Dziwne zachowanie skrzynki pocztowej - maile z pod fałszywej domeny

[kartotech]

Witam,

 

niby system działa poprawnie - aczkolwiek zdarzają się niewyjaśnione nieuruchomienia programów, przychodzą maile z fałszywej domeny (kontaktowałem się z administratorem owej domeny - zapewnia, że od niego te maile nie wychodzą).

Zdarzyło się też, że z naszej domeny wyszedł nieautoryzowany mail (choć niby żaden z komputerów sieci lokalnej nie wysyłał maila).

 

Na razie poddaje ocenie pierwszy komputer do oceny (jak na nim jest okej, to pewnie w całej sieci lan jest spokój).

 

System: Windows XP Professional SP3 x86.

Przy tworzeniu logów użytkownik z uprawnieniami administratora.

Komputer "odziedziczony" więc nie wiem czy były emulatory napędów SPTDeinstalator niczego nie wykazał, ale ręcznie wpisy w rejestrze znalazłem.

 

Na komputerze był uruchamiany ComboFix (na szczęście bez wielkich szkód prawdopodobnie...).

 

Wklejam podstawowe logi.

 

Z OTL wykasowałem linię dotyczącą strony startowej (strona do administrowania - po co to komu).

Z OTL wykasowałem linie dotyczące jednego z katalogów - nazwa katalogu chroniona ustawą o ochronie danych osobowych.

W ww. liniach nic nie było.

 

Dzięki za pomoc.

Gmer.txt

Extras.Txt

OTL.Txt

[picasso]

Na podstawie tych danych nie jestem w stanie określić pochodzenia zachowań poczty. Zwłaszcza, że to jest tylko jeden komputer jako część większego mechanizmu i źródło może być typowane błędnie. W raportach nie widzę nic skojarzonego z infekcją (zakładam, że Wake.bat w Autostarcie to administracyjna robota), choć ten folder jest dla mnie dziwny i niewiadomy:

 

[2009-03-20 14:09:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\dwxblJRTkSNLykjA

 

Na komputerze był uruchamiany ComboFix (na szczęście bez wielkich szkód prawdopodobnie...).

 

Rozumiem, że raport się nie uchował?

 

 

aczkolwiek zdarzają się niewyjaśnione nieuruchomienia programów

 

Na czym to polega?

 

 

Komputer "odziedziczony" więc nie wiem czy były emulatory napędów SPTDeinstalator niczego nie wykazał, ale ręcznie wpisy w rejestrze znalazłem.

 

Sterownik SPTD tu był, ale w stanie wyłączonym (czyli bez znaczenia dla sprawy):

 

DRV - [2010-01-29 10:13:16 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

 

 

.

[kartotech]

W raportach nie widzę nic skojarzonego z infekcją (zakładam, że Wake.bat w Autostarcie to administracyjna robota),

 

Tak, to moja robota.

 

choć ten folder jest dla mnie dziwny i niewiadomy:

 

[2009-03-20 14:09:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\dwxblJRTkSNLykjA

 

Nie znam pochodzenia tego folderu.

 

Rozumiem, że raport się nie uchował?

 

W załączniku.

 

 

 

Na czym to polega?

 

Np program od bramki voip na 10 uruchomień komputera - uruchomi się wraz z systemem 7 razy.

[picasso]

Np program od bramki voip na 10 uruchomień komputera - uruchomi się wraz z systemem 7 razy.

 

Mało mi to mówi. Czy to jest równoważne z tym, że nie tylko z "graficznego" punktu widzenia program nie startuje (brak ikony w zasobniku), ale również i jego proces nie istnieje w menedżerze zadań?

W każdym razie objaw nie jest wiążący i na tej podstawie nie mogę wnioskować infekcyjnych anomalii. Używasz też "np.", prócz Zoiper, co jeszcze szwankuje?

 

 

Nie znam pochodzenia tego folderu.

 

Sprawdź co w nim jest. Jeśli pusty, to zapewne można go usuwać.

 

 

W załączniku.

 

Nie widzę tu żadnego Załącznika.

 

 

 

 

.

[kartotech]

Mało mi to mówi. Czy to jest równoważne z tym, że nie tylko z "graficznego" punktu widzenia program nie startuje (brak ikony w zasobniku), ale również i jego proces nie istnieje w menedżerze zadań?

 

Proces też nie wstaje.

 

W każdym razie objaw nie jest wiążący i na tej podstawie nie mogę wnioskować infekcyjnych anomalii. Używasz też "np.", prócz Zoiper, co jeszcze szwankuje?

 

Hm... nie mogę sobie przypomnieć, które procesy jeszcze nie wstawały - ale były to na pewno procesy związane z aplikacjami doinstalowanymi, a nie z usługami systemowymi.

 

Sprawdź co w nim jest. Jeśli pusty, to zapewne można go usuwać.

 

Znajduje się tam plik:

PCGWIN32.LI5

Ukryty, tylko do odczytu.

Rozmiar: 12,6 KB (bajtów: 12 905)

 

Nie widzę tu żadnego Załącznika.

 

Moja wina - nie dodałem. A nie miałem dostępu do komputera w pracy wcześniej - dlatego dopiero odpisuję. Teraz powinien się załączyć.

ComboFix.txt

[picasso]

Przykro mi, nic z tych danych dla mnie nie wynika. Nie widzę żadnych wyraźnych powodów / adnotacji w logach jaka może być przyczyna niestartowania określonych aplikacji, infekcja tu nie jest w ogóle potwierdzona, a i mam wątpliwości czy źródłowy PC jest typowany poprawnie.

 

 

Proces też nie wstaje.

 

Przeszukaj jeszcze Dziennik zdarzeń, może w nim będzie określone ostrzeżenie czy błąd naprowadzające na trop.

 

 

Znajduje się tam plik:

PCGWIN32.LI5

 

To wygląda na plik zabezpieczenia PC Guard: KLIK. Z drugiej strony to występuje także w kontekście trojanów: KLIK. Choć tu mi się raczej wydaje, że pliki infekcji mogły być po prostu zabezpieczone tym komercyjnym programem.

 

 

Teraz powinien się załączyć.

 

ComboFix usuwał następujące elementy:

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\COM+.log
c:\windows\msmqinst.log
c:\windows\system32\Cache

 

Żaden z tych obiektów nie wygląda na rzeczywistą infekcję.

 

 

 

.

[kartotech]

W dzienniku żadnych niezwykłości...

 

Czyli komputer czysty - winda ma to do siebie, że czasem zachowuje się nieobliczalnie.

 

Dziękuję za pomoc i pozdrawiam.

 

Chciałbym jeszcze dać logi z domowego kompa - czy zakładać nowy wątek, czy wrzucić tutaj?

[picasso]

Chciałbym jeszcze dać logi z domowego kompa - czy zakładać nowy wątek, czy wrzucić tutaj?

 

Możesz dodać tutaj.

 

 

.

Edytowane 10 Grudnia 2011 przez picasso
10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso