csak nyugodtan, egesegedre,

Laci_L játékát végigcsináltam, annak az eredménye lett egymás után többször a 15 oldalas, oldalanként 50 soros debug jelzés.
Lehet, hogy elcseszek valamit közben, így mára már abbahagyom, mert sztem mára már elegem van, a kezem mást csinál, mint amit akarok.
Lemegyek a becsületsüllyesztőbe és az egészségetekre is iszok egy sört.
Mindenesetre mégegyszer köszönöm!

Bocs, hogy most abbahagyom, de már reggel hét óta ezt nyúzom, és már nem látok ki a fejemből. Reggel meló, szabadnapom volt, holnap este újra kezdem.

Igen, ez igy van pontosan ahogya targe T cimbora irja, a TDL-4 rootkit, mar nem hasznalja a rendszer fajlokat ,hanem beirja a program kodjat a MBR-ba, es a fo kodot az utolso szektorba, csinal egy egyszeru particiot, az utolso szektorban a merev lemezen,es ebbe bele rakja az informaciokat es a fajloit es igy at veszi az gep felet a teljes felugyeletet.
Itt olvashatok rola.
http://www.securelist.com/en/analysis/2 ... TDSS_TDL_4


Igen ez azert van mivel nem helyesen irtad a parancsot, biztosan kihagytad az idezo jeleket, vagyaz MBR.exe nem az asztalon van, vagy az asztal helyet angolul van mint DESKTOP.
Tehat masold be a parncssorba innen ezt a parancsot
"%userprofile%\Asztal\mbr.exe" -t -s -l "%userprofile%\Asztal\GMER.txt"

Vagy
"%userprofile%\Desktop\mbr.exe" -t -s -l "%userprofile%\Desktop\GMER.txt"

Stell!

Megpróbáltam úgy lefuttatni, ahogy írtad, de azt az üzenetet írta ki a dosos felületeten, hogy a "%Userprofile%\asztal\mbr.exe" -t -s -l "% userprofile%\asztal\GMER.txt"-et sem külső, sem belső parancsfájlként, vagy kötegfájlként nem ismeri fel.

Kösz mindenkinek!

Biztosan elkerülte a figyelmem, hogy milyen GParted eksönöket javasolsz 2 minutum alatt végigkaristolni, de a 00-akkal való feltöltést a 0. szektortól a legesleges legutolsóig, vagy inkább csak a 63.-ig, akkor oké.
Ha pedig csak partíció műveleteket, formázást, akkor ugye ettől a szektor tartalom nem változik. A boot vírus maradványa pedig benn fog csücsülni a a 62 szektorban, vagy kicsivel alatta esetleg.
A rootkitet a fixmbr ugyan kinyírja, de a fennmaradt inaktív részeire egyes víruskergetők jeleznek.
Így stell szakinak igaz van, hogy ki kell nyírni. Ennek több módja van, és nem feltétlen kell mindenben a szívednek legkedvesebb linuxos módszert előcitálni.
Kezdőknek meg disk editort sem nagyon ajánlgatnék, ha nem muszáj. Vannak célporogramok, mint pl. a Gmer féle mbr.exe.

Miből...mit hagy benne?
By Target:

By Laci_L
a Gp egy 1T-s lemezen végez 2 perc alatt, melyik irtó nézi át a "fürge gépeden" a vírust a Hren's lemezen?
Valószínűleg én is elsőblálzóként írtam.
Más,de ide stell-nek igaza van,meg vannak kergülve a a partok is,..
,ha hallgattál volna rám már használhatnád a rendszert két napja (vírusosan mert a telepítőd olyan amilyen ),de eredetileg az volt az eldöntendő hogy a hard hibás-e vagy a a szoft.

es, miert nem olvastad el mit irtam oda,, mert te csak siman lefuttatad.

Most meg ezt írta ki a progi a txt-ben:
"Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Maxtor_6Y080L0 rev.YAR41BW0 -> Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-f

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK "

Nekilátok most!
Köszönöm

Csinald meg eztett, es aztan eltavolitjuk az ismeretlen kodod a D\ rol.

Köszönöm szíves érdeklődésed.

A maxtor 80 gigás ide két partícióra van osztva: C:; D:.
A C: 31,2 giga, a maradék a D: .
Kínomban raktam már rá a D-re a rendszert, ami így simán fel is ment.
(Ahány HDD teszter programot próbáltam, annyi féle adatot kaptam a partíciiók méretére.)

Pillanatnyilag itt tartok, hogy bár elég lassan, de valahogy megyeget a gép.

Nemm e forditva van ??
Mert az a remover azt irja.
76 GB \\.\PhysicalDrive1
Tehat a D:\az 80GB, vagy hogy van??

Meglassuk,

ok, csinalsz meg egy tesztet,
GMER MBR
http://www2.gmer.net/mbr/mbr.exe
Ezt a programot rendszergazdai joggal parancssorból kell használni.
Vista / Windows 7 esetén parancssorból rendszergazdaként kell futtatni.
Használata:
1: Töltse le az mbr.exe fájlt az asztalra.
2: Nyomja meg a Windows+R billentyű kombinációt.
3: Az üres mezőbe írja be a cmd parancsot.
4: A megjelenő fekete ablakba, írja be az alábbi parancsot.
5: A parancsot pontosan kell beírni, ahogy le van írva.
6: Figyelni kell a kapcsolók közötti szóközökre is, vagy innen be kell másolni.

"%Userprofile%\asztal\mbr.exe" -t -s -l "% userprofile%\asztal\GMER.txt"
GMER.TXT tedd ide.

A gépben jelenleg van egy maxtor 80 gigás ide (C:; D:) és egy samsung 200 gigás sata.

Ő a rendszerpartíció.

Udv
az D:>.merevlemezen mi van??

A tesztet megcsináltam, és nem vagyok boldog.
Kaptam egy 15 oldalas jegyzéket, aminek csak a végét másolom ide:
".\debug.cpp(453) : **********************************************
.\boot_cleaner.cpp(565) : System volume is \\.\D:
.\boot_cleaner.cpp(600) : \\.\D: -> \\.\PhysicalDrive1 at offset 0x00000007`cfcadc00
.\boot_cleaner.cpp(276) : Boot sector MD5 is: d1d2ba68bb9b4db3d59d6b15035d0966
.\boot_cleaner.cpp(1060) :
.\boot_cleaner.cpp(1061) : Size Device Name MBR Status
.\boot_cleaner.cpp(1062) : --------------------------------------------
.\boot_cleaner.cpp(1106) : 76 GB \\.\PhysicalDrive1 Unknown boot code
.\boot_cleaner.cpp(1112) :
.\boot_cleaner.cpp(1118) : Unknown boot code has been found on some of your physical disks.
.\boot_cleaner.cpp(1120) : To inspect the boot code manually, dump the master boot sector:
.\boot_cleaner.cpp(1121) : remover.exe dump <device_name> [output_file]
.\boot_cleaner.cpp(1125) : To disinfect the master boot sector, use the following command:
.\boot_cleaner.cpp(1126) : remover.exe fix <device_name>
.\boot_cleaner.cpp(1129) :
.\boot_cleaner.cpp(1151) : Done;

-Ide rakom, ha sikerül az utolsó képet:
nem sikerült

Az mbr-es játékot csináld meg, amit Laci_L írt.
A formázás és particionálás kevés, a fixmbr is megoldja ugyan, de az a szmötyit benne hagyja.
Már amennyiben volt MBR vírus.

Köszönöm a tippeket!! A dososat meg különösen, mert többször felhasználhatónak tűnik.

A problémát végül is megoldottam, és valsz vírus volt.

A megoldásom: Ubuntuval újraformáztam a lemezt, mert arra gondoltam, hogy ha sem a Vortex, sem Hiren nem mutat semmi hdd hibát, akkor valami vírus lesz. És valsz win vírus. Ha ledörgölöm az ntfs fájlrrndszert, akkor egy wines vírus nem él meg.
Ezek után win7 telepítővel újra formáztam ntfsre, és így már lazán felment az Xpém!

Mégegyszer köszönöm a segítséget!

Lehet, hogy felesleges, de néhány másodperc alatt lefutnak. A Gpart és társai nem ennyi idő alatt.

Ok regenerátor kilőve!-valóban ez a sz*ból vajat c.időleges megoldás,de egy Gparted lényegesen rövidebb ideig tart, mintha még kabalisztikus köröket rajozgatva uua. lemezről 88* vírusirtót futtatok..hátha címmel,mert az uu felesleges.

Érdekesen gondolod. Én másképpen, mint már írtam is.
HDD Regenerator-ról eddig nem volt szó, szerintem sz*rt sem ér. Mert ha amúgy jó a HDD, akkor elég a particionálás/formázás. Ha meg hibás, azon semmi sem segít. Hosszútávon. Az ilyen javítgatott izére nem szabad adatot menteni, legfeljebb szórakozni lehet vele.
Mondom én.

Dyg meg eldönti, mit csinál.

Khm.. Mért is kellene futtatni a Hdd-regeneratoron kívül bármit(nagy lemeznél valóban lehet akár 8 h is)-hiszen mindent legyalul és amit tud javít,tehát sem part,sem mbr nincs? Vírus,sincs sőt lemez sincs ill van,de azt legfeljebb a BIOS látja!
Akkor már értelmesebb és lényegesen gyorsabb megoldásnak látom időben ua Hiren's lemezről a minilinuxot indítani majd ott GParted:töröl,formáz,bootflag beállít (kb 3-4perc),ott virus nem maradhat,ha ezek után sem jó lehet hardverhibára gyanakodni..ill magára a telepítőlemezre.

HDD hiba lesz, de lehet Boot szektor fertőzés is.

A HDD-t a Hard Disk Sentinel-el tudod ellenőrizni. Ha hibát jelez, ki kell dobni sajnos.
****************************************************************************

Ha jó a HDD, akkor:

1. Futtasd a Bootkit Remover-t, http://www.esagelab.com/files/bootkit_remover.rar
Használat:
1. Az Asztalra másolni a remover.exe-t
2. Futtatni a remover.exe-t (Rendszergazda-ként)
3. Ha az ablakban az "OK (DOS/Win32 Boot code found)" látható, akkor a gép tiszta. Ha az "Unknown boot code" látható, a gép fertőzött.
4. Ha fertőzött lenne, a fix.bat-ot futtatni (előtte bezárni a remover.exe ablakot).
5. A gépet újraindítani, a tűzfal hibajelezést fog adni, mivel nem tud betöltődni. A felbukkanó ablakkal megint újraindítani a gépet.
6. Újra futtatni a remover.exe-t.
7. Ekkor már az "OK (DOS/Win32 Boot code found)"-nak kell látszani.
8. Evvel kész a vizsgálat/tisztítás.
9. A futtatás alatt a remover.exe készít (ha van felülírja) egy bootkit_remover_debug_log.txt fájlt, amiben minden művelet látható.

A fix.bat három merevlemezre van megírva, ha kevesebb van, törölhető(k) az(ok) a sor(ok), ami nem kell(enek), de ha marad(nak) az sem baj. Ilyenkor a futtatáskor hibát jelez, de ez nem érdekes, át kell lépni.

Fix.bat készítése: Notepad > bemásolni ezt > elmenteni fix.bat néven:

@ECHO OFF
remover.exe fix \\.\PhysicalDrive0
remover.exe fix \\.\PhysicalDrive1
remover.exe fix \\.\PhysicalDrive2
EXIT


2. Futtasd az mbr.exe-t, http://www2.gmer.net/mbr/mbr.exe
Használat:
Azonnal telepítés nélkül futtatható bárhonnan.
Készít ugyanide egy log fájlt, abban látható az állapot.

Fertőzésnél, ha töröni kell a hibás MBR tartalmat:
Futtatás az mbr.exe mappában > cmd > mbr -f
ez nullával tölti ki az 1-62 szektorokat.
****************************************************

A log fájl, ha tiszta a gép:
>>
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
<<

Ha fertőzött a gép (egy példa):
>>
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x1d37f8b2 size 0x1aa !
copy of MBR has been found in sector 62 !
<<

Ha így már tiszta, lehet telepíteni. Más fertőzés nem bújhat el egy frissen particionált, és formázott HDD-n.

Még annyit tennék hozzá, hogy mind a Hiren boots minixpéjével és linuxával, mind a pendrive-ról indított Bart-Pe minixpjével hibátlanul működik a cucc, még az internet is, tehát valsz' nem egyéb hardver hiba, hanem a hddéket nem kezeli valahogy ... Teljesen tanácstalan vagyok.

Kedves Mindenki!

Múlt héten lefagyott az egyik gépem. A fagyás után folyton újraindult. Vírusra gyanakodtam. A rendszerpartíciót újraformáztam, és a - tök legális - xpémmel megpróbáltam a telepítését. Ezek után nem lehetett már telepíteni az oprendszert, holott, az egyes számú gépemet ugyanazzal a lemezzel újra installáltam (ebből vettem ki a rendszerpartíciót tartalmazó kisebbik SATA vinyót, ezért a reinstall). De ezen a gépen, alaplap-ram-hdd cserék után sem sikerült az újratelepítés.

Mindig mást fájlt nem tudott telepíteni. A legmeglepőbb az acces.chm hiányolása volt, mert a hiányzó ntldr jelzéssel már évek óta birkózok, és valahogy mindig megoldom. Ennek a fájlnak nem is kell a telepítőlemezen lennie.

A Vortexadminból az onrackkal ledörgöltem az egész vinyót (ez már az eredeti 80 gigás maxtor), mit mondjak 10 óra hosszat dolgozott.

Ma reggel - a teljes dörgölés után -, azzal lepett meg a telepítő, hogy most a AcGenral.dll - nem tudta telepíteni.

Ezek után a jó gépembe nem merem beletenni újraformázásra, mert lehet, hogy tényleg valami vírus. (Pedig a gyereknek nagyon kéne.)

Ezek után a Hiren boots 13.1-el teszteltem a hdd-ét, és itt egy hibás szektort jelzett ki (LBA of the first error) méghozzá a 6305343 számút.

Most végképp nem tudom mit tegyek. A múlt héten már az alaplapi aksi eltávolításával is próbálkoztam, hogy hátha a biosba írta be magát valaki. Még a tutti jó SATA vinyót sem merem visszatenni a jó gépbe.

Help me pls!