Skocz do zawartości

Problemy z Google, przekierowaniami i infekcjami


Rekomendowane odpowiedzi

sawel, u Ciebie cały czas działa infekcja, która wygląda jak rootkit Rloader. Ciągnie się to już od dwóch tematów. Teraz podany log opowiada, że jest bez zmian (!):

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text iaStor.sys B9D7B74C 1 Byte [CC] {INT 3 }

 

 

---- Threads - GMER 1.0.15 ----

 

Thread System [4:684] 888980F4

 

Miałeś dać komputer do serwisu, a tu widzę że nic nie zostało przeprowadzone. To ta infekcja powoduje blokowanie Google oraz form typu autouzupełnianie czy Captcha. Tu niestety potrzebny dostęp z zewnątrz przez bootowanie z płyty, by załatwić tę infekcję. Narzędzia spod Windows wykazują pełną niemoc.

 

PS. I czy Ty przypadkiem nie masz szyfrowania dysku? Miałam niedawno temat z szyfrowanym dyskiem, TDSSKiller nic nie wykrywał, ale Rloader był: KLIK.

 

 

.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Niestety jest szyfrowany :( i nie mam do niego dostępu. mój IT powiedział że jeśli zacznie się poważnie wieszać, to zrobią format dysku. Ostatnio jak mi pomagałaś to się znacznie polepszyło, tzn widoczne problemy zniknęły i nie miałem żadnego kłopotu z pracą na kompie, dlatego nie drążyłem dalej tematu. Dziwne, że problem odzywa się po kilku miesiącach od ostatniej Twojej działalności.

Odnośnik do komentarza
Niestety jest szyfrowany :( i nie mam do niego dostępu.

 

Sądzę, że to przyczyna niezdolności wykrycia infekcji przez TDSSKiller. Tak jak w tym drugim temacie. Czym jest zaszyfrowany dysk? Czy na pewno Twój IT nie udostępnia bootowalnego środowiska, które daje dostęp do dysku?

 

 

mój IT powiedział że jeśli zacznie się poważnie wieszać, to zrobią format dysku.

 

Co to oznacza: nie chciało im się podmienić pliku ACPI.SYS czystą kopią czy nie wiedzą jak to zrobić? W związku z tym poproś o format dysku. Objaśnij im dokładnie, że chodzi o poważną infekcję rootkit działającą na poziomie sterownika ACPI.SYS. Jest to dostateczny powód, by formatować, skoro nie ma możliwości rozwiązania tego polubowną metodą. Nie daj się skołować, że nie warto robić formatu, ta infekcja to ogromne naruszenie bezpieczeństwa, nie wiadomo też czy coś nie "wyciekło" w eter i nie wiadomo też z czym komunikuje się infekcja.

 

 

Ostatnio jak mi pomagałaś to się znacznie polepszyło, tzn widoczne problemy zniknęły i nie miałem żadnego kłopotu z pracą na kompie, dlatego nie drążyłem dalej tematu. Dziwne, że problem odzywa się po kilku miesiącach od ostatniej Twojej działalności.

 

Usuwałam tylko infekcje, że tak się wyrażę "powierzchowne", które byłam zdolna i które działały mniej inwazyjnie niż rootkit Rloader. Ten rootkit został przez Ciebie zbagatelizowany, a on był najważniejszy. Na pewno to on blokuje Google, na forum multum przykładów z Rloaderem. To nie jest istotne, że u Ciebie pozornie system działa sprawnie, że są okresy ulgi w "dostawie Google". Istotne jest, że w systemie grasuje poważna infekcja. Z mocą podkreślam:

 

Rootkit Rloader musi zostać wyeliminowany.

 

 

.

Odnośnik do komentarza

Pozyskanie kopii pliku to nie problem, problem to operacja wymiany plików. Wymiana ta musi się odbyć z poziomu środowiska zewnętrznego a nie spod Windows. W Windows sterownik ACPI.SYS jest zablokowany przez rootkita, nie dały temu rady silne narzędzia.

 

Tu nie chodzi o ten sam model tylko te same parametry aktualizacyjne, czyli plik w wersji XP SP3. Proszę, przesyłam plik wyekstraktowany z pakietu SP3: KLIK. Tylko jak mówię to nic nie daje w sytuacji, gdy nie ma jak zamienić plików ... O to cały czas mi chodzi.

 

 

 

.

Odnośnik do komentarza
Podmieniłem ten plik po prostu przez kopiuj wklej i zastąp plik, myślisz że to pomoże?

 

W żadnym wypadku to nie pomoże i jest pewne, że pliku nie wymieniłeś (po pierwsze sterownik w użyciu przez Windows + po drugie totalnie zablokowany przez Rloader). Odnoszę wrażenie, że nie do końca rozumiesz z czym masz do czynienia - z techniką rootkit. Plik acpi.sys jest zablokowany, o czym zawiadamiał już aswMBR:

 

02:17:10.109 Service ACPI C:\WINNT\system32\DRIVERS\ACPI.sys **LOCKED** 32

 

Nie potrafiły go podmienić niskopoziomowe narzędzia, a Ty ... ręcznie sobie plik wklejasz? Mówię: plik musi być podmieniony z poziomu środowiska zewnętrznego, w którym nie działa rootkit. Cały czas natykamy się na tę samą przeszkodę: komputer nie umożliwa operacji nie spod Windows.

 

 

 

.

Odnośnik do komentarza

Rzeczywiście nie jestem w tym biegły. Plik sam z siebie nie dał się usunąć, bo dał komunikat, że plik używany jest przez inny program lub jest zablokowany do edycji. Więc skopiowałem go na inne miejsce a potem wykonałem kopiuj(Twój plik) i wklej do katalogu z którego skopiowałem. System zapytał czy zastąpiś stary plik nowym. potwierdziłem i tyle.

Odnośnik do komentarza
Plik sam z siebie nie dał się usunąć, bo dał komunikat, że plik używany jest przez inny program lub jest zablokowany do edycji. Więc skopiowałem go na inne miejsce a potem wykonałem kopiuj(Twój plik) i wklej do katalogu z którego skopiowałem. System zapytał czy zastąpiś stary plik nowym. potwierdziłem i tyle.

 

Tego pliku nie wolno usuwać! To sterownik obsługi warstwy sprzętowej.

 

 

Więc skopiowałem go na inne miejsce a potem wykonałem kopiuj(Twój plik) i wklej do katalogu z którego skopiowałem. System zapytał czy zastąpiś stary plik nowym. potwierdziłem i tyle.

 

To się na 100% nie wykonało (pozorne nadpisanie) i sprawa nadal aktualna. Nie jest możliwa podmiana tego pliku w taki sposób, nawet gdyby nie był zainfekowany i zablokowany przez rootkita. Ten sterownik jest załadowany przez Windows i wymagany do poprawnego funkcjonowania platformy. Podmiana takich plików wymaga szczególnych działań (funkcja przesuwania przy restarcie systemu). Tu działania wypróbowane, spełzło na niczym, bo dodatkowo jeszcze go blokuje rootkit i zapobiega podmianie pliku = niestety zostaje środowisko zewnętrzne.

 

 

Plik przesłałam, by IT go wymienił metodą z zewnątrz, nie po to byś błądził.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...