoot\System32\drivers\ctprxy2k.sys
0xF7A1A000 \SystemRoot\system32\DRIVERS\gameenum.sys
0xF778E000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF78BE000 \SystemRoot\system32\DRIVERS\mouclass.sys
0xF78C6000 \SystemRoot\system32\DRIVERS\eaps2kbd.sys
0xF78CE000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF6B55000 \SystemRoot\system32\DRIVERS\parport.sys
0xF6B44000 \SystemRoot\system32\DRIVERS\serial.sys
0xF7A1E000 \SystemRoot\system32\DRIVERS\serenum.sys
0xF78D6000 \SystemRoot\system32\DRIVERS\fdc.sys
0xF779E000 \SystemRoot\system32\DRIVERS\imapi.sys
0xF758E000 \SystemRoot\system32\DRIVERS\cdrom.sys
0xF759E000 \SystemRoot\system32\DRIVERS\redbook.sys
0xF75AE000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xF7A26000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
0xF78DE000 \SystemRoot\system32\DRIVERS\klim5.sys
0xF7B07000 \SystemRoot\system32\DRIVERS\audstub.sys
0xF75BE000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0xF7A2A000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0xF6B2D000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0xF75CE000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0xF75DE000 \SystemRoot\system32\DRIVERS\raspptp.sys
0xF6B1C000 \SystemRoot\system32\DRIVERS\psched.sys
0xF75EE000 \SystemRoot\system32\DRIVERS\msgpc.sys
0xF78E6000 \SystemRoot\system32\DRIVERS\ptilink.sys
0xF78EE000 \SystemRoot\system32\DRIVERS\raspti.sys
0xF6ACC000 \SystemRoot\system32\DRIVERS\rdpdr.sys
0xF75FE000 \SystemRoot\system32\DRIVERS\termdd.sys
0xF7A6A000 \SystemRoot\system32\DRIVERS\swenum.sys
0xF6A98000 \SystemRoot\system32\DRIVERS\update.sys
0xF72D5000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0xF78F6000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0xF761E000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF763E000 \SystemRoot\system32\DRIVERS\usbhub.sys
0xF57EC000 \SystemRoot\System32\drivers\ha10kx2k.sys
0xF57CB000 \SystemRoot\System32\drivers\ctac32k.sys
0xF57A9000 \SystemRoot\System32\drivers\emupia2k.sys
0xF578A000 \SystemRoot\System32\drivers\ctsfm2k.sys
0xF7A6C000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF7B0C000 \SystemRoot\System32\Drivers\Null.SYS
0xF7A6E000 \SystemRoot\System32\Drivers\Beep.SYS
0xF7029000 \SystemRoot\system32\drivers\EAWDMFD.sys
0xF7906000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xF790E000 \SystemRoot\System32\drivers\vga.sys
0xF7A70000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF7A72000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF7916000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF791E000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF79D6000 \SystemRoot\system32\DRIVERS\rasacd.sys
0xF5757000 \SystemRoot\system32\DRIVERS\ipsec.sys
0xF56D7000 \SystemRoot\system32\DRIVERS\tcpip.sys
0xF56AF000 \SystemRoot\system32\DRIVERS\netbt.sys
0xF5678000 \SystemRoot\system32\DRIVERS\tcpip6.sys
0xF5656000 \SystemRoot\System32\drivers\afd.sys
0xF764E000 \SystemRoot\system32\DRIVERS\netbios.sys
0xF562A000 \SystemRoot\system32\DRIVERS\rdbss.sys
0xF55BB000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0xF5588000 \??\C:\WINDOWS\system32\drivers\klif.sys
0xF765E000 \SystemRoot\System32\Drivers\Fips.SYS
0xF767E000 \SystemRoot\system32\DRIVERS\wanarp.sys
0xF7926000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xF6A74000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xF76AE000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xF6A70000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xF596C000 \SystemRoot\system32\DRIVERS\mouhid.sys
0xF774E000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF5548000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF7A82000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF77F6000 \SystemRoot\System32\watchdog.sys
0xF5743000 \SystemRoot\System32\drivers\Dxapi.sys
0xBF9C1000 \SystemRoot\System32\drivers\dxg.sys
0xF7AFA000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF9D3000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xBA472000 \SystemRoot\system32\DRIVERS\nwlnkipx.sys
0xF76DE000 \SystemRoot\system32\DRIVERS\nwlnknb.sys
0xBA5B0000 \SystemRoot\system32\DRIVERS\ndisuio.sys
0xBA345000 \SystemRoot\system32\drivers\wdmaud.sys
0xF76EE000 \SystemRoot\system32\drivers\sysaudio.sys
0xBA518000 \SystemRoot\system32\DRIVERS\nwlnkspx.sys
0xBA203000 \SystemRoot\system32\DRIVERS\mrxdav.sys
0xF7A78000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xBA0C0000 \SystemRoot\system32\DRIVERS\srv.sys
0xBA1F7000 \??\C:\WINDOWS\system32\drivers\PfModNT.sys
0xF77FE000 \SystemRoot\System32\Drivers\TDTCP.SYS
0xB9D2E000 \SystemRoot\System32\Drivers\RDPWD.SYS
0xB992B000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C900000 \WINDOWS\system32\ntdll.dll
Processes (total 37):
0 System Idle Process
4 System
1364 C:\WINDOWS\system32\smss.exe
1428 csrss.exe
1456 C:\WINDOWS\system32\winlogon.exe
1500 C:\WINDOWS\system32\services.exe
1512 C:\WINDOWS\system32\lsass.exe
1680 C:\WINDOWS\system32\svchost.exe
1756 svchost.exe
1904 C:\WINDOWS\system32\svchost.exe
1940 C:\WINDOWS\system32\svchost.exe
204 svchost.exe
312 svchost.exe
780 C:\WINDOWS\system32\spoolsv.exe
1156 C:\Program Files\Adaptec\Adaptec Storage Manager\StorServ.exe
1172 C:\WINDOWS\system32\svchost.exe
1192 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
1212 C:\WINDOWS\system32\CTSVCCDA.EXE
1296 C:\Program Files\Java\jre6\bin\jqs.exe
1356 C:\Program Files\Common Files\LightScribe\LSSrvc.exe
1800 C:\WINDOWS\system32\nvsvc32.exe
1864 C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
2012 C:\WINDOWS\system32\svchost.exe
372 C:\WINDOWS\system32\MsPMSPSv.exe
652 C:\WINDOWS\system32\wuauclt.exe
2452 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2472 wmiprvse.exe
2648 C:\WINDOWS\explorer.exe
3096 C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
3124 C:\WINDOWS\system32\CTHELPER.EXE
3156 C:\Program Files\COMPAQ\Easy Access Button Support\STARTEAK.exe
3232 C:\Program Files\Common Files\Nokia\MPlatform\NokiaMServer.exe
3312 C:\Program Files\TC\totalcmd\TOTALCMD.EXE
3512 C:\Program Files\COMPAQ\Easy Access Button Support\CPQEADM.exe
3532 C:\compaq\eakdrv\EAUSBKBD.exe
3588 C:\PROGRA~1\COMPAQ\EASYAC~1\BttnServ.exe
2692 D:\programy\Dr.WEB CureIt! 6.00.5.08310\MBRCheck.exe
\\.\C: -- & gt; \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: -- & gt; \\.\PhysicalDrive0 at offset 0x00000003`a962f000 (NTFS)
\\.\E: -- & gt; \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\H: -- & gt; \\.\PhysicalDrive2 at offset 0x00000000`00007e00 (NTFS)
PhysicalDrive0 Model Number: ST340014AS, Rev: 3.20
PhysicalDrive1 Model Number: ST380013AS, Rev: 3.20
PhysicalDrive2 Model Number: ST380013AS, Rev: 3.20
Size Device Name MBR Status
--------------------------------------------
37 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: 858845D53EA37CAD905BAB010542C912FBC33C8C
74 GB \\.\PhysicalDrive1 Unknown MBR code
SHA1: 08B5B3B29CA4D1B2995AA711B347807095094CFF
74 GB \\.\PhysicalDrive2 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Done!