mrjq Opublikowano 25 Stycznia 2011 Zgłoś Udostępnij Opublikowano 25 Stycznia 2011 Witam, Proszę o pomoc w sprawdzeniu logów po infekcji Rootkit.Win32.TDSS.tdl4. Platforma Windows 7 64bit. Rozpoczęło się od blue screenów irql_not_less_or_equal 0x0000000A restarty windowsa, próby naprawy dyskiem instalacyjnym. Punkty przywracania systemu. Po dłuższej pracy te same problemy. Usunięcie wirusa Rootkit.Win32.TDSS.tdl4 przez Norman SinowalMBR Cleaner niestety log został gdzieś nadpisany. Po usunięciu wirusa, przestały pojawiać się blue screeny. Od badania MBR zaczęły się "schody" MBR dysku systemowego był: mbr code fake: Z MBRCheck log Następnie zrobiłem naprawę MBR dla drive 1 na windows7, dla drive4 na xp, zadziałało. Ach, dopiero zauważyłem, że zniszczyłem MBR, nadając 4 syst. xp, odzyskuję pliki. Dyski MBR w kolejnych dyskach MBRCheck nie dał rady odtworzyć. Pewnie dobrze, bo kolejnych bym nie miał. Wykonałem skanowanie, Malwarebytes oraz Dr Web i Spybotem. Było czysto. W między czasie OTL-em OTL_raport,OTL_Extras następnie Kaspersky Virus Removal Tool raport format xml. Bieżący log Sinowala. Aktualny OTL_raport, OTL_Extras. pozdrawiam Odnośnik do komentarza
picasso Opublikowano 27 Stycznia 2011 Zgłoś Udostępnij Opublikowano 27 Stycznia 2011 Następnie zrobiłem naprawę MBR dla drive 1 na windows7, dla drive4 na xp, zadziałało. Ach, dopiero zauważyłem, że zniszczyłem MBR, nadając 4 syst. xp, odzyskuję pliki. Było: PhysicalDrive1 Model Number: ST31000528AS, Rev: .PhysicalDrive4 Model Number: SeagateFreeAgent, Rev: .PhysicalDrive2 Model Number: SeagateFreeAgent Go, Rev: .PhysicalDrive3 Model Number: WDMy Passport 070A, Rev:. Size Device Name MBR Status -------------------------------------------- 931 GB \\.\PhysicalDrive1 MBR Code Faked! SHA1: . 931 GB \\.\PhysicalDrive4 MBR Code Faked! SHA1:. 232 GB \\.\PhysicalDrive2 RE: Unknown MBR code SHA1: . 297 GB \\.\PhysicalDrive3 RE: Windows XP MBR code detected SHA1: . Jest: PhysicalDrive1 Model Number: ST31000528AS, Rev: .PhysicalDrive4 Model Number: SeagateFreeAgent, Rev: .PhysicalDrive3 Model Number: SeagateFreeAgent Go, Rev: .PhysicalDrive5 Model Number: WDMy Passport 070A, Rev: .PhysicalDrive2 Model Number: WDExt HDD 1021, Rev: . Size Device Name MBR Status -------------------------------------------- 931 GB \\.\PhysicalDrive1 Windows 7 MBR code detected SHA1: . 931 GB \\.\PhysicalDrive4 MBR Code Faked! SHA1: . 232 GB \\.\PhysicalDrive3 RE: Unknown MBR code SHA1: . 297 GB \\.\PhysicalDrive5 RE: Windows XP MBR code detected SHA1: . 931 GB \\.\PhysicalDrive2 RE: Windows XP MBR code detected SHA1: . Nie ma tu podanych hashów, które również mają znaczenie dla weryfikacji (można szukać wg SHA na Google czy jest powtarzalność w przypadku infekcji). To log manipulowany ręcznie? Dysk oznaczony jako 4 oraz 2 (widzialny aktualnie jako urządzenie numer 3) wyglądają podejrzanie. Aczkolwiek nie wykluczam, że to nie wymaga interwencji, gdyż zanotowałam pewną powtarzalność tego odczytu na modelu SeagateFreeAgent i się zastanawiam czy dysk nie ma czegoś szczególnego w MBR, czego diagnostyk nie potrafi ocenić. Nie ma przeliczeń SHA1 i trudno mi to ocenić. I co to znaczy "odzyskuję pliki" - co się stało po wbiciu sygnatury XP? . Odnośnik do komentarza
mrjq Opublikowano 27 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 27 Stycznia 2011 Rzeczywiście usunąłem hashe, już naprawiam ten błąd: było: PhysicalDrive1 Model Number: ST31000528AS, Rev: CC38 PhysicalDrive4 Model Number: SeagateFreeAgent, Rev: 0138 PhysicalDrive2 Model Number: SeagateFreeAgent Go, Rev: 102D PhysicalDrive3 Model Number: WDMy Passport 070A, Rev: 1032 Size Device Name MBR Status -------------------------------------------- 931 GB \\.\PhysicalDrive1 MBR Code Faked! SHA1: A7CEF36363F5C16CC311122770D0B9723F5430D3 931 GB \\.\PhysicalDrive4 MBR Code Faked! SHA1: 31ABC6F76EA6A7FD5B12BF4901243A3546141C86 232 GB \\.\PhysicalDrive2 RE: Unknown MBR code SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F 297 GB \\.\PhysicalDrive3 RE: Windows XP MBR code detected SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A jest: PhysicalDrive1 Model Number: ST31000528AS, Rev: CC38 PhysicalDrive4 Model Number: SeagateFreeAgent, Rev: 0138 PhysicalDrive3 Model Number: SeagateFreeAgent Go, Rev: 102D PhysicalDrive5 Model Number: WDMy Passport 070A, Rev: 1032 PhysicalDrive2 Model Number: WDExt HDD 1021, Rev: 2002 Size Device Name MBR Status -------------------------------------------- 931 GB \\.\PhysicalDrive1 Windows 7 MBR code detected SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79 931 GB \\.\PhysicalDrive4 MBR Code Faked! SHA1: 31ABC6F76EA6A7FD5B12BF4901243A3546141C86 232 GB \\.\PhysicalDrive3 RE: Unknown MBR code SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F 297 GB \\.\PhysicalDrive5 RE: Windows XP MBR code detected SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A 931 GB \\.\PhysicalDrive2 RE: Windows XP MBR code detected SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A Odnośnik do komentarza
picasso Opublikowano 28 Stycznia 2011 Zgłoś Udostępnij Opublikowano 28 Stycznia 2011 1. W mojej opinii zaprawionym dyskiem był tylko numer 1. Ma identyczne SHA1 jak w tym temacie z infekcją TDL4: KLIK. 2. Nie sądzę byś to musiał naprawiać: PhysicalDrive4 Model Number: SeagateFreeAgent, Rev: 0138PhysicalDrive3 Model Number: SeagateFreeAgent Go, Rev: 102D 931 GB \\.\PhysicalDrive4 MBR Code Faked! SHA1: 31ABC6F76EA6A7FD5B12BF4901243A3546141C86 232 GB \\.\PhysicalDrive3 RE: Unknown MBR code SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F Popatrzyłam na Google. Wyszukiwanie na konkretne modele zwraca parę takich wyników, czyli SeagateFreeAgent, Rev: 0138 = "MBR Code Faked!", a SeagateFreeAgent Go, Rev: 102D = "Unknown MBR Code". Tylko SHA1 mogą wykazywać różnicę. Te dyski muszą mieć specjalne definicje w obszarze MBR. Nie ruszałabym tego. Tym bardziej, jeśli wszystkie objawy ustąpiły. . Odnośnik do komentarza
mrjq Opublikowano 28 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 28 Stycznia 2011 Objawy ustąpiły. Już raz miałem problemy z tym dyskiem i oprogramowaniem szyfrującym. Nie wiem czy wpływają na MBR te "zaszyte" programy do szyfrowania. Jakby nie można było, zrobić normalnego dysku Co do tego dysku z poprawką MBR na xp, po prostu tablica partycji się rozsypała, ale odzyskałem DiskGenius 3.2 Dzięki za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi