Zmierzchoswit Opublikowano 5 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2011 Witam Malwarebytes' Anti-Malware daje mi następujący log: Malwarebytes: http://wklej.org/id/506838/ Windows XP SP3 - kilkakrotnie reinstalowany i formatowany Formatowałem partycje, reinstalowałem windows, a widzę dalej to samo. Widzę dodatkowy napęd, GMER informuje mnie o dysku z "rootkit like behavior", próbowałem usunąć ten napęd, myśląc że jest on pozostałością po daemon toolu, przy pomocy SPTD i Defogger, wszystko odbyło się bez zakłóceń lecz napęd pozostał. GMER: http://wklej.org/id/506823/ OTL: http://wklej.org/id/506827/ Security Check: http://wklej.org/id/506835/ defogger: http://wklej.org/id/506828/ Widzę że są wpisy o DAEMON Toolu, spróbuję coś jeszcze z tym zrobić. Długo męczyłem się sam z tym problemem. Z góry dziękuję za pomoc. EDIT 1: Tym niewiadomym dyskiem okazało się jakieś urządzenie peryferyjne - dysk zniknął po zainstalowaniu wszystkich sterowników. Dodaję nowe czyste logi: GMER: http://wklej.org/id/506994/ OTL: http://wklej.org/id/506999/ Odnośnik do komentarza
picasso Opublikowano 6 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2011 OTL niepełny, brak Extras. Nie przestawiłeś opcji "Rejestr - skan dodatkowy" z Brak na "Użyj filtrowania". Ponadto, przejechałeś ten system ComboFixem, a nie ma o tym ani słowa i brak prezentacji wyników z działania (nie wolno zatajać co narzędzie zrobiło, bo mogło posunąć się za daleko). Proszę pokazać log, który powstał podczas tamtego uruchomienia (nie uruchamiaj narzędzia ponownie!). W podanych raportach nie widzę żadnych śladów infekcji. Do korekty przestarzała wersja Java: KLIK. Widzę dodatkowy napęd, GMER informuje mnie o dysku z "rootkit like behavior", próbowałem usunąć ten napęd O ile dobrze rozumiem co mówisz, interpretujesz, że dysk z "Rootkit behaviour" = dodatkowy dysk. Nie. GMER notuje taką działalność na dysku fizycznym numerowanym jako "0", czyli wedle prawdopodobieństwa jest to dysk z Windows. Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior Zaś odczyt tego typu w GMER o niczym nie świadczy. Formatowałem partycje, reinstalowałem windows, a widzę dalej to samo. Zainfekowanych plików:c:\WINDOWS\system32\calc.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully. Bardziej wiarygodne mi się wydaje, że to jest fałszywy alarm. To byłby nie pierwszy raz, gdy to kalkulator Windows dostaje "w tyłek" od MBAM: KLIK. Aczkolwiek tu uważam, że false positive wynika z rodzaju Twojego Windows. Definitywnie masz modyfikowany nienaturalny Windows (przypuszczalnie "Windows XP Black Edition", sugerując się skrótem na Pulpicie + katalogiem C:\Program Files\winxpbe). Na takich Windows spodziewaj się różnych dziwnych rzeczy, fałszywych alarmów skanerów i ComboFix. Swoją drogą, nie uważam za dobry pomysł używać w ciemno cudze przeróbki. Jeśli coś się dzieje / pojawia się problem, jest trudniej go zdefiniować niż na Windows normalnym, bo należy "odgadnąć" co narobił "producent płytki". I widzisz: po formacie Windows XP SP3 - kilkakrotnie reinstalowany i formatowany To mówi samo za siebie. Niepotrzebne nerwy, niepotrzebna robota. . Odnośnik do komentarza
Zmierzchoswit Opublikowano 6 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2011 Nowy OTL: OTL - główny: http://www.wklej.org/id/507135/ OTL - extras: http://www.wklej.org/id/507136/ Moja przygoda z ComboFixem była krótka i zakończyła się dość szczęśliwie. Krótka, bo zaraz przy skanowaniu rejestru, wyskoczyło mi że rejestr jest zainfekowany (w niebieskim oknie) a w drugim oknie miałem wiadomość o błędzie, z bodajże nieprawidłową nazwą CFScript. Szczęśliwa, gdyż próbując zgłębić problem trafiłem na to forum . Nie wiem gdzie jest log z tego programu, zaraz poczytam o ComboFixie i spróbuję przepuścić go od początku i pokazać log.... ....A następnie zainstalować inną wersję windowsa xp. Mam windows xp black edition, popełniłem błąd że nie sprawdziłem nowej instalki, zaraz to zrobię. System zachowywał się dziwnie, więc chciałbym się upewnić że jest czysty. Możesz mi powiedzieć, co muszę zrobić by mieć pewność że nie mam wirusów? Odnośnik do komentarza
picasso Opublikowano 6 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2011 Nie wiem gdzie jest log z tego programu, zaraz poczytam o ComboFixie i spróbuję przepuścić go od początku i pokazać log.... Nie! Przecież to zaciemni sprawę i nie poda danych o których mówię. Mnie chodzi tylko i wyłącznie o log postały wtedy, nie uruchamiaj narzędzia ponownie. Raportu szukaj na dysku C:\ lub w katalogu C:\Qoobox. System zachowywał się dziwnie, więc chciałbym się upewnić że jest czysty. Na czym polega ta "dziwność"? Czy bierzesz pod uwagę, że przerabiany Windows może być problemem? Przecież: modyfikowane pliki, wycięte usługi systemowe, dointegrowane sterowniki, upiększacze wyglądu załadowane. Następnie: oprogramowanie zabezpieczające (ESET / COMODO) to kolejni podejrzani. Możesz mi powiedzieć, co muszę zrobić by mieć pewność że nie mam wirusów? Sam się zastanów = robiłeś wielokrotne reinstalacje / format. Przede wszystkim to się zaopatrz w normalny niemodyfikowany Windows i wtedy oceń jego działanie.... Ja bym tu nie szukała wcale infekcji. . Odnośnik do komentarza
Zmierzchoswit Opublikowano 6 Kwietnia 2011 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2011 Nie widzę tego loga, jedyne co znalazłem to C:\Qoobox\Quarantine\catchme.log O treści: -------- 2011-04-05 - 18:09:58 ------------- -------- 2011-04-05 - 18:13:39 ------------- -------- 2011-04-05 - 18:21:08 ------------- -------- 2011-04-05 - 18:24:44 ------------- -------- 2011-04-05 - 19:01:32 ------------- -------- 2011-04-05 - 19:03:18 ------------- Robię format i instaluję normalny Windows XP EDIT 1: Dziwność: Brak dostępu do menadżera urządzeń, zmiany wyglądu windowsa na klasyczny... lub brak możliwości zmiany na tenże - po formacie te problemy zniknęły, wszystko wygląda normalnie. Zinstalowaem zwyklego windowsa i pomoglo, nie mam juz informacji o zadnym zagrozeniu. Dziekuje za pomoc. Zdarzenia "dziwne" zapewne byly spowodowane przez windows xp black? Mam jeszcze takie pytanie: jak skanowac plyty dvd/cd? do usb mam usbfix'a a do cd/dvd czego moge uzyc? skanowanie antywirem wystarczy? Jeszcze raz dziekuje za pomoc, az mi glupio ze nie pomyslalem o windowsie. Odnośnik do komentarza
picasso Opublikowano 7 Kwietnia 2011 Zgłoś Udostępnij Opublikowano 7 Kwietnia 2011 (edytowane) Brak dostępu do menadżera urządzeń, zmiany wyglądu windowsa na klasyczny... lub brak możliwości zmiany na tenże - po formacie te problemy zniknęły, wszystko wygląda normalnie. (...) Zdarzenia "dziwne" zapewne byly spowodowane przez windows xp black? Trudno mi oceniać post factum, ale modyfikowany Windows nie jest wykluczony jako przyczyna tych zdarzeń. Tam jest tyle różnych przeróbek w źródle zrobionych, że zdefiniowanie tego nie jest proste. W każdym razie, ja w dostarczonych raportach z programów analitycznych na pewno nie potwierdzam infekcji. Mam jeszcze takie pytanie: jak skanowac plyty dvd/cd? do usb mam usbfix'a a do cd/dvd czego moge uzyc? skanowanie antywirem wystarczy? USBFix to jest prymitywne narzędzie i nie ufaj mu w 100%, tym bardziej że narzędzie wcale nie ma właściwości skanera antywirusowego (detekcja sygnaturowa) i wykrywa tylko ograniczoną liczbę obiektów zaplanowaną "na sztywno". Przy okazji popełnia pomyłki (skutki uboczne usuwania wg nazw, które nie zawsze znaczą to samo, oraz wg lokalizacji obiektów co też nie jest idealnym miernikiem). Z najbardziej drastycznych znanych mi przypadków: usunięcie kilka GIGA muzyki użytkownika (USBFix planuje usuwanie ciągu nazewniczego "muza" - jedna z infekcji taką nazwą się posługuje), a w związku z tym że dysk systemowy użytkownika był mniejszy niż usuwana zawartość "muzy" z drugiego dysku, kwarantanna USBFix nie mogła tego unieść i użytkownik utracił całą muzykę.... Gdyby zamiast USBFix użyto wtedy zwyczajny skaner AV, zdarzenie nie miałoby miejsca, skaner wiedziałby, że "muza" jest czysta. U siebie zaś zanotowałam niewąskie głupoty detekcji USBFix. Tzn. ma on procedurę wykrywania luźnych plików wykonywalnych w root dysków (i tylko tyle, bez oceny czy to jest naprawdę szkodliwe), na moim systemie wykazał jako "infekcję" plik WWDC oraz samoekstraktujące się archiwum z Photoshopem, a tylko dlatego, że pliki te leżały w głównym katalogu dysku D. Narzędzia typu USBFix do CD/DVD być nie może, a przynajmniej nie w wersji z usuwaniem (przecież nośniki zwykle są read-only). Zarówno do USB jak i CD/DVD znacznie bardziej wiarygodny skan to po prostu skaner antywirusowy (lub skrócone wersje takie jak Kaspersky Virus Removal Tool czy Dr. Web Cureit). . Edytowane 7 Maja 2011 przez picasso 7.05.2011 - Brak dodatkowych komentarzy, temat zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi