Olleo Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Witam, od paru dni nie mogę wejść na stronę Google (Search) i nie działa Captcha (swoją drogą wredne). Korzystając z innych wyszukiwarek ustaliłem, że chodzi o rootkit RLoader.B, który teoretycznie powinien być wykrywany i usuwany TDSSKiller, a i z wykryciem nie powinien mieć problemu GMER, ComboFix, ani AswMBR. Niestety żaden z nich nie wykrywa rootkita (załączony log z GMERa i ComboFixa), a problem wykrył dopiero RegRun z UnhackMe, ale nie usunie problemu bez Warrior Boot CD, którego rzecz jasna nie posiadam. Załączam również log z RegRuna i proszę o pomoc. p.s. jeśli będzie potrzeba deaktywować Trend Micro, to proszę o wskazówki, bo nie mam hasła do tego programu (komp nie jest mój), a i skillować procesu nie idzie. ComboFix.txt GMER.txt regrunlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Zabrakło obowiązkowych logów z OTL. Wg GMER rootkit jest, są bardzo charakterystyczne linie: ---- Kernel code sections - GMER 1.0.15 ---- .text iaStor.sys B99474FC 1 Byte [CC] {INT 3 } ---- Threads - GMER 1.0.15 ---- Thread System [4:424] 8A00B0F4 To nie pierwszy przypadek, że TDSSKiller nie wykrywa tej infekcji. Oto z forum: KLIK. Leczenie spod działającego systemu odrzucam na rzecz środowiska zewnętrznego. Na początek: 1. Wypal płytę OTLPE i zastartuj do tego środowiska. 2. Zrób skan dostosowany. Uruchom z desktopu płyty OTL, w sekcji Custom Scans/Fixes wklej: /md5start acpi.sys /md5stop Klik w Scan i przedstaw raport. . Odnośnik do komentarza
Olleo Opublikowano 10 Września 2012 Autor Zgłoś Udostępnij Opublikowano 10 Września 2012 Pytanie: zadziała na systemie z szyfrowanym dyskiem za pomoca Pointseca? Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Czyli tu jest szyfrowanie dysku na dodatek? Wątpię, by dane były dostępne z poziomu środowiska zewnętrznego. Obawiam się, że należy zdjąć szyfrowanie, a komputer jak twierdzisz nawet nie jest Twój. Sprawa się zaczyna komplikować, bo leczenie acpi.sys spod działającego systemu nie wydaje się logicznie i wykonalne. Jest potrzebne mocne narzędzie pracujące na poziomie kernel, które zdoła podstawić plik. Już próbowałam w tamtym temacie Avengera i BlitzBlank, spełzło to na niczym. ComboFixa nie brałam, skoro te dwa nie dały rady. . Odnośnik do komentarza
Olleo Opublikowano 10 Września 2012 Autor Zgłoś Udostępnij Opublikowano 10 Września 2012 Zdjąć szyfrowania się nie da, bo to jeszcze przed załadowaniem systemu jest. A gdyby mieć płytę bootowalną systemową z szyfrowaniem (jest mała szansa, że gdzieś jest dostępna)? Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Ale to oczywiste, że szyfrowanie aktywuje się na takim poziomie (Pre-Boot Authentication), w przeciwnym wypadku nie można byłoby tego nazwać "szyfrowaniem dysku". To nie jest Twój komputer, toteż nie masz prawdopodobnie dostępu do narzędzia i hasła, które pozwolą odszyfrować dysk. Ten program powinien mieć możliwość utworzenia płyty Recovery, z której boot daje dostęp do odszyfrowania i tam pada prośba o hasło administracyjne stworzone przy instalacji szyfratora. Przykro mi, ale ja tu na razie nie widzę za bardzo wyjścia w aktualnej sytuacji. Rootkit jest silny, dobrać się do niego z poziomu działającego systemu jest trudne, właściwie nie mam narzędzi. Potrzebuję środowisko zewnętrzne, a tu jest potencjalny problem z zaszyfrowaną zawartością. . Odnośnik do komentarza
Olleo Opublikowano 10 Września 2012 Autor Zgłoś Udostępnij Opublikowano 10 Września 2012 A powiedzmy, że będę miał płytę bootowalną z klientem pointseca? Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Ale czy masz hasło administracyjne? Bez hasła nic nie zdziałasz. Odnośnik do komentarza
Olleo Opublikowano 10 Września 2012 Autor Zgłoś Udostępnij Opublikowano 10 Września 2012 Ciężko stwierdzić - na razie szukam płyty po ludziach. Myślałem bardziej o tym, jak to opisane jest tutaj: http://www.blackfist...encryption.html Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 Stworzenie płyty to nie problem. Problem to hasło administracyjne, o które poprosi płyta. Ten Twój link też o tym mówi: Booting the CD also got quite a bit easier. Remember I said that you used to boot to the hard drive when you wanted to use a CD? Counter intuitive, right? Now you boot from the CD. When Bart comes up you can open the file management utility, but you'll notice that you can't read the C drive, you just know that it is there. But if you click on Go and look in programs, you'll find a new program for reading the Check Point encrypted drive. Run that program and authenticate with valid credentials. . Odnośnik do komentarza
Olleo Opublikowano 10 Września 2012 Autor Zgłoś Udostępnij Opublikowano 10 Września 2012 Ale nie mówi nic o administracyjnym - nie wystarczy moje? Odnośnik do komentarza
picasso Opublikowano 10 Września 2012 Zgłoś Udostępnij Opublikowano 10 Września 2012 (edytowane) Mówiłeś, że komputer nie jest Twój. Jak mam to rozumieć? Czyli twierdzisz, że posiadasz hasło autentyfikacji Pointsec? No to spróbuj zrobić tę płytę Recovery (na podstawie podanego linka). Po autentyfikacji z poziomu Recovery będzie bezpośredni dostęp do systemu plików i będzie można zabrać się za wyszukanie kopii acpi.sys i podmianę pliku. . Edytowane 8 Października 2012 przez picasso 8.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi