Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Prośba - przejrzenie logów, coś nie hallo...

covo

Przez covo
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

covo

covo

Opublikowano
Opublikowano

xpsp3;

prosze o rzucenie okiem na te oto dwa logi:

 

OTL.txt

http://wklej.eu/index.php?id=c2eb0e64c7

 

Extras.txt   

http://wklej.eu/index.php?id=ef0712764f

 

dodatkowo obrazek z aswMBR:

http://img31.otofotki.pl/wo553_capture_001_13032014_151241.png.html

 

Zdaje sie, ze wazne:

w autoruns permanentnie pojawiaja sie w HKLM-services wpisy-uslugi, nazwy losowe, np.:

awo2z0j, z info, ze dla uslugi -  "file not found", a file = awo2z0j.sys  i ten *.sys ma byc w TEMP; ale go nie ma.

Prawoklikiem  likwidacja wpisu w autoruns nie udaje sie -> info: "okreslona usluga nie istnieje jako zarejestrowana".

Ale prawoklikiem docieram z autoruns do tego wpisu w rejestrze i wykasowuje wpis o usludze, nastepnie odswiezenie autoruns i ... juz sa nowe uslugi ->  w tej chwili powstala jedna: memsweep2 i  jej plik -> file not found = 83.tmp.

 

(przed ta sytuacja bylo najprawdopodobniej rootkitowe zarazenie systemu, teoretycznie poradzil sobie z tym TDSKILLER..., uznajmy ten wpis jako meldunek z nowego frontu, opisow tamtej bitwy brak)

 

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

covo, nie jesteś tu od dziś na forum. Zasady działu mówią, że w skład obowiązkowych raportów wchodzą FRST i GMER. Tylko, że raporty z rootkit detekcji mają być wykonane po usunięciu emulatorów:

 

 

w autoruns permanentnie pojawiaja sie w HKLM-services wpisy-uslugi, nazwy losowe, np.:

awo2z0j, z info, ze dla uslugi - "file not found", a file = awo2z0j.sys i ten *.sys ma byc w TEMP; ale go nie ma.

Prawoklikiem likwidacja wpisu w autoruns nie udaje sie -> info: "okreslona usluga nie istnieje jako zarejestrowana".

vs.

 

========== Driver Services (SafeList) ==========
 

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (awo2z0j7)

DRV - [2014-03-10 01:13:43 | 000,320,120 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)
 

DRV - [2004-08-22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347prt.sys -- (d347prt)

DRV - [2004-08-22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347bus.sys -- (d347bus)

 

Masz zainstalowane i czynne aż dwa emulatory napędów wirtualnych Alcohol 120% + DAEMON Tools. Ta specyficzna losowa usługa, której nie można znaleźć, produkowana jest przez sterownik emulacji SPTD: KLIK. Te czynności na czerwono zakreślone w aswMBR są właśnie czynnościami emulatora SPTD.

 

 

Ale prawoklikiem docieram z autoruns do tego wpisu w rejestrze i wykasowuje wpis o usludze, nastepnie odswiezenie autoruns i ... juz sa nowe uslugi -> w tej chwili powstala jedna: memsweep2 i jej plik -> file not found = 83.tmp.

Usługa memsweep2 kierująca na losowo numerowany plik to usługa Sophos Anti-Rootkit.

 

Dodatkowe uwagi: stosowałeś przestarzałe rootkit detektory: Rootkit Revealer (program z 2006!) oraz RootRepeal (z 2009). Ich staroć wyklucza rzetelną analizę. Te programy do lamusa.

 

 

(przed ta sytuacja bylo najprawdopodobniej rootkitowe zarazenie systemu, teoretycznie poradzil sobie z tym TDSKILLER..., uznajmy ten wpis jako meldunek z nowego frontu, opisow tamtej bitwy brak)

Brak raportu z TDSSKiller, więc nie można ocenić co tam widziałeś. Proszę dodaj raporty TDSSKiller, o ile nadal masz je na dysku C:\. To trzeba sprawdzić, skoro tu za "rootkit" są brane czynności SPTD.

 

 

 

 

.

Odnośnik do komentarza
covo

covo

Opublikowano
  • Autor
Opublikowano (edytowane)

w skład obowiązkowych raportów wchodzą FRST i GMER

 

[.......]

Usługa memsweep2 kierująca na losowo numerowany plik to usługa Sophos Anti-Rootkit.

stosowałeś przestarzałe rootkit detektory: Rootkit Revealer (program z 2006!) oraz RootRepeal (z 2009). 

 

[.......]

Brak raportu z TDSSKiller, więc nie można ocenić co tam widziałeś. Proszę dodaj raporty TDSSKiller, o ile nadal masz je na dysku C:\.

Co do obowiazkowych raportow: gdzies tutaj widzialem namalowane, ze OTL & FRST,a nie - FRST i Gmer, co nie oznacza, ze te pierwsze dalem, to fakt, sorry  :)  A moze po prostu nie widze tej www, a warto,zeby byla, bo ktos inny bedzie slal OTL i FRST.

 

Revealer - no tak, jakos tak odruchowo zapuscilem... Wiem,ze staroc; moze nie do konca czuje, ze absolutnie nie ma sensu uzywac,ze nie wylapie niczego, czego by nie zlapal najnowszy soft rootkitowy.

 

A co do Sophos Anti-Rootkit - odpuscic sobie? (na przyszlosc)

 

Papierow z TDSSKiller - nic z tego, nie ma sladu.

 

 

OK, poprawiam wiec sprawe:

 

Wszelkie alcohole, deamony, dyski od nich wirtualne - odinstalowane; sterownik sptd - odinstalowany, a przy okazji: wpis w HKLM/.../services - wykasowany, innych wpisow sptd nie ruszalem.

(rozumiem, ze dla dzialania zakladanych potem dyskow wirtualnych, nalezy via SPTDinst zainstalowac ten sterownik)

 

Po powyzszych operacjach: aswMBR - nie daje juz zadnych czerwonych alarmow.

 

Logi:

 

FRST

http://wklej.eu/index.php?id=c809337d7a

 

Addition

http://wklej.eu/index.php?id=b387253159

 

Shortcut

http://wklej.eu/index.php?id=cbbbbc3d3b

 

GMER

http://wklej.eu/index.php?id=6b2e9f043d

 

btw:

teraz widze - po deinstalacji wirtualiow - ze zniknela w managerze urzadzen cala linia "kontrolery scsi...", miala dwie pod-linie - jakies dwa kontrolery (?), jeden z nich mial permanentnie zolty znak, manipulowalem nimi, odinstalowania, zainstalowania, wszystko zmierzalo do zwiazku z sptd.sys... - rozumiem, ze ta linia kontrolerowa to dotyczyla dyskow wirtualnych zalozonych z alcohola i daemona i ze fizycznie/realnie nie istnieja,  i ze pojawi sie, gdy zaloze wirtualia.

Tak jest? 

 

 

================================

 

                                                   dla potomnych: rozwiazanie dalsze jest takie:

 

w zasadzie nie ma nic groznego, ale skoro logi juz są, to wniosek taki: w notatniku wpisac to, co miedzy liniami:

 

---------------------------------------------------------

C:\WINDOWS\system32\5.tmp

C:\WINDOWS\system32\4.tmp

C:\WINDOWS\system32\3.tmp

C:\WINDOWS\system32\75.tmp

C:\WINDOWS\system32\74.tmp

C:\WINDOWS\system32\73.tmp

C:\WINDOWS\system32\72.tmp

C:\WINDOWS\system32\71.tmp

C:\WINDOWS\system32\70.tmp

C:\WINDOWS\system32\Drivers\rootrepeal.sys

C:\WINDOWS\system32\Agent.OMZ.Fix.exe

C:\WINDOWS\system32\IEDFix.C.exe

C:\WINDOWS\system32\VACFix.exe

C:\WINDOWS\system32\o4Patch.exe

C:\WINDOWS\system32\404Fix.exe

C:\WINDOWS\system32\IEDFix.exe

C:\WINDOWS\system32\VCCLSID.exe

 

Reboot:

--------------------------------------------------------------

 

- plik zapisac jako fixlist.txt i umieścic w katalogu z FRST i uruchomic FRST, i klik w Fix. 

Edytowane przez covo
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...