Andziorka Opublikowano 31 Lipca 2010 Zgłoś Udostępnij Opublikowano 31 Lipca 2010 Witam. Niepokoi mnie pewien wpis w OTL: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\291.tmp -- (MEMSWEEP2) Niby go nie ma, tylko nie wiem skąd i dzięki czemu zniknął tak samoistnie, bo ja nic nie robiłam w tym kierunku. Zamieszczam poniżej logi, żeby upewnić się czy przypadkiem nie została jakaś pozostałość po szkodniku. Defogger: http://wklej.org/id/370899/ OTL: http://wklej.org/id/370900/ Extras: http://wklej.org/id/370901/ RootRepeal: http://wklej.org/id/370902/ Odnośnik do komentarza
picasso Opublikowano 31 Lipca 2010 Zgłoś Udostępnij Opublikowano 31 Lipca 2010 To jest usługa po Sophos Anti-Rootkit. Zawsze wygląda w taki sposób, ma opis MEMSWEEP2 i kieruje do pliku charakterystyki *.TMP i jest "not found". Wiele narzędzie detekcji rootkit tworzy tymczasowy sterownik, który ma zaniknąć po ukończeniu działania, co nie zawsze następuje. Możesz ją usunąć dowolną metodą, np. via Autoruns (karta Drivers). Biegasz w systemie to chyba to nie będzie stanowić problemu? Logi są w porządku. Jedyne co mnie zastanowiło, to folder o nazwie anglojęzycznej, a masz definitywnie polonizowany Windows i istnieje już na Twoim dysku folder "Dane aplikacji": [2010-07-27 23:19:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Andziorka\Application Data vs. [2010-07-31 01:24:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Andziorka\Dane aplikacji\Sun PS. I czy to świeżo przemontowany Windows? . Odnośnik do komentarza
Andziorka Opublikowano 31 Lipca 2010 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2010 Dziwne, bo nie instalowałam Sophos Anti-Rootkit. Z usunięciem sobie poradzę i zaraz to zrobię. to folder o nazwie anglojęzycznej Właśnie nigdy czegoś takiego nie było, dam może zrzuty z wewnątrz: http://img231.imageshack.us/img231/9581/85530096.jpg http://img265.imageshack.us/img265/206/app1.jpg [2010-07-31 01:24:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Andziorka\Dane aplikacji\Sun a to od javy, dziś instalowałam: http://img514.imageshack.us/img514/7575/jav.jpg System kilka dni temu stawiałam na nowo. P/S W Autoruns w zakładce Drivers jest kilka sterowników File not found: http://img196.imageshack.us/img196/2052/fnfs.jpg czy można je usunąć jak ten od Sophos Anti-Rootkit? Czy trzeba je jakoś doinstalować? Jakoś dziwnie wygląda tyle luk po sterownikach, jest to trochę niepokojące. Odnośnik do komentarza
picasso Opublikowano 31 Lipca 2010 Zgłoś Udostępnij Opublikowano 31 Lipca 2010 Dziwne, bo nie instalowałam Sophos Anti-Rootkit. To na pewno jest od Sophos. Tu masz z wirtuala na szybko przeprowadzone uruchomienie Sophos, natychmiast się pojawia ta usługa: W Autoruns w zakładce Drivers jest kilka sterowników File not found:http://img196.images...6/2052/fnfs.jpg czy można je usunąć jak ten od Sophos Anti-Rootkit? Czy trzeba je jakoś doinstalować? Jakoś dziwnie wygląda tyle luk po sterownikach, jest to trochę niepokojące. To normalne. Prawie każdy XP zaraz po instalacji ma grupę tych sterowników w formie pustej usługi bez pliku. Na moim zrzucie wyżej też je masz ujęte. Z nimi nie trzeba nic robić. To niczemu nie przeszkadza. Natomiast jest właśnie infekcja, która sztucznie uzupełnia te pliki. a to od javy, dziś instalowałam Wiem, że od Javy, nie o to mi tu chodzi, ja tu nie punktuję folderu Sun. Wybrałam pierwszy z brzegu wpis, który punktuje folder Dane aplikacji, by wskazać że na polskim XP to jest właściwy folder. Na angielskim jest Application Data. Ty zaś masz dubel. Patrząc po zawartości tego folderu to chyba sprawka Microsoft Office Professional Edition 2003. . Odnośnik do komentarza
Andziorka Opublikowano 31 Lipca 2010 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2010 To na pewno jest od Sophos Wierzę, wierzę tylko nieco mnie to zdziwiło, ponieważ nie instalowałam. Cóż, z mojego komputera ostatnio od czasu do czasu korzysta kilka osób, czas chyba wobec tego na hasło Natomiast jest właśnie infekcja, która sztucznie uzupełnia te pliki. Sprytne, wtedy nawet bym o tym nie pomyślała, teraz wydawało mi się dziwne. Ale skoro tak ma być, niechaj będzie. Patrząc po zawartości tego folderu to chyba sprawka Microsoft Office Professional Edition 2003. Też gdzieś w internecie widziałam i to by się zgadzało, bo właśnie tej wersji używam. Dziękuję kolejny raz za pomoc, jeśli to wszystko temat można zamknąć Odnośnik do komentarza
picasso Opublikowano 31 Lipca 2010 Zgłoś Udostępnij Opublikowano 31 Lipca 2010 Wierzę, wierzę tylko nieco mnie to zdziwiło, ponieważ nie instalowałam. Cóż, z mojego komputera ostatnio od czasu do czasu korzysta kilka osób, czas chyba wobec tego na hasło Tak jeszcze zapytam o to: System kilka dni temu stawiałam na nowo. To system instalowany na czysto z niemodyfikowanej CD XP, czy może jakaś inna metoda np. zrzucenie z gotowego obrazu partycji? Uznałabym za możliwe, że wpis taki widnieje bez uruchamiania Sophos, jeśli by to nagrano w jakiś sposób do obrazu Windows, mniemając że się nagrywa "czysty" widok systemu. . Odnośnik do komentarza
Andziorka Opublikowano 31 Lipca 2010 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2010 Tak, to system instalowany na czysto z niemodyfikowanej CD XP. Odnośnik do komentarza
picasso Opublikowano 31 Lipca 2010 Zgłoś Udostępnij Opublikowano 31 Lipca 2010 Nic tu więcej nie wymyślę w tej kwestii. Usługa wskazuje na to, że narzędzie to uruchomiono jakimś sposobem. Odnośnik do komentarza
Andziorka Opublikowano 31 Lipca 2010 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2010 (edytowane) Pewnie ktoś zainstalował. W każdym bądź razie wszystko już wiem i nic mnie nie niepokoi. Można zamknąć Edytowane 31 Lipca 2010 przez picasso To zamykamy :) Odnośnik do komentarza
Rekomendowane odpowiedzi