kartotech Opublikowano 25 Października 2011 Zgłoś Udostępnij Opublikowano 25 Października 2011 Witam, niby system działa poprawnie - aczkolwiek zdarzają się niewyjaśnione nieuruchomienia programów, przychodzą maile z fałszywej domeny (kontaktowałem się z administratorem owej domeny - zapewnia, że od niego te maile nie wychodzą). Zdarzyło się też, że z naszej domeny wyszedł nieautoryzowany mail (choć niby żaden z komputerów sieci lokalnej nie wysyłał maila). Na razie poddaje ocenie pierwszy komputer do oceny (jak na nim jest okej, to pewnie w całej sieci lan jest spokój). System: Windows XP Professional SP3 x86. Przy tworzeniu logów użytkownik z uprawnieniami administratora. Komputer "odziedziczony" więc nie wiem czy były emulatory napędów SPTDeinstalator niczego nie wykazał, ale ręcznie wpisy w rejestrze znalazłem. Na komputerze był uruchamiany ComboFix (na szczęście bez wielkich szkód prawdopodobnie...). Wklejam podstawowe logi. Z OTL wykasowałem linię dotyczącą strony startowej (strona do administrowania - po co to komu). Z OTL wykasowałem linie dotyczące jednego z katalogów - nazwa katalogu chroniona ustawą o ochronie danych osobowych. W ww. liniach nic nie było. Dzięki za pomoc. Gmer.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 25 Października 2011 Zgłoś Udostępnij Opublikowano 25 Października 2011 Na podstawie tych danych nie jestem w stanie określić pochodzenia zachowań poczty. Zwłaszcza, że to jest tylko jeden komputer jako część większego mechanizmu i źródło może być typowane błędnie. W raportach nie widzę nic skojarzonego z infekcją (zakładam, że Wake.bat w Autostarcie to administracyjna robota), choć ten folder jest dla mnie dziwny i niewiadomy: [2009-03-20 14:09:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\dwxblJRTkSNLykjA Cytat Na komputerze był uruchamiany ComboFix (na szczęście bez wielkich szkód prawdopodobnie...). Rozumiem, że raport się nie uchował? Cytat aczkolwiek zdarzają się niewyjaśnione nieuruchomienia programów Na czym to polega? Cytat Komputer "odziedziczony" więc nie wiem czy były emulatory napędów SPTDeinstalator niczego nie wykazał, ale ręcznie wpisy w rejestrze znalazłem. Sterownik SPTD tu był, ale w stanie wyłączonym (czyli bez znaczenia dla sprawy): DRV - [2010-01-29 10:13:16 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) . Odnośnik do komentarza
kartotech Opublikowano 26 Października 2011 Autor Zgłoś Udostępnij Opublikowano 26 Października 2011 W dniu 25.10.2011 o 22:44, picasso napisał(a): W raportach nie widzę nic skojarzonego z infekcją (zakładam, że Wake.bat w Autostarcie to administracyjna robota), Tak, to moja robota. W dniu 25.10.2011 o 22:44, picasso napisał(a): choć ten folder jest dla mnie dziwny i niewiadomy: [2009-03-20 14:09:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\dwxblJRTkSNLykjA Nie znam pochodzenia tego folderu. W dniu 25.10.2011 o 22:44, picasso napisał(a): Rozumiem, że raport się nie uchował? W załączniku. W dniu 25.10.2011 o 22:44, picasso napisał(a): Na czym to polega? Np program od bramki voip na 10 uruchomień komputera - uruchomi się wraz z systemem 7 razy. Odnośnik do komentarza
picasso Opublikowano 26 Października 2011 Zgłoś Udostępnij Opublikowano 26 Października 2011 Cytat Np program od bramki voip na 10 uruchomień komputera - uruchomi się wraz z systemem 7 razy. Mało mi to mówi. Czy to jest równoważne z tym, że nie tylko z "graficznego" punktu widzenia program nie startuje (brak ikony w zasobniku), ale również i jego proces nie istnieje w menedżerze zadań? W każdym razie objaw nie jest wiążący i na tej podstawie nie mogę wnioskować infekcyjnych anomalii. Używasz też "np.", prócz Zoiper, co jeszcze szwankuje? Cytat Nie znam pochodzenia tego folderu. Sprawdź co w nim jest. Jeśli pusty, to zapewne można go usuwać. Cytat W załączniku. Nie widzę tu żadnego Załącznika. . Odnośnik do komentarza
kartotech Opublikowano 28 Października 2011 Autor Zgłoś Udostępnij Opublikowano 28 Października 2011 W dniu 26.10.2011 o 20:12, picasso napisał(a): Mało mi to mówi. Czy to jest równoważne z tym, że nie tylko z "graficznego" punktu widzenia program nie startuje (brak ikony w zasobniku), ale również i jego proces nie istnieje w menedżerze zadań? Proces też nie wstaje. W dniu 26.10.2011 o 20:12, picasso napisał(a): W każdym razie objaw nie jest wiążący i na tej podstawie nie mogę wnioskować infekcyjnych anomalii. Używasz też "np.", prócz Zoiper, co jeszcze szwankuje? Hm... nie mogę sobie przypomnieć, które procesy jeszcze nie wstawały - ale były to na pewno procesy związane z aplikacjami doinstalowanymi, a nie z usługami systemowymi. W dniu 26.10.2011 o 20:12, picasso napisał(a): Sprawdź co w nim jest. Jeśli pusty, to zapewne można go usuwać. Znajduje się tam plik: PCGWIN32.LI5 Ukryty, tylko do odczytu. Rozmiar: 12,6 KB (bajtów: 12 905) W dniu 26.10.2011 o 20:12, picasso napisał(a): Nie widzę tu żadnego Załącznika. Moja wina - nie dodałem. A nie miałem dostępu do komputera w pracy wcześniej - dlatego dopiero odpisuję. Teraz powinien się załączyć. ComboFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 30 Października 2011 Zgłoś Udostępnij Opublikowano 30 Października 2011 Przykro mi, nic z tych danych dla mnie nie wynika. Nie widzę żadnych wyraźnych powodów / adnotacji w logach jaka może być przyczyna niestartowania określonych aplikacji, infekcja tu nie jest w ogóle potwierdzona, a i mam wątpliwości czy źródłowy PC jest typowany poprawnie. Cytat Proces też nie wstaje. Przeszukaj jeszcze Dziennik zdarzeń, może w nim będzie określone ostrzeżenie czy błąd naprowadzające na trop. Cytat Znajduje się tam plik:PCGWIN32.LI5 To wygląda na plik zabezpieczenia PC Guard: KLIK. Z drugiej strony to występuje także w kontekście trojanów: KLIK. Choć tu mi się raczej wydaje, że pliki infekcji mogły być po prostu zabezpieczone tym komercyjnym programem. Cytat Teraz powinien się załączyć. ComboFix usuwał następujące elementy: ((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))..c:\windows\COM+.logc:\windows\msmqinst.logc:\windows\system32\Cache Żaden z tych obiektów nie wygląda na rzeczywistą infekcję. . Odnośnik do komentarza
kartotech Opublikowano 4 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 4 Listopada 2011 W dzienniku żadnych niezwykłości... Czyli komputer czysty - winda ma to do siebie, że czasem zachowuje się nieobliczalnie. Dziękuję za pomoc i pozdrawiam. Chciałbym jeszcze dać logi z domowego kompa - czy zakładać nowy wątek, czy wrzucić tutaj? Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2011 Zgłoś Udostępnij Opublikowano 5 Listopada 2011 (edytowane) Cytat Chciałbym jeszcze dać logi z domowego kompa - czy zakładać nowy wątek, czy wrzucić tutaj? Możesz dodać tutaj. . Edytowane 10 Grudnia 2011 przez picasso 10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi