GMER.
Windows XP/Vista / Windows 7 32/64 bites
Autorom tohto vynikajúceho programu je Poliak GMER.
Mbr exe je účinný nástroj,dokáže rozpoznať,eliminovať,poodstraňovať infekciu z MBR [Master Boot Record] a TDL-Rootkit infekciu.
Väčšina univerzálnych antivírových systémov má antistealth technológiu,ale aj tak nedokážu odhaliť TDL4 infekciu.
Antivírové systémy antistealth technológiu dokážu odhaliť rootkit/Mebroot/Sinowal,ale nedokážu odstrániť.
Riešením je použitie softvéru,ktorý je špeciálne určený pre danú problematiku.
Kedykoľvek ak mame podozrenie na tuto infekcie musíte nasadiť špeciálni softvér a to MBR EXE a TDSSKILLER
Návod:
Tento program musíme použivať cez príkazový riadok, a to z uctu administrátora,správcu.
Vista / Windows 7-príkazový riadok spustiť ako administrátor.
TDL4 infekcia bude detekovaná len vtedy,až keď beží mbr exe aj prepínačom -s
Príkazy:
"%userprofile%\plocha\mbr.exe" -f (Tento príkaz odstráni infekciu z MBR)
"%userprofile%\plocha\mbr.exe" -t (Tento príkaz výpise informácie o bežiacich moduloch v pamäti.)
"%userprofile%\plocha\mbr.exe" -k (Tento príkaz nám ukáže všetky disky,ktoré mame v systéme)
"%userprofile%\plocha\mbr.exe" -d0 (Tento príkaz nastaví číslo disku)
"%userprofile%\plocha\mbr.exe" -s (Tento príkaz detektuje TDL 4 infekciu a Odstráni neznáme háky)
"%userprofile%\plocha\mbr.exe" -? (Help)
"%userprofile%\plocha\mbr.exe" -c 0 1 mbr-backup.dat (Tento príkaz nám zálohuje MBR)
"%userprofile%\plocha\mbr.exe" -t (Tento príkaz výpise informácie o bežiacich moduloch v pamäti.)
"%userprofile%\plocha\mbr.exe" -k (Tento príkaz nám ukáže všetky disky,ktoré mame v systéme)
"%userprofile%\plocha\mbr.exe" -d0 (Tento príkaz nastaví číslo disku)
"%userprofile%\plocha\mbr.exe" -s (Tento príkaz detektuje TDL 4 infekciu a Odstráni neznáme háky)
"%userprofile%\plocha\mbr.exe" -? (Help)
"%userprofile%\plocha\mbr.exe" -c 0 1 mbr-backup.dat (Tento príkaz nám zálohuje MBR)
Detekcia:
1:Stiahneme mbr exe na plochu,a necháme ho tam.
2:Stlačiť Kláves s logom Windows + R.
3:Do prázdneho poľa zadajte príkaz cmd
4:Do čierneho okna napíšeme príkaz.
5:Príkaz musíte presne takto napísať.
6:t.j:medzera medzi prepínačmi mbr.exe" medzera -t medzera -s medzera -l medzera,alebo skopírujte stadiaľ.
"%userprofile%\plocha\mbr.exe" -t -s -l "%userprofile%\plocha\GMER.txt"
7:Na ploche sa nám uloží log GMER.txt
8:Otvoríme GMER.txt a skontrolujeme.
9:Nás zaujíma výsledok kontroly.
Ak nemáme žiadnu infekciu MBR alebo TDL uvidíte toto.
device: opened successfully (zariadenia: otvorený úspešne)
user: MBR read successfully (užívateľ: MBR čítať úspešne)
user & kernel MBR OK (užívateľ a jadro MBR OK)
device: opened successfully (zariadenia: otvorený úspešne)
user: MBR read successfully (užívateľ: MBR čítať úspešne)
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_HD082GJ rev.JE100-19 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T1L0-e
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
1 ntkrnlpa!IofCallDriver[0x804EEEB8] -> \Device\Harddisk0\DR0[0x8637AAB8]
3 CLASSPNP[0xF75FF05B] -> ntkrnlpa!IofCallDriver[0x804EEEB8] -> \Device\00000070[0x863549E8]
5 ACPI[0xF7495620] -> ntkrnlpa!IofCallDriver[0x804EEEB8] -> \Device\Ide\IdeDeviceP1T1L0-e[0x86353940]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [BP+0x0], CH; JL 0x2e; JNZ 0x3a; }
user & kernel MBR OK
Detekovaná TDL4-Rootkit infekcia.
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x866DB566]<<
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected hooks:
\Driver\atapi[0x86716270] -> IRP_MJ_CREATE -> 0x866DB566
user != kernel MBR !!! <====
sectors 117231406 (+230): user != kernel
Warning: possible TDL4 rootkit infection ! <====
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.
10:Ako vidíme program našiel TDL4 infekciu, a ponúkol aj riešenie.
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.
Detekovaná infekcia MBR rootkit/Mebroot/Sinowal.
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x813F4F80]<<
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi -> 0x813f4f80
NDIS: AMD PCNET Family PCI Ethernet Adapter -> SendCompleteHandler -> 0x81427a20
user != kernel MBR !!!
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
11:Ako vidíme program našiel MBR rootkit infekciu, a ponúkol aj riešenie.
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
Takže poslúchneme program a použijeme príkaz:
"%userprofile%\plocha\mbr.exe" -f -l "%userprofile%\plocha\GMER1.txt"
14:Reštartujeme počítač a znova zadáme príkaz:
"%userprofile%\plocha\mbr.exe" -t -s -l "%userprofile%\plocha\GMER2.txt"
13:Skontrolujeme log GMER2.txt a mali by sme vidieť výsledok kontroly:
device: opened successfully (zariadenie: otvorený úspešne)
user: MBR read successfully (užívateľ: MBR stat úspešne)
user & kernel MBR OK (užívateľ jadro MBR OK)
device: opened successfully (zariadenie: otvorený úspešne)
user: MBR read successfully (užívateľ: MBR čítať úspešne)
14:Takže Rootkit TDL4 alebo rootkit/Mebroot/Sinowa bol úspešne odstránený.
15:V odstraňovaním infekcie pokračujeme ďalej,tak ako som napísal TU.
Veľa Šťastia !!
