Podejrzenie infekcji - volsnap.sys

[arekk]

Na tyle na ile mam widzę, coś siedzi, jedno to na pewno to:

C:\Windows\System32\rpcss.dll

Pliki oraz procesy które znam, i proszę nie brać ich pod uwagę:

C:\WINDOWS\svohost.exe
C:\WINDOWS\system32\winn\winn.exe

Dziękuje za wszelką pomoc.

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

[picasso]

Brak tu oznak infekcji.

 

 

Podejrzenie infekcji - volsnap.sys

Wyjaśnij o co Ci w ogóle chodzi.

 

 

Na tyle na ile mam widzę, coś siedzi, jedno to na pewno to:

 

C:\Windows\System32\rpcss.dll

Żle odczytujesz skan. Nie, tu nie ma infekcji pliku rpcss.dll.

 

 

Pliki oraz procesy które znam, i proszę nie brać ich pod uwagę:

 

C:\WINDOWS\svohost.exe

C:\WINDOWS\system32\winn\winn.exe

Czy poniższa usługa także należy do zestawu?

 

S3 RmcSvc; C:\Windows\System32\rmc.exe [74328 2011-07-07] ()

 

 

 

.

[arekk]

Dziękuje za zainteresowanie oraz pomoc...
 
O co dokłądnie chodzi to o takie zachowanie cytat z innego forum, tak samo było u mnie

"myszki robiącej co chce...i tak po dłuższym czasie działania zaczyna podkreślać np.kilka linii folderów na pulpicie,albo wszystkie dokumenty w danym folderze-konieczny".

 

[Edycja]

Użytkownik był wylogowany, a na ekranie było okno logowania, aby podać Usera i Hasła aż tu nagle myszka sama zaczęła jeździć i klikać...

Pierwsza myśl to infekcja, i zapewne to to jest to S3 RmcSvc; C:\Windows\System32\rmc.exe skoro zwróciło to twoją uwagę

Moja podejrzenie padło na ten plik ze względu na ten zapis z pliku FRST:
 

C:\Windows\System32\rpcss.dll
[2008-09-06 13:00] - [2009-02-09 11:53] - 0401408 ____A (Microsoft Corporation) a37311d9d628c1042a2836731787f0f3

 ATTENTION ======> If the system is having audio adware rpcss.dll is patched. Google the MD5, if the MD5 is unique the file is infected.

Co to S3 RmcSvc; C:\Windows\System32\rmc.exe [74328 2011-07-07] ()
Nic mi nie wiadomo na ten temat, nie należy do znancyh mi usług oraz aplikacji.

[picasso]

Moja podejrzenie padło na ten plik ze względu na ten zapis z pliku FRST

O tym właśnie mówię. Źle to interpretujesz. Przeczytaj co jest napisane na temat objawów (wyskakujące audio reklamy) i unikalnej sumy kontrolnej. Tu nie ma ani objawów, ani unikalnego MD5. FRST nie klasyfikuje tych sum jako "poprawne" tylko dlatego, że baza jest ograniczona i nie wlicza polonizowanego Windows XP. Teoretycznie powinnam zbierać te sumy MD5 i podsyłać autorowi, ale uznałam że nie ma sensu zapychać bazę FRST sumami kontrolnymi wymierającego archaicznego systemu i to w wersji lokalizowanej, gdyż każda wersja językowa XP może mieć inne sumy (czyli autor musiałby załączać wszystkie możliwe kombinacje), nie tak jak na systemach nowej generacji gdzie pliki są identyczne (to pliki MUI czynią różnicę). Ja sobie spokojnie radzę bez żadnych podpowiedzi FRST (pomoc dla mniej zaawansowanych analizujących).

 

 

O co dokłądnie chodzi to o takie zachowanie cytat z innego forum, tak samo było u mnie

 

"myszki robiącej co chce...i tak po dłuższym czasie działania zaczyna podkreślać np.kilka linii folderów na pulpicie,albo wszystkie dokumenty w danym folderze-konieczny"

Googlując tę wypowiedź wynika że opierasz się na prehistorycznym temacie z roku 2006, który ma się nijak do bieżących warunków infekcji. I pytam, kto wymyślił infekcję volsnap.sys (nie powiązana z objawami) i na jakiej podstawie, gdyż tam w temacie nie ma o tym ani słowa.

 

 

Co to S3 RmcSvc; C:\Windows\System32\rmc.exe [74328 2011-07-07] ()

Nic mi nie wiadomo na ten temat, nie należy do znancyh mi usług oraz aplikacji.

Plik ma bardzo stary znacznik czasu. Nie wiem do czego go podpasować.

 

 

.

[arekk]

O tym właśnie mówię. Źle to interpretujesz. Przeczytaj co jest napisane na temat objawów (wyskakujące audio reklamy) i unikalnej sumy kontrolnej. Tu nie ma ani objawów, ani unikalnego MD5. FRST nie klasyfikuje tych sum jako "poprawne" tylko dlatego, że baza jest ograniczona i nie wlicza polonizowanego Windows XP. Teoretycznie powinnam zbierać te sumy MD5 i podsyłać autorowi, ale uznałam że nie ma sensu zapychać bazę FRST sumami kontrolnymi wymierającego archaicznego systemu i to w wersji lokalizowanej, gdyż każda wersja językowa XP może mieć inne sumy (czyli autor musiałby załączać wszystkie możliwe kombinacje), nie tak jak na systemach nowej generacji gdzie pliki są identyczne (to pliki MUI czynią różnicę). Ja sobie spokojnie radzę bez żadnych podpowiedzi FRST (pomoc dla mniej zaawansowanych analizujących).

Dziękuje za objaśnienie, oraz przepraszam za niewiedzę...

 

 

Googlując tę wypowiedź wynika że opierasz się na prehistorycznym temacie z roku 2006, który ma się nijak do bieżących warunków infekcji. I pytam, kto wymyślił infekcję volsnap.sys (nie powiązana z objawami) i na jakiej podstawie, gdyż tam w temacie nie ma o tym ani słowa.

Dlatego poprawiłem swój temat dopisując cytat z innego forum, oraz opisując prostymi słowami co skłoniło mnie do przeskanowania oraz założenia tematu na forum które cenię za fachową pomoc.

 

 

Plik ma bardzo stary znacznik czasu. Nie wiem do czego go podpasować.

 

Czy mogą powiedzieć że w przesłanych plikach nie występują wpisy świadczące o tym aby system był zainfekowany?

[picasso]

Dlatego poprawiłem swój temat dopisując cytat z innego forum, oraz opisując prostymi słowami co skłoniło mnie do przeskanowania oraz założenia tematu na forum które cenię za fachową pomoc.

Ale nadal mi nie wyjaśniłeś skąd teoria z volsnap.sys. Takie coś w tytule tematu umieściłeś, a ja główkuję o co Ci chodzi, dlaczego ten sterownik jest wymieniany.

 

 

Czy mogą powiedzieć że w przesłanych plikach nie występują wpisy świadczące o tym aby system był zainfekowany?

Kwestię "RmcSvc" skomentowałam w drugim temacie: KLIK.

 

 

 

.