bpm Opublikowano 18 Stycznia 2011 Zgłoś Udostępnij Opublikowano 18 Stycznia 2011 Witam serdecznie, mój pierwszy post, pierwszy temat i od razu problem Opisałem go na innym forum dlatego teraz użyję tylko opcji kopiuj-wklej. Problem jest złożony, ale dlatego piszę w tym dziale ponieważ TDSSKiller i MBR Check wykryły infekcję. Żeby nie przedłużać... ...braciszek mój ze łzami w oczach przywiózł mi laptopa swojej dziewczyny twierdząc, że go zepsuł. Lapek ma 2 miesiące, zainstalowany oryginalny Windows 7 Home Premium 64-bit. System posiada 2 konta użytkownika czyli: kasia i toshiba. Mój brat twierdzi i TYM SIĘ GŁÓWNIE SUGERUJĘ, że ściągnął sobie z sieci crack do jednego programu i go uruchomił. Po tym prawdopodobnie system padł i już się uruchomić go nie daje. Za każdym razem pojawiał się BSOD (0x000000D1 problem ze sterownikiem iastor.sys) po próbie zalogowania się na konto, co widać na załączonej fotce. Zmieniłem w BIOS-ie w ustawieniach SATA z AHCI na Compatibility udało się raz w awaryjnym wejść na konto użytkownika kasia, ale po 2 min wywaliło znów STOP, tym razem już inny a raczej inne. Do tej pory po kilku restartach zobaczyłem już: 0x000000D1, 0x0000000A, 0x0000003B, 0x0000007F, 0x0000001E. Do tego pojawił się błąd sterownika ataport.sys już nie iastor.sys oraz info: "A disk read error occurred Press Ctrl+Alt+Del to restart". Co dziwne na konto toshiba wszedłem w awaryjnym bez problemu, przeskanowałem Malwarebytes, CureIt i nie znalazło nic. Tak samo przed tym wszystkim skanowałem go pięcioma różnymi antywirusami z Live CD i żaden nic nie znalazł. Próbowałem naprawy z płyty z systemem, przywracania i to również nic nie dało. Do tej pory myślałem, że będzie to wina sprzętu, aż wreszcie Przyszedł czas na OTL oraz TDSSKiller, MBR Check, Bootkit Remover, które to znalazły infekcję. Nie czyściłem jeszcze nic, a logi wklejam. Uff ale się rozpisałem, ale chciałem opisać problem jak najdokładniej. Bardzo proszę o porady co dalej oraz z góry dziękuję. OTL.Txt Extras.Txt TDSSKiller.2.4.14.0_18.01.2011_21.33.09_log.txt MBRCheck_01.18.11_21.40.26.txt bootkit_remover_debug_log.txt Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2011 Zgłoś Udostępnij Opublikowano 18 Stycznia 2011 Logi, o które poprosiłam na PW, potwierdzają infekcję w MBR dysku rootkitem TDL4 (a to stanowi wyjaśnienie dla wszystkich BSOD punktujących sterownik mass storage): 2011/01/18 21:34:34.0853 Detected object count: 12011/01/18 21:36:17.0860 Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Skip + Size Device Name MBR Status -------------------------------------------- 465 GB \\.\PhysicalDrive0 MBR Code Faked! SHA1: A7CEF36363F5C16CC311122770D0B9723F5430D3 Potencjalny problem: laptop Toshiba sugeruje posiadanie partycji OEM typu Recovery. Jeśli rozpocznę leczenie z tego rootkita, nie da się ocalić oryginalnej formy MBR producenta, zostanie nadpisane. Dlatego przed przejściem dalej wypowiedz się wyraźnie czy ten laptop ma jakiś system Recovery wywoływany z dysku twardego i czy są jakiekolwiek niezależne nośniki umożliwiające reinstalację systemu w sposób pełny bądź też zrzucające zgrany uprzednio obraz Recovery. Leczenie wyglądałoby w sposób następujący: 1. Rozpocznij od prostej akcji, czyli w Kaspersky TDSSKiller wybierz opcję Cure. 2. Po restarcie zaprezentuj nowy zestaw logów z TDSSKiller i MBRCheck. Jeśli operacja spod Windows nie okaże się pomyślna, dam instrukcje nadpisu MBR z poziomu środowiska zewnętrznego. . Odnośnik do komentarza
bpm Opublikowano 18 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2011 Dlatego przed przejściem dalej wypowiedz się wyraźnie czy ten laptop ma jakiś system Recovery wywoływany z dysku twardego i czy są jakiekolwiek niezależne nośniki umożliwiające reinstalację systemu w sposób pełny bądź też zrzucające zgrany uprzednio obraz Recovery. Już odpowiadam, że nie mam na ten temat zielonego pojęcia. To jest laptop kobiety, która - jak się o niej wyraził jej chłopak - "nie ma pojęcia na temat kompów, najważniejsze żeby internet działał". Nie wiedząc nic na temat użycia "witaminki" przez niego, potencjalnej infekcji, czy też uszkodzonego hardware'u bo nie do końca wiadomo było co jest i tak twierdzi, że to jest jego wina, bo akurat przy nim siedział. Jego wina, on zepsuł i koniec. Chociaż z tego co się dziś dowiedziałem, zastanawiałbym się czy to faktycznie jego wina ponieważ przyznała mu się, że kilka dni wcześniej również wywalało BSOD za każdym razem. Podsumowując, zróbmy co mamy zrobić, żeby działało ona i tak o niczym nie będzie wiedzieć. Nawet kiedy znów kiedyś padnie pewnie i tak trafi do mnie. Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2011 Zgłoś Udostępnij Opublikowano 18 Stycznia 2011 nie mam na ten temat zielonego pojęcia 1. Listy partycji, która potwierdziłaby obecność ukrytej partycji OEM, zrobionej spod systemu raczej nie dostanę. Przy tej infekcji w MBR jest niemożliwe pobranie danych o dyskach narzędziami diskmgmt.msc i diskpart, rootkit blokuje odczyt. Dane te mogłabym otrzymać jednak z jakiegoś bootowalnego menedżera partycji. 2. Popatrzyłam do bazy wiedzy Toshiba, producent stosuje wszczepione w dysk twardy środowisko WinRE, wywoływane z F8 przez opcję "Napraw komputer", a menu WinRE prowadzi do dostosowanej opcji producenta Recovery: KLIK. Powinna być także opcja tworzenia dysku Recovery spod systemu. Na przyszłość, jeśli zostanie odcięty dostęp do Recovery, można sobie poradzić przestawiając ukrytą partycję na aktywną i bootując z niej lub wzdrożyć ten tutorial: KLIK. Podsumowując, zróbmy co mamy zrobić Robisz to na własną odpowiedzialność. Czekam więc na wyniki podanych wyżej instrukcji leczniczych. . Odnośnik do komentarza
bpm Opublikowano 19 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 19 Stycznia 2011 Użyłem TDSSKiller i już nic nie znajduje, wszystkie logi wklejam. Zaraz po zalogowaniu pojawia się okno Toshiba Recovery (screen). Jest jeszcze jeden problem, dziwna rzecz bo kiedy uruchamia się laptopa, nie pojawia się nic "od BIOS-u" (Press F2... Press F10 itd) jak to normalnie w każdym komputerze jest, tylko od razu wyświetla się okno "Trwa uruchamianie systemu Windows" EDIT: Zrobiłem upgrade BIOS-u i wszystko wróciło do normy TDSSKiller.2.4.14.0_19.01.2011_11.59.40_log.txt MBRCheck_01.19.11_12.01.02.txt bootkit_remover_debug_log.txt Odnośnik do komentarza
picasso Opublikowano 19 Stycznia 2011 Zgłoś Udostępnij Opublikowano 19 Stycznia 2011 Nie zgłaszasz żadnych innych problemów, to mniemam że nie występuje już BSOD? Zaraz po zalogowaniu pojawia się okno Toshiba Recovery (screen). To przypominacz Toshiba o konieczności wytworzenia dysków Recovery. Jest zapisany w Autostarcie każdego konta dostępnego w systemie: O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk = C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe)O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk = C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe)O4 - Startup: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk = C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe)O4 - Startup: C:\Users\toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk = C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe) Występuje jako zainstalowany program: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{773970F1-5EBA-4474-ADEE-1EA3B0A59492}" = TOSHIBA Recovery Media Creator Reminder W menu czasu kolejnego przypominania nie da się wybrać opcji w rodzaju "Nigdy"? Poza tym, te wpisy można spokojnie usunąć ze startu. Właściwy kreator dysków Recovery siedzieć powinien w Menu Start. Przechodzimy do drobnostek widzialnych w raportach z OTL. 1. Wejdź do funkcji usuwania programów i odmontuj adware AutocompletePro oraz pozostałe przyrosty sponsoringowe i zbędne paski narzędziowe: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{A74F16FA-1D5B-405B-8D8D-1BC6F9DAED8B}" = Amazon.co.uk"{B2EC4A38-B545-4A00-8214-13FE0E915E6D}" = Advertising Center"{FDE58148-57E7-43BF-879A-29CCE818C078}" = eBay"Ask.com Search Assistant" = Ask.com Search Assistant 1.0.1"AutocompletePro3_is1" = AutocompletePro"Brothersoft Toolbar" = Brothersoft Toolbar"conduitEngine" = Conduit Engine"Winamp Toolbar" = Winamp Toolbar (Możesz rozważyć też usunięcie Bing Bar i Google Toolbar, a przynajmniej zdecydować który z nich zostaje) 2. Odinstaluj Java (wersja 32-bit) i Adobe Reader, zastąp najnowszymi wersjami: INSTRUKCJE. 3. Po deinstalacjach wytwórz nowe logi z OTL. . Odnośnik do komentarza
bpm Opublikowano 20 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 20 Stycznia 2011 Przepraszam, że dopiero dziś odpisuję, ale musiałem przygotować się do bardzo ważnej rozmowy. Wyrzuciłem troszkę (oczywiście korzystając z rad), troszkę dodałem od siebie i logi tym razem są takie: OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 21 Stycznia 2011 Zgłoś Udostępnij Opublikowano 21 Stycznia 2011 Zostało do uprzątnięcia: odpadki po deinstalacjach sponsorów, ukryty plik od cracka Your Uninstaller (v3shrtkgn.dll), polisy ActiveDesktop i wyczyszczenie lokalizacji tymczasowych. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-2743808155-3546654969-808456240-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = "http://search.conduit.com?SearchSource=10&ctid=CT2463487" IE - HKU\S-1-5-21-2743808155-3546654969-808456240-1001\..\URLSearchHook: {e8de9422-3b2c-4243-bf6f-235da84d8ef8} - Reg Error: Key error. File not found O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-2743808155-3546654969-808456240-1001\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKU\S-1-5-21-2743808155-3546654969-808456240-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-2743808155-3546654969-808456240-1001\..\Toolbar\WebBrowser: (no name) - {E8DE9422-3B2C-4243-BF6F-235DA84D8EF8} - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 [2011-01-19 19:04:37 | 000,081,920 | -H-- | M] () -- C:\Windows\SysWow64\v3shrtkgn.dll [2011-01-19 22:04:51 | 000,000,250 | ---- | M] () -- C:\Windows\tasks\Scheduled Update for Ask Toolbar.job :Commands [emptyflash] [emptytemp] Rozpocznij przez Wykonaj skrypt. Komputer będzie restartował i na końcu dostaniesz log z usuwania. Jeśli wszystko się wykona, możesz odpuścić pokazywanie logów i uruchomić Sprzątanie w OTL. 2. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE. Podsumuj co i jak. . Odnośnik do komentarza
bpm Opublikowano 21 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 21 Stycznia 2011 Zrobione. Podsumowując: wszystko gra i buczy, zastanawiam się tylko jak długo to będzie trwać... Serdecznie dziękuję za pomoc i porady. Mam jeszcze malutkie pytanko. Z systemem startuje 15 aplikacji producenta. Zastanawiam się co można bezpiecznie wyłączyć. Lista wygląda tak: startup.txt Odnośnik do komentarza
picasso Opublikowano 22 Stycznia 2011 Zgłoś Udostępnij Opublikowano 22 Stycznia 2011 Po tej infekcji należy na wszelki wypadek zmienić wszędzie hasła logowania. Mam jeszcze malutkie pytanko. Z systemem startuje 15 aplikacji producenta. Zastanawiam się co można bezpiecznie wyłączyć. Lista wygląda tak Tę listę przecież już mam na tacy w OTL i to w szerszym zakresie niż przedstawiasz, również z podziałem bitowym. O4:64bit: - HKLM..\Run: [00TCrdMain] C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe (TOSHIBA Corporation) O4:64bit: - HKLM..\Run: [cAudioFilterAgent] C:\Program Files\CONEXANT\cAudioFilterAgent\cAudioFilterAgent64.exe (Conexant Systems, Inc.) O4:64bit: - HKLM..\Run: [HSON] C:\Program Files\TOSHIBA\TBS\HSON.exe (TOSHIBA Corporation) O4:64bit: - HKLM..\Run: [smartAudio] C:\Program Files\CONEXANT\SAII\SAIICpl.exe () O4:64bit: - HKLM..\Run: [smartFaceVWatcher] C:\Program Files\TOSHIBA\SmartFaceV\SmartFaceVWatcher.exe (TOSHIBA Corporation) O4:64bit: - HKLM..\Run: [smartSoft PDF Printer Agent] C:\Program Files\Smart PDF Converter Pro\SmartSoft PDF Printer Agent.exe () O4:64bit: - HKLM..\Run: [smoothView] C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe (TOSHIBA Corporation) O4:64bit: - HKLM..\Run: [Teco] C:\Program Files\TOSHIBA\TECO\Teco.exe (TOSHIBA Corporation) O4:64bit: - HKLM..\Run: [Toshiba Registration] C:\Program Files\TOSHIBA\Registration\ToshibaReminder.exe (Toshiba Europe GmbH) O4:64bit: - HKLM..\Run: [Toshiba TEMPRO] C:\Program Files (x86)\Toshiba TEMPRO\TemproTray.exe (Toshiba Europe GmbH) O4:64bit: - HKLM..\Run: [TosNC] C:\Program Files\TOSHIBA\BulletinBoard\TosNcCore.exe (TOSHIBA Corporation) O4:64bit: - HKLM..\Run: [TosReelTimeMonitor] C:\Program Files\TOSHIBA\ReelTime\TosReelTimeMonitor.exe (TOSHIBA Corporation) O4:64bit: - HKLM..\Run: [TosSENotify] C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe (TOSHIBA Corporation) O4:64bit: - HKLM..\Run: [TosVolRegulator] C:\Program Files\TOSHIBA\TosVolRegulator\TosVolRegulator.exe (TOSHIBA Corporation) O4:64bit: - HKLM..\Run: [TosWaitSrv] C:\Program Files\TOSHIBA\TPHM\TosWaitSrv.exe (TOSHIBA Corporation) O4:64bit: - HKLM..\Run: [TPwrMain] C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe (TOSHIBA Corporation) O4 - HKLM..\Run: [iPlusManager] C:\Program Files (x86)\iPlus\iPlusChecker.exe () O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation) O4 - HKLM..\Run: [startCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.) O4 - HKLM..\Run: [TWebCamera] C:\Program Files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe (TOSHIBA CORPORATION.) O4 - HKU\.DEFAULT..\Run: [TOSHIBA Online Product Information] C:\Program Files (x86)\TOSHIBA\TOSHIBA Online Product Information\TOPI.exe (TOSHIBA) O4 - HKU\S-1-5-18..\Run: [TOSHIBA Online Product Information] C:\Program Files (x86)\TOSHIBA\TOSHIBA Online Product Information\TOPI.exe (TOSHIBA) O4 - HKU\S-1-5-19..\Run: [sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation) O4 - HKU\S-1-5-20..\Run: [sidebar] C:\Program Files (x86)\Windows Sidebar\Sidebar.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-2743808155-3546654969-808456240-1001..\Run: [iDMan] C:\Program Files (x86)\Internet Download Manager\IDMan.exe (Tonec Inc.) O4 - HKU\S-1-5-21-2743808155-3546654969-808456240-1001..\Run: [TOSHIBA Online Product Information] C:\Program Files (x86)\TOSHIBA\TOSHIBA Online Product Information\TOPI.exe (TOSHIBA) O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk = C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe) O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk = C:\Program Files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe) 1. Można wyłączyć śmieci przypominające oraz niekrytyczne funkcje (wyłączenie zależne od tego czy użytkownik z tego nie korzysta): O4:64bit: - HKLM..\Run: [Toshiba Registration] C:\Program Files\TOSHIBA\Registration\ToshibaReminder.exe (Toshiba Europe GmbH)O4 - HKU\S-1-5-18..\Run: [TOSHIBA Online Product Information] C:\Program Files (x86)\TOSHIBA\TOSHIBA Online Product Information\TOPI.exe (TOSHIBA) Porady / "newsy" Tempro O4:64bit: - HKLM..\Run: [Toshiba TEMPRO] C:\Program Files (x86)\Toshiba TEMPRO\TemproTray.exe (Toshiba Europe GmbH) Organizer desktopowy Bulletin Board O4:64bit: - HKLM..\Run: [TosNC] C:\Program Files\TOSHIBA\BulletinBoard\TosNcCore.exe (TOSHIBA Corporation) Przeglądarka ReelTime O4:64bit: - HKLM..\Run: [TosReelTimeMonitor] C:\Program Files\TOSHIBA\ReelTime\TosReelTimeMonitor.exe (TOSHIBA Corporation) Funkcja automatycznego zoomu w aplikacjach (SmoothView) O4:64bit: - HKLM..\Run: [smoothView] C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe (TOSHIBA Corporation) Logowanie do systemu przez weryfikację zdjęcia twarzy (Face recognition) O4:64bit: - HKLM..\Run: [smartFaceVWatcher] C:\Program Files\TOSHIBA\SmartFaceV\SmartFaceVWatcher.exe (TOSHIBA Corporation) Wbudowana kamerka O4 - HKLM..\Run: [TWebCamera] C:\Program Files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe (TOSHIBA CORPORATION.) Funkcja HotStartOn (pewnie przypisana do klawiszy multimedialnych) O4:64bit: - HKLM..\Run: [HSON] C:\Program Files\TOSHIBA\TBS\HSON.exe (TOSHIBA Corporation) 2. Tego nie jestem pewna czy można wyłączyć: Narzędzie zarządzania energią Eco Utility O4:64bit: - HKLM..\Run: [Teco] C:\Program Files\TOSHIBA\TECO\Teco.exe (TOSHIBA Corporation) To mi wygląda na monitory PC Health O4:64bit: - HKLM..\Run: [TosSENotify] C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe (TOSHIBA Corporation)O4:64bit: - HKLM..\Run: [TosWaitSrv] C:\Program Files\TOSHIBA\TPHM\TosWaitSrv.exe (TOSHIBA Corporation) . Odnośnik do komentarza
bpm Opublikowano 22 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 22 Stycznia 2011 Ok dziękuję jeszcze raz za info, pomoc i porady. Niestety nie wyłączę już nic, bo zabrali już laptopa. Temat można zamknąć. Pozdrawiam serdecznie. Odnośnik do komentarza
Rekomendowane odpowiedzi