Remote access i blue screen


(Pszczepan) #1

Witam!

W ciągu ostatniego tygodnia 2 x miałem blue screena. W obu przypadkach sprawdziłem w menadżerze zdarzeń, ze jakiś remote access byl przyczyną tego.

W związku z tym podaję loga z combofixa:

"User" - 2007-09-05 11:32:43 Service Pack 2  

ComboFix 07-05.13.2.V - Running from: "C:\Documents and Settings\User\My Documents\downloads\"



((((((((((((((((((((((((((((((( Files Created from 2007-08-05 to 2007-09-05 ))))))))))))))))))))))))))))))))))



2007-09-03 07:36	




dodatkowo mam plik combofix-quarantined

[code] 2007-06-29 08:41 61092 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\xpdx.sys.vir 2007-06-29 22:12 31254 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\urqpopn.dll.vir 2007-07-01 09:05 66112 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\uhidraxc.dll.vir 2007-07-01 10:06 266336 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\ddayv.dll.vir 2007-07-01 15:06 128576 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\ramdjalr.dll.vir 2007-07-02 07:38 999867 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\rlajdmar.ini.vir 2007-07-02 09:04 60544 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\asc3550u.sys.vir 2007-07-02 17:02 939755 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\vyadd.bak2.vir 2007-07-02 20:10 972211 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\vyadd.tmp.vir 2007-07-02 20:37 972293 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\vyadd.ini.vir 2007-07-03 08:47 1000105 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\qepirygw.ini.vir 2007-07-03 08:51 1044 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_ASC3550U.reg.cf 2007-07-03 08:51 1098 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_DOMAINSERVICE.reg.cf 2007-07-03 08:51 200 --a------ C:\Qoobox\Quarantine\Registry_backups\services_xpdx.reg.cf 2007-07-03 08:51 2956 --a------ C:\Qoobox\Quarantine\Registry_backups\services_DomainService.reg.cf 2007-07-03 08:51 850 --a------ C:\Qoobox\Quarantine\Registry_backups\services_asc3550u.reg.cf 2007-07-03 08:51 977314 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\vyadd.ini2.vir 2007-07-03 08:52 398 --a------ C:\Qoobox\Quarantine\catchme.log 2007-07-03 08:52 59701 --a------ C:\Qoobox\Quarantine\catchme2007-07-03_ 85552.20.zip Folder PATH listing for volume G˘wny Volume serial number is 287D-DB76 C:\QOOBOX ---Quarantine | catchme.log | catchme2007-07-03_ 85552.20.zip | +---C | ---WINDOWS | ---system32 | | ddayv.dll.vir | | qepirygw.ini.vir | | ramdjalr.dll.vir | | rlajdmar.ini.vir | | uhidraxc.dll.vir | | urqpopn.dll.vir | | vyadd.bak2.vir | | vyadd.ini.vir | | vyadd.ini2.vir | | vyadd.tmp.vir | | xpdx.sys.vir | | | ---drivers | asc3550u.sys.vir | ---Registry_backups LEGACY_ASC3550U.reg.cf LEGACY_DOMAINSERVICE.reg.cf services_asc3550u.reg.cf services_DomainService.reg.cf services_xpdx.reg.cf
Proszę o sprawdzenie, czy mam cos złego na dysku? Pozdrawiam i dziękuję PAweł


(system) #2
  1. Masz firewalla ?? jak nie to włącz

(Pszczepan) #3

Mam włączonego firewalla z Windows XP

i AVAST'a jako antywirus


(jessica) #4

"Remote Access" to usługa zdalnego dostępu do komputera.

Chyba jesteś podłączony do sieciówki (przynajmniej na to wskazuje to " CXSDI"), a więc to może być np. jakiś problem z sieciówką.

A swoją drogą ten problem mógł być spowodowany przez Twój komputer, bo widać, że ComboFix usunął dwa Rootkity oraz infekcję "VUNDO".

Te mogły przeciążać sieć.

Możesz jeszcze użyć SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

jessi


(Pszczepan) #5

Witam !

tak ma sieciówkę i zauważyłem, że jak pokazał się ten blue screen to była tam informacja o błędzie z driverem właśnie dla sieciówki - dlaczego tak - nie wiem, po resecie znów działało.

użyłem SDFIX i to jest raport:

SDFix: Version 1.84


Run by Administrator - Wed 09/05/2007 - 16:30:43.45


Microsoft Windows XP [Version 5.1.2600]


Running From: C:\SDFix


Safe Mode:

Checking Services: 







Restoring Windows Registry Values

Restoring Windows Default Hosts File

Restoring Missing SharedAccess Service 


Rebooting...



Normal Mode:

Checking Files:


Below files will be copied to Backups folder then removed:


C:\hwftnai.exe - Deleted

C:\ibiocpq.exe - Deleted

C:\qbsoqyl.exe - Deleted




Removing Temp Files...


ADS Check:


Checking if ADS is attached to system32 Folder 

C:\WINDOWS\system32

No streams found.


Checking if ADS is attached to svchost.exe

C:\WINDOWS\system32\svchost.exe

No streams found.




                                 Final Check:


Remaining Services:

------------------




Authorized Application Key Export:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\\Program Files\\totalcmd\\TOTALCMD.EXE"="C:\\Program Files\\totalcmd\\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\OMRON\\CX-Server\\CXSDI_PortMan.exe"="C:\\Program Files\\OMRON\\CX-Server\\CXSDI_PortMan.exe:*:Enabled:PortMan Module"

"C:\\Documents and Settings\\User\\Local Settings\\Temp\\Rar$EX00.703\\Ethernet_UDP.exe"="C:\\Documents and Settings\\User\\Local Settings\\Temp\\Rar$EX00.703\\Ethernet_UDP.exe:*:Enabled:Ethernet_UDP"

"C:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"="C:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe:*:Enabled:EasyShare"

"C:\\Documents and Settings\\User\\Local Settings\\Temp\\Rar$EX46.813\\Ethernet_UDP.exe"="C:\\Documents and Settings\\User\\Local Settings\\Temp\\Rar$EX46.813\\Ethernet_UDP.exe:*:Enabled:Ethernet_UDP"

"C:\\Documents and Settings\\User\\Local Settings\\Temp\\Rar$EX50.250\\Ethernet_UDP.exe"="C:\\Documents and Settings\\User\\Local Settings\\Temp\\Rar$EX50.250\\Ethernet_UDP.exe:*:Enabled:Ethernet_UDP"

"C:\\Documents and Settings\\User\\Local Settings\\Temp\\Rar$EX45.4938\\Ethernet_UDP.exe"="C:\\Documents and Settings\\User\\Local Settings\\Temp\\Rar$EX45.4938\\Ethernet_UDP.exe:*:Enabled:Ethernet_UDP"

"C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\Program Files\\Gadu-Gadu\\gg.exe:*:Enabled:Gadu-Gadu - program główny"

"C:\\Program Files\\Ethernet_UDP\\Ethernet_UDP.exe"="C:\\Program Files\\Ethernet_UDP\\Ethernet_UDP.exe:*:Enabled:Ethernet_UDP"

"C:\\Program Files\\KEPServerEx\\opcquickclient.exe"="C:\\Program Files\\KEPServerEx\\opcquickclient.exe:*:Enabled:OPC Quick Client"

"C:\\Program Files\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"="C:\\Program Files\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe:*:Disabled:Kodak Software Updater"

"C:\\Program Files\\KEPServerEx\\ServerMain.exe"="C:\\Program Files\\KEPServerEx\\ServerMain.exe:*:Enabled:servermain.exe"

"C:\\Program Files\\NAPI-PROJEKT\\napisy.exe"="C:\\Program Files\\NAPI-PROJEKT\\napisy.exe:*:Enabled:www.napiprojekt.pl"

"C:\\Program Files\\Multiway\\Multiway.exe"="C:\\Program Files\\Multiway\\Multiway.exe:*:Enabled:Multiway"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"



Remaining Files:

---------------


Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes:


C:\PL7\PL7SYS\SERVERS\SERVER.DLL

C:\WINDOWS\system32\NTICDMK32.dll

C:\WINDOWS\system32\NTIMPEG2.dll

C:\!KillBox\systk6.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Outlook Express\msimn.exe

C:\WINDOWS\system32\config\SECURITY.tmp.LOG

C:\WINDOWS\system32\config\software.tmp.LOG


                                 Finished

Poźniej uruchomiłem catchme.exe i scan nic nie wykazał:

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-05 17:07:32

Windows 5.1.2600 Service Pack 2 NTFS


scanning hidden processes ...


scanning hidden services ...


scanning hidden autostart entries ...


scanning hidden files ...


scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Czy jeszcze coś powinienem sprawdzić??


(Gutek) #6

Daj nowy log z Combo, ale powinno być Ok


(Pszczepan) #7

Witam Kolejny log z combofix:

"User" - 2007-09-05 18:04:14 Service Pack 2  

ComboFix 07-05.13.2.V - Running from: "C:\Documents and Settings\User\My Documents\downloads\"



((((((((((((((((((((((((((((((( Files Created from 2007-08-05 to 2007-09-05 ))))))))))))))))))))))))))))))))))



2007-09-05 16:23	0	--a------	C:\PSXLSync.dat

2007-09-03 07:36	




z quarantine_combo:

[code] 2007-06-29 08:41 61092 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\xpdx.sys.vir 2007-06-29 22:12 31254 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\urqpopn.dll.vir 2007-07-01 09:05 66112 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\uhidraxc.dll.vir 2007-07-01 10:06 266336 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\ddayv.dll.vir 2007-07-01 15:06 128576 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\ramdjalr.dll.vir 2007-07-02 07:38 999867 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\rlajdmar.ini.vir 2007-07-02 09:04 60544 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\asc3550u.sys.vir 2007-07-02 17:02 939755 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\vyadd.bak2.vir 2007-07-02 20:10 972211 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\vyadd.tmp.vir 2007-07-02 20:37 972293 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\vyadd.ini.vir 2007-07-03 08:47 1000105 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\qepirygw.ini.vir 2007-07-03 08:51 1044 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_ASC3550U.reg.cf 2007-07-03 08:51 1098 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_DOMAINSERVICE.reg.cf 2007-07-03 08:51 200 --a------ C:\Qoobox\Quarantine\Registry_backups\services_xpdx.reg.cf 2007-07-03 08:51 2956 --a------ C:\Qoobox\Quarantine\Registry_backups\services_DomainService.reg.cf 2007-07-03 08:51 850 --a------ C:\Qoobox\Quarantine\Registry_backups\services_asc3550u.reg.cf 2007-07-03 08:51 977314 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\vyadd.ini2.vir 2007-07-03 08:52 398 --a------ C:\Qoobox\Quarantine\catchme.log 2007-07-03 08:52 59701 --a------ C:\Qoobox\Quarantine\catchme2007-07-03_ 85552.20.zip Folder PATH listing for volume G˘wny Volume serial number is 287D-DB76 C:\QOOBOX ---Quarantine | catchme.log | catchme2007-07-03_ 85552.20.zip | +---C | ---WINDOWS | ---system32 | | ddayv.dll.vir | | qepirygw.ini.vir | | ramdjalr.dll.vir | | rlajdmar.ini.vir | | uhidraxc.dll.vir | | urqpopn.dll.vir | | vyadd.bak2.vir | | vyadd.ini.vir | | vyadd.ini2.vir | | vyadd.tmp.vir | | xpdx.sys.vir | | | ---drivers | asc3550u.sys.vir | ---Registry_backups LEGACY_ASC3550U.reg.cf LEGACY_DOMAINSERVICE.reg.cf services_asc3550u.reg.cf services_DomainService.reg.cf services_xpdx.reg.cf

Co mam zrobic z tymi plikami z quarantine folder - z rozszerzeniem vir - usunąć je?

Pozdrawiam


(Gutek) #8

Usuń folder C:\ QOOBOX

Daj nowy log z SDFIX


(Pszczepan) #9

nowy SDFIX :

SDFix: Version 1.84


Run by User - 2007-09-05 - 20:19:11,53


Microsoft Windows XP [Version 5.1.2600]


Running From: C:\SDFix


Safe Mode:

Checking Services: 







Restoring Windows Registry Values

Restoring Windows Default Hosts File


Rebooting...



Normal Mode:

Checking Files:


No Trojan Files Found...





Removing Temp Files...


ADS Check:


Checking if ADS is attached to system32 Folder 

C:\WINDOWS\system32

No streams found.


Checking if ADS is attached to svchost.exe

C:\WINDOWS\system32\svchost.exe

No streams found.




                                 Final Check:


Remaining Services:

------------------




Authorized Application Key Export:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"



[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"



Remaining Files:

---------------



Checking For Files with Hidden Attributes:


C:\PL7\PL7SYS\SERVERS\SERVER.DLL

C:\WINDOWS\system32\NTICDMK32.dll

C:\WINDOWS\system32\NTIMPEG2.dll

C:\!KillBox\systk6.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Outlook Express\msimn.exe

C:\WINDOWS\system32\config\SECURITY.tmp.LOG

C:\WINDOWS\system32\config\software.tmp.LOG


                                 Finished

Pozdrawiam i dzięki - komp chodzi znacznie lepiej - internet również


(Lost World) #10

Już jest okej.Myślę , że nowe logi nie będą potrzebne.

Optymalizacja XP : http://forum.dobreprogramy.pl/viewtopic.php?t=76580

Optymalizacja i odchudzanie XP

Podstawy optymalizacji systemu windows xp :

http://forum.dobreprogramy.pl/viewtopic ... ymalizacja


Czyszczenie rejestru:

Opis RegCleaner - http://www.agavk.p9.pl/strony/progra_regcleaner.php

RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177

albo

jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509

RegSeeker + Opis