Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Niedostępny dysk lokalny - "Plik lub katalog jest uszkodzony i nieczytelny"

hash89

Przez hash89
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

hash89

hash89

Opublikowano
Opublikowano

Witam

Mam problem z dostaniem się do dysku lokalnego E:\. Sytuacja miała miejsce tydzień temu. Grałem w grę, która jest zainstalowana na tym dysku i bez żadnych ostrzeżeń po prostu zresetował się komp. Po restarcie dysku nie można było już odczytać od tak bez żadnych wyskakujących błędów. Wykluczam jakiekolwiek uszkodzenia mechaniczne ponieważ stacja jest w jednym miejscu nie ma ruchu ma świetne chłodzenie etc. Próbowałem zrobić komendę chkdsk e: /f /r ale to nic nie dało, puściłem również antywira eset nod32 i nic. Proszę o pomoc nie wiem już co mam robić. Czy da się jeszcze odzyskać pliki z tego dysku?

ComboFix.txt

gmer.txt

post-1960-0-40162400-1303407119_thumb.jpg

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W dziale Malware są wymagane inne logi niż ComboFix, czyli z OTL. ComboFix to nie jest narzędzie "do logów". Został także uruchomiony z pominięciem środków ostrożności oraz w szkodliwym środowisku:

- Czynny sterownik emulacji napędów wirtualnych SPTD, a obowiązkowo przed uruchamianiem wykonuje się te instrukcje: KLIK.

- Ominięta instalacja Konsoli Odzyskiwania

 

 

1. W raporcie są dwa podrobione sterowniki Windows (sterowniki systemu to tcpip.sys i ipsec.sys):

 

R3 xcpip;Sterownik protokołu TCP/IP;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
R3 xpsec;Sterownik IPSEC;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]

Są również te autoryzacje w zaporze:

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"6909:TCP"= 6909:TCP:Services
"6910:TCP"= 6910:TCP:Services
"2926:TCP"= 2926:TCP:Services
"7739:TCP"= 7739:TCP:Services
"2863:TCP"= 2863:TCP:Services
"4161:TCP"= 4161:TCP:Services
"8831:TCP"= 8831:TCP:Services
"7081:TCP"= 7081:TCP:Services
"5332:TCP"= 5332:TCP:Services
"9164:TCP"= 9164:TCP:Services
"9440:TCP"= 9440:TCP:Services
"9441:TCP"= 9441:TCP:Services
"4207:TCP"= 4207:TCP:Services
"4050:TCP"= 4050:TCP:Services
"4190:TCP"= 4190:TCP:Services
"6847:TCP"= 6847:TCP:Services
"5894:TCP"= 5894:TCP:Services
"7629:TCP"= 7629:TCP:Services
"4331:TCP"= 4331:TCP:Services
"8487:TCP"= 8487:TCP:Services
"9721:TCP"= 9721:TCP:Services
"5095:TCP"= 5095:TCP:Services
"2004:TCP"= 2004:TCP:Services
"7565:TCP"= 7565:TCP:Services

To są autoryzacje charakterystyczne dla rootkita w MBR dysku. Rootkita tego nie wykrył GMER. Poproszę o logi z programów: Kaspersky TDSSKiller + MBRCheck. Przy czym: jeśli Kaspersky cokolwiek wykryje, nie usuwaj tego i dobierz akcję Skip, tylko zaprezentuj wyniki. Na pewno wykryje SPTD, bo nie przygotowałeś systemu do uruchamiania narzędzi ....

 

 

2. Natomiast to:

 

Mam problem z dostaniem się do dysku lokalnego E:\. Sytuacja miała miejsce tydzień temu. Grałem w grę, która jest zainstalowana na tym dysku i bez żadnych ostrzeżeń po prostu zresetował się komp. Po restarcie dysku nie można było już odczytać od tak bez żadnych wyskakujących błędów. Wykluczam jakiekolwiek uszkodzenia mechaniczne ponieważ stacja jest w jednym miejscu nie ma ruchu ma świetne chłodzenie etc. Próbowałem zrobić komendę chkdsk e: /f /r ale to nic nie dało, puściłem również antywira eset nod32 i nic.

 

Porównując końcowy efekt / typ błędu, wygląda iż partycja została uszkodzona. Prawdopodobnie system plików został przerobiony na RAW, sprawdź co widać we Właściwościach tego dysku. Dla takiego przypadku to już tylko program do odzyskiwania danych taki jak TestDisk.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Niewątpliwie, infekcja w MBR jest, widzą ją Kaspersky oraz MBRCheck.

 

1. Uruchom Kaspersky TDSSKiller ponownie, ale tym razem dla wyniku Rootkit.Win32.BackBoot.gen(\HardDisk0) przyznaj akcję Cure i zresetuj komputer. Przypominam: wynik ze sterownikiem SPTD jest do ominięcia i dla niego należy się Skip.

 

2. Po restarcie komputera czyszczenie pozostałych śladów infekcji. Otwórz Notatnik i wklej w nim:

 

Driver::
xcpip
xpsec
 
File::
c:\windows\system32\drivers\xpsec.sys
c:\windows\system32\drivers\xcpip.sys
 
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"=-
"65533:TCP"=-
"52344:TCP"=-
"6909:TCP"=-
"6910:TCP"=-
"2926:TCP"=-
"7739:TCP"=-
"2863:TCP"=-
"4161:TCP"=-
"8831:TCP"=-
"7081:TCP"=-
"5332:TCP"=-
"9164:TCP"=-
"9440:TCP"=-
"9441:TCP"=-
"4207:TCP"=-
"4050:TCP"=-
"4190:TCP"=-
"6847:TCP"=-
"5894:TCP"=-
"7629:TCP"=-
"4331:TCP"=-
"8487:TCP"=-
"9721:TCP"=-
"5095:TCP"=-
"2004:TCP"=-
"7565:TCP"=-

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

cfscript.gif

 

[Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach]

 

3. Prezentujesz: wyniki z ComboFix, nowy odczyt z TDSSKiller oraz zestaw logów z OTL.

 

 

Dokładnie pliki tej partycji przerobione zostały na RAW jak widać w załączony screenie.

 

Po ukończeniu akcji z usuwaniem rootkita MBR zajmiesz się próbą przywrócenia danych za pomocą TestDisk.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Widzę, że Kaspersky nie mógł wyczyścić kodu MBR w sposób polubowny i wymusił akcję przepisania MBR opcją Restore:

 

2011/04/22 17:11:57.0734 4000	\HardDisk0 - will be restored after reboot
2011/04/22 17:11:57.0734 4000	Rootkit.Win32.BackBoot.gen(\HardDisk0) - User select action: Restore

Czy zresetowałeś komputer? Zaprezentuj log pochodzący już z sytuacji po restarcie.

 

2. ComboFix nic nie wykonał. Działa w okrojonym stanie: "- TRYB ZREDUKOWANEJ FUNKCJONALNOŚCI -". Posługujesz się starszą wersją "ComboFix 11-04-13.03" (ComboFix przecież powinien poprosić Cię o aktualizację). Zostaw go już w spokoju. W zamian przeprowadź usuwanie via OTL. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
 
:Services
xcpip
xpsec
 
:OTL
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)

Klik w Wykonaj skrypt. Przedstaw log z usuwania.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Sprawa infekcji wygląda na pomyślnie rozwiązaną. Dla zamknięcia tego wątku:

 

1. Zmień wszystkie hasła logowania. Rootkity MBR przechwytują taki typ danych.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co również wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej polecenie:

 

"c:\documents and settings\TERMINATOR\Pulpit\combo\ComboFix.exe" /uninstall

 

3. W OTL wywołaj funkcję Sprzątanie.

 

4. Aktualizacja oprogramowania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 22
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.1 - Polish
"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)

Szczegóły aktualizacyjne rozpisane w tym temacie: INSTRUKCJE.

 

 

Pozostał wątek z uszkodzoną partycją. Przejdź do próby odzyskania plików z tej partycji.

 

 

 

.

Odnośnik do komentarza
hash89

hash89

Opublikowano
  • Autor
Opublikowano

Dobrze, wykonałem wszystkie zalecane czynności. Jeśli komputer jest już bez infekcji muszę zadbać o to aby ten stan pozostał. Będę częściej skanował dysk i niczego nie lekceważył.

 

A co do uszkodzonej partycji. Jak mam odzyskać utracone pliki? Jakim programem? Testdisk? Prosiłbym jeszcze o poprowadzenie mnie w tej sprawie.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)
A co do uszkodzonej partycji. Jak mam odzyskać utracone pliki? Jakim programem? Testdisk? Prosiłbym jeszcze o poprowadzenie mnie w tej sprawie.

 

Podałam program: TestDisk.

1. Instrukcje przywracania tablicy partycji: KLIK / KLIK

2. Instrukcje wyszukiwania plików: KLIK. Oczywiście odzyskiwanie plików nie może się odbywać na tę zdefektowaną partycję tylko inną sprawną.

 

 

.

Edytowane przez picasso
24.05.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...