kosa351 Opublikowano 10 Września 2011 Zgłoś Udostępnij Opublikowano 10 Września 2011 Cześć, tym razem coś poważniejszego. Jest netbook MSI Wind. Zainstalowany XP. Po odpaleniu systemu wyskakuje komunikat, brak miejsca na dysku C (systemowym). Oczywiście usuwanie czegokolwiek z partycji nic nie daje. Jako, że jest zero wolnego miejsca, nie jestem wstanie uruchomić żadnego programu. Próba podpięcia pendrive'a czy zewnętrznego napędu optycznego kończy się fiaskiem, ponieważ nie może zainstalować żadnego urządzenia z powodu braku wolnego miejsca. Próba wystartowania w trybie awaryjnym -> BSOD. Nie jestem wstanie odczytać, co powoduje ten stan ponieważ następuje szybki restart, a wyłączenie opcji "automatycznego" uruchamiania po błędzie" nie działa. Kolejna próba to start czegoś poza dyskiem czyli napędu lub pendrive'a. Tutaj zaczynają się schody. Nie jetem wstanie zabootować, bo próba wybrania startu z zew. urządzeń kończy się zawsze próbą wejścia do biosu, na które zostało nałożone hasło. Oczywiście nikt nie zakładał żadnego hasła. Finalnie trzeba będzie chyba wyjąć dysk. Jednak jest kilka ale. Po pierwsze jest to netbook czyli dysk jest sprytnie ukryty i trzeba będzie go rozkręcić, co chwilę zajmie, ale nie będzie z tym raczej problemu. Jednak, co z BIOSEM. Spróbuje go przywrócić do ustawień domyślnych poprzez wyjęcie baterii. Tylko jest pytanie czy układ nie został przeprogramowany i czy nie będzie konieczności wylutowania kości w celu zaprogramowania. Co o tym sądzicie? Odnośnik do komentarza
MatiK Opublikowano 11 Września 2011 Zgłoś Udostępnij Opublikowano 11 Września 2011 Na początek trzeba powiedzieć że jeżeli jest jeszcze gwarancja to lepiej z niej skorzystać bo rozkręcając netbooka do dysku można ją stracić. Wyjęcie bateryjki powinno tylko zresetować BIOS do ustawień fabrycznych (chyba że np kość BIOS-u jest uszkodzona fizycznie ale to raczej mało prawdopodobne) co umożliwi start z płyty jakiegoś LiveCD. W sumie były kiedyś wirusy które atakowały BIOS ale zrobiły się raczej mało popularne bo lepiej jest przejąć komputer (i np wysyłać spam) niż go popsuć. Sprawdź też sobie domyślne hasła do BIOS-u http://www.freelabs.com/~whitis/security/backdoor.html i oczywiscie sprawdź czy hasło nie jest puste (tzn bez wpisywania naciśnij enter) Najlepiej najpierw zrobić coś z BIOS-em i jeżeli się uda zabotować wrzucić logi z OTLPE. Odnośnik do komentarza
kosa351 Opublikowano 13 Września 2011 Autor Zgłoś Udostępnij Opublikowano 13 Września 2011 Hej, Od początku. Netbook jest po okresie gwarancyjnym. Rozebrałem. Dobrałem się do dysku oraz baterii podtrzymującej życie. Pierwsze, co to próba resetu Biosu. Odłączyłem baterie, odczekałem kilka chwil, podłączyłem i guzik, nadal woła o hasło. Poszperałem w sieci i jak się okazuje w tym modelu ustawienia Biosu przechowywane są w pamięci NVRAM czyli odcięcie zasilania nic nam nie daje. Pozostaje jedynie re-flash poprawnym biosem, bez hasła. Wyjąłem więc dysk. Podpiąłem jako dodatkowy dysk do laptopa w celu zobaczenia, co w na nim jest. Pierwsza rzec to uciekające miejsce na dysku C. Okazuje się, że jakiś ukryty w Program Files, soft o nazwie iSafe AllInOne Keylogger skrzętnie w katalogu /pic/log skrzętnie notuje nasze poczynania zapisując mnóstwo plików o nazwie np. 2011-09-07_1_ 1-27.49.zbin, Czyli coś inwigiluje od kwietnia tego roku (najstarszy plik). Sam katalog ważył 10GB. Dalsze oględziny. System rozrzucony na dwóch partycjach (Windows na C, na D dokumenty, pulpit i Bóg wie co jeszcze). Mnóstwo poukrywanych folderów. Skan Nortonem360. Okazuje się, że na partycji D znajduje się jakiś folder z Windowsem, który jest mocno zainfekowany Sality. Usunąłem to, co znalazł. Logi w załączniku. Wypiąłem dysk i z powrotem do netbooka. System uruchomił się normalnie. Miejsce nie ucieka. Szybka instalacja Aviry + MBAM. Puszczenie skanów i pousuwałem trochę dziadostwa. Następnie GMER. Czas na OTL. Uruchamiamy i zonk. Wystąpił problem z aplikacją OTL i zostanie ona zamknięta. Sygnatur błędu to: AppName: otl.exe AppVer. 3.2.28.0 ModName: kernel32.dll ModVer: 5.1.2600.5512 Offset: 00012aeb Ogólnie panuje tu niezły burdel. Nie ma tutaj bardzo ważnych danych i najlepiej byłoby chyba zrobić reinstalacje systemu, ale jest problem z bootowaniem i biosem. Gdy nie uda się nic wskórać to poszukam Biosu i przeflaszuję. PS. Temat powinien chyba wrócić do działu "Zakaźnego" skan_norton.txt gmer1.txt Odnośnik do komentarza
picasso Opublikowano 14 Września 2011 Zgłoś Udostępnij Opublikowano 14 Września 2011 PS. Temat powinien chyba wrócić do działu "Zakaźnego" Landuss przenosił temat jako "sprzętowy". Jeśli temat ma wrócić do działu Malware, to na czyszczenie z wiruchów, o BIOS powinno być w Hardware. Trudno mi teraz podzielić ten temat, by odseparować tematykę, zbiorczo go migruję pod nowym tytułem adekwatnym do działań infekcji. Czas na OTL. Uruchamiamy i zonk. Wystąpił problem z aplikacją OTL i zostanie ona zamknięta. Sygnatur błędu to:AppName: otl.exe AppVer. 3.2.28.0 ModName: kernel32.dll ModVer: 5.1.2600.5512 Offset: 00012aeb A tu nie wiem czy to problem z Twoim systemem. Otóż wyobraź sobie, że dziś na jednej z wirtualnych maszyn XP (żadnych infekcji) identyczna sprawa u mnie: OTL i OTS "muszą zostać zamknięte", a moduł przyczynowy to kernel32.dll.... W związku z tym, że maszynka była mi potrzebna do wewnętrznych testów, nie bawiłam się w żadne diagnozy i tylko odkręciłam cały rejestr do stanu fabrycznego, co pozwoliło mi uruchomić OTL. Gdybym wiedziała, że na forum wystąpi taki błąd, podręczyłabym to.... A tak to nawet się nie przyjrzałam czy przypadkiem jakaś łata z Windows Update nie zainstalowała się cichaczem. Podaj zastępczy log z DDS. Skan Nortonem360. Okazuje się, że na partycji D znajduje się jakiś folder z Windowsem, który jest mocno zainfekowany Sality. Wykrycie Sality wyjaśnia to: Próba wystartowania w trybie awaryjnym -> BSOD. Nie jestem wstanie odczytać, co powoduje ten stan ponieważ następuje szybki restart, a wyłączenie opcji "automatycznego" uruchamiania po błędzie" nie działa. Sality kasuje z rejestru Tryb awaryjny. Naprawa polega na rekonstrukcji klucza SafeBoot, paczka z importem rejestru do pobrania z tego tematu: KLIK. . Odnośnik do komentarza
kosa351 Opublikowano 15 Września 2011 Autor Zgłoś Udostępnij Opublikowano 15 Września 2011 Tryb awaryjny przywrócony. OTL w nim również nie startuje. W załączniku logi z DDS. dds.txt attach.txt Odnośnik do komentarza
picasso Opublikowano 15 Września 2011 Zgłoś Udostępnij Opublikowano 15 Września 2011 1. W DDS jest widoczny sterownik Sality: S3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\ptrmon.sys --> c:\windows\system32\drivers\ptrmon.sys [?] A to może oznaczać, że infekcja nie jest do końca wyeliminowana. Pod tym kątem podejmij następujące kroki: Zastosuj dedykowany SalityKiller. DDS nie podaje autoryzacji zapory, prewencyjnie (bo nie wiadomo co tam jest, a aktywność Sality zwykle ma objawy w autoryzacjach) zresetuj reguły firewalla systemowego. Start > Uruchom > cmd i wklep netsh firewall reset Opróżnij lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. 2. Poza tym, drobnica adware. Do deinstalacji pozycje: Conduit Engine i uTorrentBar Toolbar. 3. Podaj nowe logi z DDS oraz AD-Remover z opcji Scan. . Odnośnik do komentarza
kosa351 Opublikowano 15 Września 2011 Autor Zgłoś Udostępnij Opublikowano 15 Września 2011 SalityKiller nic nie znalazł. Firewall zresetowany. Netbook oczyszczony z tymczasowych plików. W załączniku logi. Ad-Report-SCAN1.txt dds.txt attach.txt Odnośnik do komentarza
picasso Opublikowano 15 Września 2011 Zgłoś Udostępnij Opublikowano 15 Września 2011 SalityKiller ubił sterownik, nie ma go już w raporcie. Pozostały śmieci adware. 1. Otwórz Notatnik i wklej w nim: rd /s /q "C:\Documents and Settings\Klaudia\Ustawienia lokalne\Dane aplikacji\Conduit" rd /s /q "C:\Documents and Settings\Klaudia\Ustawienia lokalne\Dane aplikacji\ConduitEngine" rd /s /q "C:\Documents and Settings\Klaudia\Ustawienia lokalne\Dane aplikacji\Gameztar Toolbar" reg delete "HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {CCC7A320-B3CA-4199-B1A6-9F516DD69829} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {CCC7A320-B3CA-4199-B1A6-9F516DD69829} /f reg delete "HKLM\Software\Microsoft\Internet Explorer\Toolbar" /v {CCC7A320-B3CA-4199-B1A6-9F516DD69829} /f reg delete "HKLM\Software\Microsoft\Internet Explorer\Toolbar" /v {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} /f reg delete "HKLM\Software\Microsoft\Internet Explorer\Toolbar" /v {30F9B915-B755-4826-820B-08FBA6BD249D} /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}" /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}" /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}" /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3ca2f312-6f6e-4b53-a66e-4e65e497c8c0}" /f reg delete "HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7C37FC7A-AE95-459B-8B7C-F4ED987A9567}" /f reg delete "HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8979AD30-8DE6-4ACE-89C6-8917212E37B3}" /f reg delete "HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D380AE03-647F-4ABE-9420-35518998BE16}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}" /f reg delete "HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings" /f reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar" /f reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine /f reg delete HKLM\Software\Classes\Conduit.Engine /f reg delete HKLM\Software\Classes\Toolbar.CT2786678 /f reg delete HKLM\Software\Conduit /f reg delete HKLM\Software\conduitEngine /f reg delete HKCU\Software\Conduit /f reg delete HKCU\Software\conduitEngine /f reg delete HKCU\Software\PriceGong /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako DEL.BAT > Uruchom ten plik 2. Wygeneruj nowy log z AD-Remover z opcji Scan. . Odnośnik do komentarza
kosa351 Opublikowano 15 Września 2011 Autor Zgłoś Udostępnij Opublikowano 15 Września 2011 Log w załączniku. Ad-Report-SCAN2.txt Odnośnik do komentarza
picasso Opublikowano 16 Września 2011 Zgłoś Udostępnij Opublikowano 16 Września 2011 Wszystko zostało wykonane. 1. Odinstaluj AD-Remover. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 3. Wykonaj aktualizacje: Windows 5.1.2600 Dodatek Service Pack 2 ==== Installed Programs ====================== Java 6 Update 27Mozilla Firefox (3.5.9) Wg raportu GMER system nie jest załatany. Obowiązkowo należy zainstalować Service Pack 3, a następnie z Windows Update uzupełnić wszystkie krytyczne aktualizacje wydane po SP3. Z wszystkich obecnych przeglądarek Lisek nie jest porządnie zaktualizowany: Firefox 6.0.2. Tak, widzę po spisie punktów Przywracania systemu, że Java była co dopiero aktualizowana, ale to nie jest najnowsza wersja. Najnowsza to Java SE 7 (JRE). Natomiast problemowi BIOS, o ile masz to zamiar ciągnąć, zadedykuj nowy temat w dziale sprzętowym, bo tu będziemy kluczykować. . Odnośnik do komentarza
kosa351 Opublikowano 16 Września 2011 Autor Zgłoś Udostępnij Opublikowano 16 Września 2011 Całość zaktualizowana. Dziękuje za pomoc. Odnośnie BIOSu to już we własnym zakresie przeflashuje i sądzę, że nie ma sensu ciągnąć i rozwijać już tego tematu. Odnośnik do komentarza
Rekomendowane odpowiedzi