trpcp Opublikowano 28 Października 2010 Zgłoś Udostępnij Opublikowano 28 Października 2010 Witam Znajomy skarżył się na to ze znikają mu pliki, ale pomocy zaczął szukać dopiero gdy zniknęły wszystkie skróty z Start->Wszystkie Programy->(katalogi ptogramow). Infekcja była, załączę też wyjątek z dziennika skanowania jego dysku moim ESETem (przez USB). Dysk C jego kompa i wiekszość katalogów na tym dysku traktowana była przez Windows jako skompresowane, do nielicznych nieskompresowanych należał c:\Windows i C:\Program Files, zawartość tych katalogów wyglądała na niernaruszoną, programy uruchamiały się normalnie, system też zdawał się działać dobrze, ale katalogi które wyświetlane były na niebiesko były w bardzo przeważającej wiekszości puste. Dysk 84GB, miejsce wolne widziane przez System 14GB, a jak sie zliczyło wagę wszystkiego co było na dysku to wyszło 13GB z hakiem, wiec 70GB było ciągle zajęte przez niewidzialne pliki, lub już tylko śeczkę która po nich pozostała. Użyłem WinDirStat, ale nie znalazł on tych zagubionych plików nigdzie, ta przestrzeń dyskowa powinna być wolna. Usługa przywracania systemu była aktywna, monitorowanie wszystkich dysków twardych było wyłączone, a dość znaczą ilość czasu zajęło gmerowi przeskanowanie katalogu SVI, choć nie było żadnych punktów do których mogłbym komp przywrócić. Dysk D jest postrzegany przez system jako nieskompresowany i nie zaszły na nim żadne nieporządane zmiany. Jeśli było to zdażenie losowe bo sypie się już HDD to trudno, ale jesli miała tu miejsce działalność bandyckiego softu to wartoby sie o tym dowiedzieć. W tym momencie dysk jest formatowany, danych było dużo, ale zostały już olane przez wzgląd na szybkość postawienia kompa na nogi (nawet nie próbowałem robić jakiegoś recovery, bo 'szybko, szybko'). Wec prosiłbym tylko o zerknięcie do logów, czy jest tam ślad po jakimś wirusie szyfrującym dane. Te które znalazł ESET nie mają tego w swoim repertuarze (tyle przynajmniej udało mi sie ustalić). eset.txt Extras.Txt gmer.txt OTL.Txt pozdrawiam Odnośnik do komentarza
Landuss Opublikowano 28 Października 2010 Zgłoś Udostępnij Opublikowano 28 Października 2010 Jedyne co tutaj jest wątpliwe to te wpisy od keyloggerów: O4 - HKLM..\Run: [rkfree] C:\Program Files\rkfree\rkfree.exe (Logixoft) O4 - HKLM..\Run: [sys32V2Contoller] C:\WINDOWS\mw2mmgr32\mw2mmgr32.exe File not found Pierwszy jest aktywny, zaś drugi wygląda na usunięty. Teraz pytanie czy to było tutaj montowane celowo? Znałem przypadki, ze tak dlatego pytam. Na razie tego nie ruszam do momentu wyjaśnienia. Generalnie w logach nie widzę śladu aktywnej infekcji. Cały problem może wynikać akurat nie z przyczyny infekcyjnej lecz również samego dysku. Można jednak zamontować skrypt usuwający drobne odpadki: :OTL RV - File not found [On_Demand | Stopped] -- C:\Program Files\Firebird\Firebird_2_1\bin\fbserver.exe -- (FirebirdServerDefaultInstance) SRV - File not found [Auto | Stopped] -- C:\Program Files\Firebird\Firebird_2_1\bin\fbguard.exe -- (FirebirdGuardianDefaultInstance) DRV - File not found [Kernel | Auto | Stopped] -- C:\windows\System32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | System | Stopped] -- C:\windows\System32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- C:\windows\System32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- C:\windows\System32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MediaCoder Audio Edition\SysInfo.sys -- (CrystalSysInfo) O4 - HKU\S-1-5-21-796845957-343818398-725345543-1004..\Run: [Google Update] C:\Documents and Settings\Andrzej\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe File not found :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Andrzej\Ustawienia lokalne\Temp\~os14.tmp\rlvknlg.exe"=- "C:\Program Files\RelevantKnowledge\rlvknlg.exe"=- "C:\Program Files\SopCast\adv\SopAdver.exe"=- Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Możesz zaprezentować log z usuwania. Odnośnik do komentarza
trpcp Opublikowano 29 Października 2010 Autor Zgłoś Udostępnij Opublikowano 29 Października 2010 Dzięki za opinie. Tak jak pisałem wcześniej, system został zreinstalowany. a mnie pozostaje ostrzec znajomego żeby może i z dysku D: wyprowadził się z danymi bo moze miej miejsce awaria. Dzieki jeszcze raz i... temat do zamknięcia Odnośnik do komentarza
Rekomendowane odpowiedzi