picasso Opublikowano 17 Października 2012 Zgłoś Udostępnij Opublikowano 17 Października 2012 sawel, u Ciebie cały czas działa infekcja, która wygląda jak rootkit Rloader. Ciągnie się to już od dwóch tematów. Teraz podany log opowiada, że jest bez zmian (!): ---- Kernel code sections - GMER 1.0.15 ---- .text iaStor.sys B9D7B74C 1 Byte [CC] {INT 3 } ---- Threads - GMER 1.0.15 ---- Thread System [4:684] 888980F4 Miałeś dać komputer do serwisu, a tu widzę że nic nie zostało przeprowadzone. To ta infekcja powoduje blokowanie Google oraz form typu autouzupełnianie czy Captcha. Tu niestety potrzebny dostęp z zewnątrz przez bootowanie z płyty, by załatwić tę infekcję. Narzędzia spod Windows wykazują pełną niemoc. PS. I czy Ty przypadkiem nie masz szyfrowania dysku? Miałam niedawno temat z szyfrowanym dyskiem, TDSSKiller nic nie wykrywał, ale Rloader był: KLIK. . Odnośnik do komentarza
sawel Opublikowano 17 Października 2012 Autor Zgłoś Udostępnij Opublikowano 17 Października 2012 Niestety jest szyfrowany i nie mam do niego dostępu. mój IT powiedział że jeśli zacznie się poważnie wieszać, to zrobią format dysku. Ostatnio jak mi pomagałaś to się znacznie polepszyło, tzn widoczne problemy zniknęły i nie miałem żadnego kłopotu z pracą na kompie, dlatego nie drążyłem dalej tematu. Dziwne, że problem odzywa się po kilku miesiącach od ostatniej Twojej działalności. Odnośnik do komentarza
picasso Opublikowano 17 Października 2012 Zgłoś Udostępnij Opublikowano 17 Października 2012 Niestety jest szyfrowany i nie mam do niego dostępu. Sądzę, że to przyczyna niezdolności wykrycia infekcji przez TDSSKiller. Tak jak w tym drugim temacie. Czym jest zaszyfrowany dysk? Czy na pewno Twój IT nie udostępnia bootowalnego środowiska, które daje dostęp do dysku? mój IT powiedział że jeśli zacznie się poważnie wieszać, to zrobią format dysku. Co to oznacza: nie chciało im się podmienić pliku ACPI.SYS czystą kopią czy nie wiedzą jak to zrobić? W związku z tym poproś o format dysku. Objaśnij im dokładnie, że chodzi o poważną infekcję rootkit działającą na poziomie sterownika ACPI.SYS. Jest to dostateczny powód, by formatować, skoro nie ma możliwości rozwiązania tego polubowną metodą. Nie daj się skołować, że nie warto robić formatu, ta infekcja to ogromne naruszenie bezpieczeństwa, nie wiadomo też czy coś nie "wyciekło" w eter i nie wiadomo też z czym komunikuje się infekcja. Ostatnio jak mi pomagałaś to się znacznie polepszyło, tzn widoczne problemy zniknęły i nie miałem żadnego kłopotu z pracą na kompie, dlatego nie drążyłem dalej tematu. Dziwne, że problem odzywa się po kilku miesiącach od ostatniej Twojej działalności. Usuwałam tylko infekcje, że tak się wyrażę "powierzchowne", które byłam zdolna i które działały mniej inwazyjnie niż rootkit Rloader. Ten rootkit został przez Ciebie zbagatelizowany, a on był najważniejszy. Na pewno to on blokuje Google, na forum multum przykładów z Rloaderem. To nie jest istotne, że u Ciebie pozornie system działa sprawnie, że są okresy ulgi w "dostawie Google". Istotne jest, że w systemie grasuje poważna infekcja. Z mocą podkreślam: Rootkit Rloader musi zostać wyeliminowany. . Odnośnik do komentarza
sawel Opublikowano 18 Października 2012 Autor Zgłoś Udostępnij Opublikowano 18 Października 2012 Czy ten plik: ACPI.sys, można bezkarnie podmienić z innego kompa tego modelu? czy musi to być zupełnie czysta kopia zaraz po instalacji ? Odnośnik do komentarza
picasso Opublikowano 18 Października 2012 Zgłoś Udostępnij Opublikowano 18 Października 2012 Pozyskanie kopii pliku to nie problem, problem to operacja wymiany plików. Wymiana ta musi się odbyć z poziomu środowiska zewnętrznego a nie spod Windows. W Windows sterownik ACPI.SYS jest zablokowany przez rootkita, nie dały temu rady silne narzędzia. Tu nie chodzi o ten sam model tylko te same parametry aktualizacyjne, czyli plik w wersji XP SP3. Proszę, przesyłam plik wyekstraktowany z pakietu SP3: KLIK. Tylko jak mówię to nic nie daje w sytuacji, gdy nie ma jak zamienić plików ... O to cały czas mi chodzi. . Odnośnik do komentarza
sawel Opublikowano 18 Października 2012 Autor Zgłoś Udostępnij Opublikowano 18 Października 2012 Podmieniłem ten plik po prostu przez kopiuj wklej i zastąp plik, myślisz że to pomoże? Odnośnik do komentarza
picasso Opublikowano 18 Października 2012 Zgłoś Udostępnij Opublikowano 18 Października 2012 Podmieniłem ten plik po prostu przez kopiuj wklej i zastąp plik, myślisz że to pomoże? W żadnym wypadku to nie pomoże i jest pewne, że pliku nie wymieniłeś (po pierwsze sterownik w użyciu przez Windows + po drugie totalnie zablokowany przez Rloader). Odnoszę wrażenie, że nie do końca rozumiesz z czym masz do czynienia - z techniką rootkit. Plik acpi.sys jest zablokowany, o czym zawiadamiał już aswMBR: 02:17:10.109 Service ACPI C:\WINNT\system32\DRIVERS\ACPI.sys **LOCKED** 32 Nie potrafiły go podmienić niskopoziomowe narzędzia, a Ty ... ręcznie sobie plik wklejasz? Mówię: plik musi być podmieniony z poziomu środowiska zewnętrznego, w którym nie działa rootkit. Cały czas natykamy się na tę samą przeszkodę: komputer nie umożliwa operacji nie spod Windows. . Odnośnik do komentarza
sawel Opublikowano 18 Października 2012 Autor Zgłoś Udostępnij Opublikowano 18 Października 2012 Rzeczywiście nie jestem w tym biegły. Plik sam z siebie nie dał się usunąć, bo dał komunikat, że plik używany jest przez inny program lub jest zablokowany do edycji. Więc skopiowałem go na inne miejsce a potem wykonałem kopiuj(Twój plik) i wklej do katalogu z którego skopiowałem. System zapytał czy zastąpiś stary plik nowym. potwierdziłem i tyle. Odnośnik do komentarza
picasso Opublikowano 18 Października 2012 Zgłoś Udostępnij Opublikowano 18 Października 2012 Plik sam z siebie nie dał się usunąć, bo dał komunikat, że plik używany jest przez inny program lub jest zablokowany do edycji. Więc skopiowałem go na inne miejsce a potem wykonałem kopiuj(Twój plik) i wklej do katalogu z którego skopiowałem. System zapytał czy zastąpiś stary plik nowym. potwierdziłem i tyle. Tego pliku nie wolno usuwać! To sterownik obsługi warstwy sprzętowej. Więc skopiowałem go na inne miejsce a potem wykonałem kopiuj(Twój plik) i wklej do katalogu z którego skopiowałem. System zapytał czy zastąpiś stary plik nowym. potwierdziłem i tyle. To się na 100% nie wykonało (pozorne nadpisanie) i sprawa nadal aktualna. Nie jest możliwa podmiana tego pliku w taki sposób, nawet gdyby nie był zainfekowany i zablokowany przez rootkita. Ten sterownik jest załadowany przez Windows i wymagany do poprawnego funkcjonowania platformy. Podmiana takich plików wymaga szczególnych działań (funkcja przesuwania przy restarcie systemu). Tu działania wypróbowane, spełzło na niczym, bo dodatkowo jeszcze go blokuje rootkit i zapobiega podmianie pliku = niestety zostaje środowisko zewnętrzne. Plik przesłałam, by IT go wymienił metodą z zewnątrz, nie po to byś błądził. . Odnośnik do komentarza
sawel Opublikowano 18 Października 2012 Autor Zgłoś Udostępnij Opublikowano 18 Października 2012 W takim razie będę dalej próbował walkę ze swoim IT Jeszcze coś innego siedzi w tym kompie? czy to tylko kwestia acpi.sys? Wielkie dzięki. jak coś uda się robić to dam znać Odnośnik do komentarza
picasso Opublikowano 18 Października 2012 Zgłoś Udostępnij Opublikowano 18 Października 2012 (edytowane) W aktualnych raportach nie widzę nic więcej poza nieszczęsnym Rloaderem. PS. sawel, Twoje wszystkie trzy tematy łączę, wspólny mianownik to rozważania o Rloaderze. . Edytowane 17 Listopada 2012 przez picasso 17.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi