Znikające z dysku pliki.

[Andziorka]

Witam,

bratu nagle zaczęły znikać pliki z dysku. Ma Windowsa XP, SP3.

Gdzieś przeczytałam, że to może być wirus. Proszę o sprawdzenie logów.

 

Log z OTL: http://wklej.org/id/368760/txt/

Log Extras: http://wklej.org/id/368759/txt/

[picasso]

Zabrakło GMERa. W podanych nie widzę nic niepokojącego. Zaś wykrywanie infekcji wirusowej w plikach to tylko przez skanery automatyczne, na logach nie można bazować (w logach mogą być tylko pośrednie znaki hurtowej modyfikacji plików systemowych czy tożsamy rozmiar różnogatunkowych plików = czego tu nie widać).

 

bratu nagle zaczęły znikać pliki z dysku

 

Jakie rodzaje plików, z jakich ścieżek i czym on to sprawdza (Windows Explorer / Total Commander / ...)?

 

 

 

.

[Andziorka]

Gmera póki co niestety nie mogę dać, ponieważ przeglądarka przestała mu się odpalać i nie może ściągnąć. :/ I gadu gadu też się nie odpala, w sumie wszystko mu się psuje i zawiesza.

Powiedział, że poginęły mu instalatory, dużo plików typu: zip, dll, exe. I powiedział, że zaczęło się od tego, że uruchomił Total Commandera i pojawił się błąd, że nie ma plików i jak zajrzał do katalogu to faktycznie ich już tam nie było.

[picasso]

I powiedział, że zaczęło się od tego, że uruchomił Total Commandera i pojawił się błąd, że nie ma plików i jak zajrzał do katalogu to faktycznie ich już tam nie było.

 

To zdarzenie nasuwa raczej skojarzenia, że to z Total Commander jest coś nie w porządku i być może to ten program jest odpowiedzialny za wyzerowanie zawartości (w końcu to menedżer plików). Na którym katalogu się otwierał TC? Czy ten Total Commander był z pewnego źródła? Widzę w raporcie zapisek świadczący o tym, że kombinowano ze źródłami "witaminizowanymi":

 

O4 - HKU\S-1-5-21-299502267-1614895754-1801674531-1004..\Run: [Total CMA Pack] D:\instalki\progzy\!!! Narządy\totalcmd\Total CMA Pack.exe (CMA®)

 

Wyszukałam także na Google log z MBAM, który zaklasyfikował ten zapis jako "Rootkit.Agent" (KLIK). Aczkolwiek nie wiem co o tym sądzić.

 

Niech sprawdzi, czy startując do Trybu awaryjnego na serwisowe konto Administrator da się przeprowadzić jakieś operacje typu Przywracanie systemu do daty sprzed uruchomienia TC i skanowanie.

 

 

 

.

[Andziorka]

Brat powiedział, że Total Commandera miał już dużo wcześniej, ale faktycznie problemem chyba była ta jego wspaniała 'witaminka' - powiedziałam, żeby to skasował. Po uruchomieniu komputera ponownie działał firefox i gadu gadu, komputer się jeszcze przycina, ale będzie można przeprowadzić skan dr web cureit + wykonać loga z Gmera tak myślę i będę prosiła o sprawdzenie. Systemu niestety nie może przywrócić, ponieważ wyłączył tą funkcję, na nieszczęście.

Edit:

Gmer się ciągle zawiesza w trybie awaryjnym także, zatem zamienny log z SysProt AnitRootkit: http://wklej.org/id/368973/

[picasso]

Andziorka GMER się zapewne wiesza dlatego, bo nie zdjęto wcale emulacji wirtuali. Widziałam to w OTL (czynny SPTD w usługach). Widzę to teraz i w SysProcie po hookach losowych sterowników. Podstawą dla wykonania prawidłowego nie ściemnionego raportu jest zdjęcie tych hooków.

[Andziorka]

Przepraszam brat zapomniał wyłączyć, teraz powinno być ok: http://wklej.org/id/368994/ (Gmer powoduje BSOD-a i się zawiesza, więc log z SysProt)

[picasso]

1. Nie widzę nic w SysProt Rootkit. Może dodaj jeszcze jeden log ogólny z OTS z wszystkimi opcjami dodatkowymi zaptaszkowanymi, będzie więcej miejsc do oglądania. I co mówią skanery takie jak MBAM, Dr. Web CureIt?

 

2. W kwestii usuniętych plików, ewentualnie można się zastanawiać czy nie próbować odzyskać ich jakimś programem do wyciągania danych.

[Andziorka]

1. OTS: http://wklej.org/id/369406/txt/ a Dr. Web Cureit usunął dwa pliki, ale nie wiem jakie, bo loga brat nie zapisał. Jednak komputer odzyskał sprawność po usunięciu witaminki od TC i usunięciu tych plików.

2. Już brat co nieco odzyskał.

[picasso]

Przepraszam za opóźnienie. Przeanalizowałam log z OTS i nie widzę tam nic nasuwającego skojarzenia z infekcją i tymi odpadkami po witaminizowaniu Total Commander. Tylko ten folder mnie zastanawia, widuję takie alfanumeryczne w Danych aplikacji i nie wiem co w nich jest ani od czego pochodzą, popatrz do środka:

 

1C -> C:\Documents and Settings\JackaL\Ustawienia lokalne\Dane aplikacji\1C -> [2010-07-25 11:37:47 | 000,000,000 | ---D | C]

 

Skoro skanery automatyczne poradziły sobie, pozostaje po prostu finalizacja:

 

1. W zakresie sprzątającym: Przywracanie systemu jest wyłączone, toteż tradycyjne instrukcje zerujące nie aplikują się tutaj. Za to można przeczyścić wszystkie lokalizacje tymczasowe via TFC - Temp Cleaner. OTS zresztą notuje różne luźne pliki takiej kategorii tu i ówdzie.

 

2. W zakresie aktualizacyjnym:

 

----> Nie widzę w spisie dokładnej wersji aplikacji zabezpieczających, ale datowanie niektórych komponentów dalekie, np. sterowniki Kerio z roku 2006. Co to za wersje?

 

[Win32 Services - Safe List]
(KPF4) Sunbelt Kerio Personal Firewall 4 [Auto | Running] -> C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe -> [2010-04-17 11:26:12 | 001,205,784 | ---- | M] (Sunbelt Software)
(EhttpSrv) ESET HTTP Server [On_Demand | Stopped] -> C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe -> [2009-09-29 13:11:10 | 000,020,680 | ---- | M] (ESET)
(ekrn) ESET Service [Auto | Running] -> C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe -> [2009-09-29 13:03:46 | 000,735,960 | ---- | M] (ESET)
 
[Driver Services - Safe List]
(epfwtdir) epfwtdir [Kernel | System | Running] -> C:\WINDOWS\system32\drivers\epfwtdir.sys -> [2009-09-29 13:05:54 | 000,096,408 | ---- | M] (ESET)
(ehdrv) ehdrv [Kernel | System | Running] -> C:\WINDOWS\system32\drivers\ehdrv.sys -> [2009-09-29 13:02:58 | 000,108,792 | ---- | M] (ESET)
(eamon) eamon [File_System | Auto | Running] -> C:\WINDOWS\system32\drivers\eamon.sys -> [2009-09-29 12:56:32 | 000,116,008 | ---- | M] (ESET)
(khips) Kerio HIPS Driver [Kernel | System | Running] -> C:\WINDOWS\system32\drivers\khips.sys -> [2006-07-18 12:02:52 | 000,091,672 | ---- | M] (Sunbelt Software)
(fwdrv) Firewall Driver [Kernel | System | Running] -> C:\WINDOWS\system32\drivers\fwdrv.sys -> [2006-07-18 12:02:50 | 000,284,184 | ---- | M] (Sunbelt Software)

 

----> Wtyczki przeglądarek powinny zostać zaktualizowane do najnowszych wersji (INSTRUKCJE):

 

 -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ -> 
{26A24AE4-039D-4CA4-87B4-2F83216014FF} -> Java™ 6 Update 14
Adobe Flash Player ActiveX -> Adobe Flash Player 10 ActiveX
Adobe Flash Player Plugin -> Adobe Flash Player 10 Plugin

 

*************************************

 

Jeszcze mam pytanie na koniec, czy to nie jest jakaś modyfikowana wersja Windows, bo widzę brak pliku Usługi bramy warstwy aplikacji:

 

[Win32 Services - Safe List]
(ALG) Usługa bramy warstwy aplikacji [On_Demand | Stopped] -> C:\WINDOWS\System32\alg.exe -> File not found
 
-----------------------------------
 
System [ Error ] 2010-07-26 14:07:14 Computer Name = MX8PC | Source = Service Control Manager | ID = 7000 
-> Description = Nie można uruchomić usługi Usługa bramy warstwy aplikacji z powodu następującego błędu:   %%2

 

Do wyboru: uzupełnić plik ekstraktując brakujący z płyty CD XP lub na trwałe wyłączyć usługę alg w services.msc.

 

 

.

[Andziorka]

1C -> C:\Documents and Settings\JackaL\Ustawienia lokalne\Dane aplikacji\1C -> [2010-07-25 11:37:47 | 000,000,000 | ---D | C]

To jest katalog z grą.

 

Windows jest modyfikowany - MX. Wersja firewalla Kerio 4.3.268.0

[picasso]

Windows jest modyfikowany - MX.

 

Przypuszczalnie więc ten ubytek z alg to wynik nieumiejętnego usunięcia komponentów z pozostawieniem osieroconej usługi, która nie może się uruchomić i generuje to błędy. W takim przypadku zostaje wyłączenie tej usługi w services.msc.

 

Wersja firewalla Kerio 4.3.268.0

 

Na stronie domowej Sunbelt Kerio jest nowsza wersja 4.6.1861.

 

 

 

.

[Andziorka]

Usługę już brat wyłączył. Powiem mu, żeby zaktualizował Kerio. Myślę, że można zamknąć już temat, sprawa rozwiązana, dziękuję za pomoc!