Papajo Opublikowano 30 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 30 Kwietnia 2013 Witam. Od kilku dni przy starcie systemu tworzy mi się samo konto użytkownika "Ynzwykhxgv". Nawet jeśli usuwam je razem z plikami to przy następnym uruchomieniu pojawia się one znowu. Skanowałem system aktualnym antywirusem ESET Smart Security i nic nie wykrył. Czy to może być jakiś wirus? Jeśli tak to jak go usunąć? Log z Defoggera: defogger_disable by jpshortstuff (23.02.10.1) Log created at 20:27 on 30/04/2013 (Patryk) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. HKCU:DAEMON Tools Lite -> Removed Checking for services/drivers... -=E.O.F=- Log OTL.txt, extras.txt i GMER.txt w załącznikach. Dziękuję z góry za pomoc. gmer.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Maja 2013 Zgłoś Udostępnij Opublikowano 1 Maja 2013 Na razie nie widzę oczywistych śladów infekcji. Uściślij, bo to nie to samo: konto czy folder w C:\Users? Gdzie to sprawdzasz, podaj dokładne szczegóły. Dodaj spis kont wygenerowany za pomocą sid.vbs: KLIK (punkt 3). . Odnośnik do komentarza
Papajo Opublikowano 1 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 1 Maja 2013 Tworzy się samo konto użytkownika bez folderu w c:/users. Jak wchodzę w ten katalog to nie ma nic dla konta ynzwykhxgv. Log sid.vbs: ******************************************************************************** Lista kont, identyfikatorów SID i ścieżek dostępu. ******************************************************************************** Nazwa użytkownika : Administrator SID : S-1-5-21-861608738-3377184083-1483875185-500 Katalog profilu : Nazwa użytkownika : Gość SID : S-1-5-21-861608738-3377184083-1483875185-501 Katalog profilu : Nazwa użytkownika : Patryk SID : S-1-5-21-861608738-3377184083-1483875185-1000 Katalog profilu : C:\Users\Patryk Nazwa użytkownika : Piotr SID : S-1-5-21-861608738-3377184083-1483875185-1004 Katalog profilu : C:\Users\Piotr Nazwa użytkownika : UpdatusUser SID : S-1-5-21-861608738-3377184083-1483875185-1001 Katalog profilu : C:\Users\UpdatusUser Nazwa użytkownika : ynzwykhxgv SID : S-1-5-21-861608738-3377184083-1483875185-1007 Katalog profilu : ******************************************************************************** Odnośnik do komentarza
picasso Opublikowano 1 Maja 2013 Zgłoś Udostępnij Opublikowano 1 Maja 2013 Rzeczywiście, to konto "połowiczne", czyli SID konta zarejestrowany, lecz brak jakiegokolwiek katalogu wyasygnowanego do konta. Skasuj to konto ponownie. Następnie nagraj mi log z Process Monitor (opis w punkcie 4) co się dzieje podczas restartu systemu. . Odnośnik do komentarza
Papajo Opublikowano 1 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 1 Maja 2013 Tym razem przy usuwaniu konta pojawił się komunikat 'Nie można usunąć konta, które jest aktualnie używane', ale konto się usunęło. Po restarcie pojawiło się znowu. Logi z Process Monitor: http://speedy.sh/4AVyf/logi-PML.zip Odnośnik do komentarza
picasso Opublikowano 2 Maja 2013 Zgłoś Udostępnij Opublikowano 2 Maja 2013 1. Z nagrań Process Monitor nic nie wynika. Tylko tyle widać, że jest tworzony także plik C:\Users\Patryk\AppData\Local\Temp\ynzwykhxgv.bmp: 11:47:37.6844265 PM lsass.exe 780 RegOpenKey HKLM\SAM\SAM\DOMAINS\Account\Groups\Names\ynzwykhxgv NAME NOT FOUND Desired Access: Read 11:47:37.6844409 PM lsass.exe 780 RegOpenKey HKLM\SAM\SAM\DOMAINS\Account\Aliases\Names\ynzwykhxgv NAME NOT FOUND Desired Access: Read 11:47:37.6844532 PM lsass.exe 780 RegOpenKey HKLM\SAM\SAM\DOMAINS\Account\Users\Names\ynzwykhxgv SUCCESS Desired Access: Read 11:47:37.6844647 PM lsass.exe 780 RegQueryValue HKLM\SAM\SAM\DOMAINS\Account\Users\Names\ynzwykhxgv\(Default) SUCCESS Type: <Unknown: 1008>, Length: 0 11:47:37.6844749 PM lsass.exe 780 RegCloseKey HKLM\SAM\SAM\DOMAINS\Account\Users\Names\ynzwykhxgv SUCCESS 11:47:37.6853485 PM DllHost.exe 3544 CreateFile C:\Users\Patryk\AppData\Local\Temp\ynzwykhxgv.bmp SUCCESS Desired Access: Write Data/Add File, Read Attributes, Synchronize, Disposition: OverwriteIf, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: N, ShareMode: None, AllocationSize: 0, OpenResult: Overwritten 11:47:37.7457472 PM DllHost.exe 3544 WriteFile C:\Users\Patryk\AppData\Local\Temp\ynzwykhxgv.bmp SUCCESS Offset: 0, Length: 49,208, Priority: Normal 11:47:37.7458428 PM DllHost.exe 3544 CloseFile C:\Users\Patryk\AppData\Local\Temp\ynzwykhxgv.bmp SUCCESS 11:47:37.7462115 PM Explorer.EXE 2168 CreateFile C:\Users\Patryk\AppData\Local\Temp\ynzwykhxgv.bmp SUCCESS Desired Access: Read Attributes, Disposition: Open, Options: Open Reparse Point, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened 11:47:37.7462534 PM Explorer.EXE 2168 QueryBasicInformationFile C:\Users\Patryk\AppData\Local\Temp\ynzwykhxgv.bmp SUCCESS CreationTime: 4/28/2013 11:58:51 AM, LastAccessTime: 4/28/2013 11:58:51 AM, LastWriteTime: 5/1/2013 11:47:37 PM, ChangeTime: 5/1/2013 11:47:37 PM, FileAttributes: ANCI 11:47:37.7462743 PM Explorer.EXE 2168 CloseFile C:\Users\Patryk\AppData\Local\Temp\ynzwykhxgv.bmp SUCCESS 11:47:37.7464143 PM Explorer.EXE 2168 CreateFile C:\Users\Patryk\AppData\Local\Temp\ynzwykhxgv.bmp SUCCESS Desired Access: Generic Read, Disposition: Open, Options: Synchronous IO Non-Alert, Non-Directory File, Attributes: n/a, ShareMode: Read, AllocationSize: n/a, OpenResult: Opened 11:47:37.7464796 PM Explorer.EXE 2168 CreateFileMapping C:\Users\Patryk\AppData\Local\Temp\ynzwykhxgv.bmp FILE LOCKED WITH ONLY READERS SyncType: SyncTypeCreateSection, PageProtection: 11:47:37.7464972 PM Explorer.EXE 2168 QueryStandardInformationFile C:\Users\Patryk\AppData\Local\Temp\ynzwykhxgv.bmp SUCCESS AllocationSize: 53,248, EndOfFile: 49,208, NumberOfLinks: 1, DeletePending: False, Directory: False 11:47:37.7465296 PM Explorer.EXE 2168 CreateFileMapping C:\Users\Patryk\AppData\Local\Temp\ynzwykhxgv.bmp SUCCESS SyncType: SyncTypeOther 11:47:37.7465650 PM Explorer.EXE 2168 QueryStandardInformationFile C:\Users\Patryk\AppData\Local\Temp\ynzwykhxgv.bmp SUCCESS AllocationSize: 53,248, EndOfFile: 49,208, NumberOfLinks: 1, DeletePending: False, Directory: False 11:47:37.7466696 PM Explorer.EXE 2168 CloseFile C:\Users\Patryk\AppData\Local\Temp\ynzwykhxgv.bmp SUCCESS 11:47:37.7469155 PM lsass.exe 780 RegOpenKey HKLM\SAM\SAM\DOMAINS\Account\Users\Names\ynzwykhxgv SUCCESS Desired Access: Read 11:47:37.7469463 PM lsass.exe 780 RegQueryValue HKLM\SAM\SAM\DOMAINS\Account\Users\Names\ynzwykhxgv\(Default) SUCCESS Type: <Unknown: 1008>, Length: 0 11:47:37.7469636 PM lsass.exe 780 RegCloseKey HKLM\SAM\SAM\DOMAINS\Account\Users\Names\ynzwykhxgv SUCCESS Wejdź do ścieżki C:\Users\Patryk\AppData\Local\Temp i skopiuj ten plik (o ile on tam nadal jest), zapakuj do ZIP, shostuj gdzieś i na PW wyślij mi. 2. Temat utworzyłeś 30 kwietnia, a wg Ciebie zjawisko występuje "od kilku dni". Mało to precyzyjne. Nic ściślejszego? Patrząc co instalowałeś ostatnio: ========== Files/Folders - Created Within 30 Days ==========[2013-04-24 18:57:23 | 000,000,000 | ---D | C] -- C:\Users\Patryk\Documents\Nuhertz[2013-04-24 18:57:23 | 000,000,000 | ---D | C] -- C:\Users\Patryk\AppData\Local\Nuhertz[2013-04-24 18:56:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Filter Free 2013[2013-04-24 18:56:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Nuhertz Technologies[2013-04-23 20:48:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MathSoft Apps[2013-04-23 20:48:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\MathSoft[2013-04-23 20:13:50 | 000,000,000 | ---D | C] -- C:\PF[2013-04-23 00:34:49 | 000,000,000 | ---D | C] -- C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flux[2013-04-23 00:34:46 | 000,000,000 | ---D | C] -- C:\Users\Patryk\Local Settings[2013-04-22 23:20:44 | 000,000,000 | ---D | C] -- C:\Users\Patryk\AppData\Roaming\ESET[2013-04-22 23:20:44 | 000,000,000 | ---D | C] -- C:\Users\Patryk\AppData\Local\ESET[2013-04-22 23:16:41 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET[2013-04-22 23:16:40 | 000,000,000 | ---D | C] -- C:\ProgramData\ESET[2013-04-22 23:16:40 | 000,000,000 | ---D | C] -- C:\Program Files\ESET[2013-04-22 19:32:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PSpice Student[2013-04-22 19:32:22 | 001,037,312 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msjet35.dll[2013-04-22 19:32:22 | 000,565,760 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\MSVCP50.DLL[2013-04-22 19:32:22 | 000,368,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\vbar332.dll[2013-04-22 19:32:22 | 000,251,664 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msrd2x35.dll[2013-04-22 19:32:22 | 000,200,704 | ---- | C] (Sheridan Software Systems, Inc.) -- C:\Windows\SysWow64\THREED32.OCX[2013-04-22 19:32:22 | 000,121,104 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msjint35.dll[2013-04-22 19:32:22 | 000,105,984 | ---- | C] (Seagate Software Information Management Group, Inc.) -- C:\Windows\SysWow64\p2bdao.dll[2013-04-22 19:32:22 | 000,064,000 | ---- | C] (Seagate Software Information Management Group, Inc.) -- C:\Windows\SysWow64\p2irdao.dll[2013-04-22 19:32:22 | 000,054,272 | ---- | C] (Seagate Software Information Management Group, Inc.) -- C:\Windows\SysWow64\p2ctdao.dll[2013-04-22 19:32:22 | 000,024,336 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\msjter35.dll[2013-04-22 19:32:21 | 003,572,224 | ---- | C] (Seagate Software Information Management Group, Inc.) -- C:\Windows\SysWow64\crpe32.dll[2013-04-22 19:32:21 | 000,416,768 | ---- | C] (Seagate Software) -- C:\Windows\SysWow64\cpeaut32.dll[2013-04-22 19:32:21 | 000,192,512 | ---- | C] (LEAD Technologies, Inc.) -- C:\Windows\SysWow64\ltkrn60n.dll[2013-04-22 19:32:21 | 000,183,296 | ---- | C] (Seagate Software, Information Management Group, Inc.) -- C:\Windows\SysWow64\crpaig32.dll[2013-04-22 19:32:21 | 000,000,000 | ---D | C] -- C:\Windows\Crystal[2013-04-22 19:31:48 | 000,306,688 | ---- | C] (InstallShield Software Corporation) -- C:\Windows\IsUninst.exe[2013-04-17 17:18:07 | 000,000,000 | ---D | C] -- C:\Users\Patryk\Desktop\Tymczasowa organizacja ruchu z zastosowaniem sygnalizacji wahadłowej [1] – BWIR_files[2013-04-13 18:34:32 | 000,000,000 | ---D | C] -- C:\Users\Patryk\Documents\National Instruments[2013-04-13 18:34:31 | 000,000,000 | ---D | C] -- C:\Users\Patryk\AppData\Roaming\National Instruments[2013-04-13 18:27:18 | 000,000,000 | ---D | C] -- C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HI-TECH Software[2013-04-13 18:27:18 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\HI-TECH Software[2013-04-13 18:25:24 | 000,000,000 | ---D | C] -- C:\Users\Public\Documents\National Instruments[2013-04-13 18:25:12 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\National Instruments[2013-04-13 18:23:54 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\cvirte ... w kontekście tego co się uruchamia przy starcie, to się zastanawiam czy to nie jest powiązane z niedawną instalacją National Instruments: ========== Services (SafeList) ========== SRV - [2010-05-17 18:18:44 | 001,007,616 | ---- | M] (Macrovision Corporation) [Disabled | Stopped] -- C:\Program Files (x86)\National Instruments\Shared\License Manager\Bin\lmgrd.exe -- (NILM License Manager)SRV - [2010-03-10 10:17:10 | 000,358,448 | ---- | M] (National Instruments Corporation) [Auto | Running] -- C:\Program Files (x86)\National Instruments\Shared\Security\nidmsrv.exe -- (NIDomainService)SRV - [2010-03-10 10:17:04 | 000,053,808 | ---- | M] (National Instruments Corporation) [Auto | Running] -- C:\Windows\SysWOW64\lktsrv.exe -- (lkTimeSync)SRV - [2010-03-10 10:17:02 | 000,043,056 | ---- | M] (National Instruments Corporation) [Auto | Running] -- C:\Windows\SysWOW64\lkads.exe -- (lkClassAds)SRV - [2009-10-20 10:00:22 | 000,013,896 | ---- | M] (National Instruments Corporation) [Auto | Running] -- C:\Windows\SysWOW64\nisvcloc.exe -- (niSvcLoc)SRV - [2009-09-29 12:56:52 | 000,695,136 | ---- | M] (National Instruments, Inc.) [Auto | Running] -- C:\Windows\SysWOW64\lkcitdl.exe -- (LkCitadelServer)O4 - HKLM..\Run: [NI Background Service] C:\Program Files (x86)\National Instruments\Shared\Update Service\niupdate.exe (National Instruments) Zrób test. W Autoruns w kartach Services + Logon odfajkuj wszystkie komponenty National Instruments i zresetuj system, by je zatrzymać na dobre. Usuń konto. Zresetuj system ponownie. Podaj wyniki czy konto się pojawiło.. Odnośnik do komentarza
Papajo Opublikowano 2 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2013 1. Plik nadal istnieje i wysłałem go na PW. 2. Patrząc na to co instalowałem to na pewno było to później niż instalacja ESETa, więc po 22 kwietnia. A po wyłączeniu wszystkiego od National Instruments i zrobieniu wszystkiego co zostało polecone konto nadal się tworzy. Odnośnik do komentarza
Papajo Opublikowano 2 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2013 Problem rozwiązany, to funkcja ESET Anti-Theft tworzyła to konto. Dzięki wielkie za poświęcony czas na próbę rozwiązania problemu Odnośnik do komentarza
Rekomendowane odpowiedzi