prośba: przejrzenie logów, dziwna sprawa

Post13 mar 2014, 17:53

xpsp3;

prosze o rzucenie okiem na te oto dwa logi:

OTL.txt
Dostępne tylko dla zarejestrowanych użytkowników

Extras.txt
Dostępne tylko dla zarejestrowanych użytkowników

dodatkowo obrazek z aswMBR:
Dostępne tylko dla zarejestrowanych użytkowników

Zdaje sie, ze wazne:

w autoruns permanentnie pojawiają się w HKLM-services wpisy-usługi, nazwy losowe, np.:
awo2z0j, z info, ze dla usługi - "file not found", a file = awo2z0j.sys i ten *.sys ma być w TEMP; ale go nie ma.
Prawoklikiem likwidacja wpisu w autoruns nie udaje się -> info: "określona usługa nie istnieje jako zarejestrowana".
Ale prawoklikiem docieram z autoruns do tego wpisu w rejestrze i wykasowuje wpis o usłudze, następnie odświeżenie autoruns i ... już są nowe usługi -> w tej chwili powstała jedna: memsweep2 i jej plik -> file not found = 83.tmp.

(przed ta sytuacja było najprawdopodobniej rootkitowe zarażenie systemu, teoretycznie poradził sobie z tym TDSKILLER..., uznajmy ten wpis jako meldunek z nowego frontu, opisów tamtej bitwy brak)

Post13 mar 2014, 17:58

Niestety, żaden link nie działa.

Post13 mar 2014, 18:42

djarta pisze:Niestety, żaden link nie działa.

POPRAWIONE LINKI, sorry

Post13 mar 2014, 19:02

Wklej log z ComboFixa: Dostępne tylko dla zarejestrowanych użytkowników

Post13 mar 2014, 20:09

Ja tylko wyjaśnię:
1)

w autoruns permanentnie pojawiają się w HKLM-services wpisy-usługi, nazwy losowe, np.:
awo2z0j, z info, ze dla usługi - "file not found", a file = awo2z0j.sys i ten *.sys ma być w TEMP; ale go nie ma.

To są wirtualne usługi tymczasowe tworzone przez sterownik "sptd.sys", a ten masz zainstalowany:

DRV - [2014-03-10 01:13:43 | 000,320,120 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

To sterownik używany przez różne programy, np. przez Daemon Tools, który masz zainstalowany:

"{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}" = DAEMON Tools

Te tymczasowe usługi tworzą się zaraz po włączeniu komputer, zawsze mają nazwy złożone z przypadkowych liter.

2)

już są nowe usługi -> w tej chwili powstała jedna: memsweep2

To tymczasowa usługa Rootkit Revealers firmy "Sofos".
Używałeś go, bo widziałam gdzieś w logach.

3) To co pokazał Avast, to plik używany przez Webroot SecureAnywhere, a ten masz zainstalowany:
"WRUNINST" = Webroot SecureAnywhere

To tyle moich wyjaśnień.

F

Post17 mar 2014, 23:48

djarta pisze:Wklej log z ComboFixa: Dostępne tylko dla zarejestrowanych użytkowników

jestes na 100% przekonany, ze niezbędny...? nie obejdzie się bez combo?
Dostępne tylko dla zarejestrowanych użytkowników

-- 18 mar 2014, 00:39 --

filutka78 pisze:Ja tylko wyjaśnię: [......]

dzęki, we wszystkim masz rację;
najogólniej: już przed przeczytaniem Twej odpowiedzi odinstalowałem wszelkie wirtualia, alcohole, daemony, sptd.sys i problemy zniknęły, Zapewne wspomniane zarażenie "czymś" (rootkit...?) zrobiło taki bałagan - pojawił sie w managerze urządzeń wiersz o kontrolerach scsi z dwoma pod-elementami (dwa kontr. scsi), jeden z nich miał żółty znaczek, więc zacząłem (bez sensu...) cudować usiłująć go reinstalowć i wpadłem w błędne koło

A to zapewne kontrolery bardziej ... wirtualne i zapewne pojawią się po ponownym zainstalowaniu alcohola i utworzeniu napędów wirtualnych (btw: z daemona raczej zrezygnuję).
Zapewne muszę oprócz tego zainstalować sptd.sys (via SPTDinst.exe), bo inaczej z dysków wirtualnych będą nici (no, chyba, że już sam alcohol to zainstaluje, zobaczy się).

w tej chwili jest tak:

FRST
Dostępne tylko dla zarejestrowanych użytkowników

Addition
Dostępne tylko dla zarejestrowanych użytkowników

Shortcut
Dostępne tylko dla zarejestrowanych użytkowników

GMER
Dostępne tylko dla zarejestrowanych użytkowników

Post18 mar 2014, 10:57

W logach nie widzę niczego podejrzanego.

Do usuwania daję obiekty przestarzałych narzędzi (np. SmitfraudFix):
Otwórz Notatnik i wklej w nim:

C:\WINDOWS\system32\5.tmp
C:\WINDOWS\system32\4.tmp
C:\WINDOWS\system32\3.tmp
C:\WINDOWS\system32\75.tmp
C:\WINDOWS\system32\74.tmp
C:\WINDOWS\system32\73.tmp
C:\WINDOWS\system32\72.tmp
C:\WINDOWS\system32\71.tmp
C:\WINDOWS\system32\70.tmp
C:\WINDOWS\system32\Drivers\rootrepeal.sys
C:\WINDOWS\system32\Agent.OMZ.Fix.exe
C:\WINDOWS\system32\IEDFix.C.exe
C:\WINDOWS\system32\VACFix.exe
C:\WINDOWS\system32\o4Patch.exe
C:\WINDOWS\system32\404Fix.exe
C:\WINDOWS\system32\IEDFix.exe
C:\WINDOWS\system32\VCCLSID.exe

Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

F.

Post18 mar 2014, 12:52

filutka78 pisze:W logach nie widzę niczego podejrzanego.
Do usuwania daję obiekty przestarzałych narzędzi (np. SmitfraudFix):
[.................]

bógzapłać - jak sowieci mawiają: powiezło

Czyli co teraz... Jak pisałem: muszę zainstalować sptd.sys (via SPTDinst.exe), bo inaczej z dysków wirtualnych będą nici, tak jest? Z dyskow alcoholowych. Na przykład.
Bo już OSFMount (z PassMark) daje bez problemu dyski wirtualne (na czas sesji), bez sptd.sys...