Log z MBARu

[cunik.cz]

Zdravím, nedávno jsem jen tak projížděl log z MBARu a zjistil jsem že drivery dump_diskdump.sys,dump_storahci.sys a dump_dumpfve.sys (všechny uložené v System32\Drivers) nejsou viditelné. V MBAR logu sice jsou, ale Total Comander je nenajde. A ještě další problém, zjistil jsem že v tom listu Loaded Modules (což chápu jako drivery načtené v jádru) je pár nepodepsaných. Byli viditelné ale digitální podpis neměli, což mi dělá docela starosti. Skryté souboy mám zobrazené, ale tyhle tři prostě ne. Myslíte že je to OK?

Díky

[Rudy]

Zdravím!
Ne každý nepodepsaný ovladač je nutně rootkit. Záleží na tom, jak se PC chová. MBAR je označil jako regulérní? Název ovladače můžete zadat do Google a zjistit, co jsou zač

[cunik.cz]

MBAR v systému nic nenašel. Ty drivery jsem vyčetl z logu který MBAR ukládá do složky kam je extrahován (system log). Než jsem sem psal tak jsem se Googlu zeptal, to bych sem ani nepsal kdybych našel že jsou buď škodlivé nebo v pořádku. Někde jsem se dočetl že jsou regulérní, ale když jsou skryté. PC se chová normálně až na to že nejde spustit TDSSKiller. Ale to dělá po nejnovější aktualizaci Windows. Jinak, do jádra by se v 64-bit systému neměl načítat nepodepsaný driver. Proto mne to vyděsilo.

[Rudy]

Neměl by se, ale znáte to. Občas je nutno takový driver použít, když jiný není.

[cunik.cz]

Mno, od toho KMCS je, aby nepropustila nepodepsaný driver, proto mi přijde malinko divné že je v jádru nepodepsaný driver. Dnes jsem ale zapnul PC a po spuštění mi hned spadnula hra Sniper Elite 3. Po poslední velké aktualizaci to dělá u dvou programů a to TDSSKiller a ta hra. V FRST Adition logu něco o tom bylo, ale z jakého důvodu nevím. Budu ještě pozorovat. Ty skryté drivery jsou ale asi legitimní

Tak, teď my MBAM našel MachineLearning Anomaly. Je možný že proto mi PC tak blbnul. Když našel nějakou anomálií, s Rootkitem to nemá nic společného?

A taky jsem si všiml že mi nejde nic spustit v programu Sandboxie

[Rudy]

Nejsem, bohužel, odborník na hry (ani toto fórum), nicméně obecně vám mohu říci, že nejen po rootkitu může PC takto "blbnout".

[cunik.cz]

Chápu, ale poslední dobou se setkávám s častými pády všech aplikací. Podařilo se mi něco získat z FRST Adition logu

Error: (05/19/2018 08:42:08 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Název chybující aplikace: tdsskiller.exe, verze: 3.1.0.16, časové razítko: 0x566b123a
Název chybujícího modulu: unknown, verze: 0.0.0.0, časové razítko: 0x00000000
Kód výjimky: 0xc0000409
Posun chyby: 0x09d8ed70
ID chybujícího procesu: 0x2a5c
Čas spuštění chybující aplikace: 0x01d3efa1170e9f72
Cesta k chybující aplikaci: E:\Utilitky\tdsskiller.exe
Cesta k chybujícímu modulu: unknown
ID zprávy: d9e1167e-d058-4ffe-be71-91e11ee4a272
Úplný název chybujícího balíčku:
ID aplikace související s chybujícím balíčkem:

Error: (05/19/2018 08:40:31 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Název chybující aplikace: SniperElite3.exe, verze: 0.0.0.0, časové razítko: 0x54865ae3
Název chybujícího modulu: Steam2.dll, verze: 2.0.2117.156, časové razítko: 0x52fd784f
Kód výjimky: 0xc0000005
Posun chyby: 0x001612f9
ID chybujícího procesu: 0x28cc
Čas spuštění chybující aplikace: 0x01d3efa0d6ad3e8c
Cesta k chybující aplikaci: E:\Steam\steamapps\common\Sniper Elite 3\bin\SniperElite3.exe
Cesta k chybujícímu modulu: E:\Steam\Steam2.dll
ID zprávy: d63ee085-2a5b-490c-9d52-a31ebcd59d5c
Úplný název chybujícího balíčku:
ID aplikace související s chybujícím balíčkem:

Error: (05/19/2018 07:46:51 PM) (Source: Microsoft-Windows-SpellChecker) (EventID: 33) (User: DESKTOP-RU7SUNC)
Description: httphttp-2147467263

Error: (05/19/2018 07:44:45 PM) (Source: Microsoft-Windows-SpellChecker) (EventID: 33) (User: DESKTOP-RU7SUNC)
Description: httphttp-2147467263

Error: (05/19/2018 07:43:19 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )
Description: Aktivace licence (slui.exe) se nezdařila s následujícím kódem chyby:
hr=0xC004C003
Argument příkazového řádku:
RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=9fbaf5d6-4d83-4422-870d-fdda6e5858aa;NotificationInterval=1440;Trigger=UserLogon;SessionId=1

Error: (05/19/2018 07:43:19 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: )
Description: Aktivace licence (slui.exe) se nezdařila s následujícím kódem chyby:
hr=0xC004E028
Argument příkazového řádku:
RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=9fbaf5d6-4d83-4422-870d-fdda6e5858aa;NotificationInterval=1440;Trigger=NetworkAvailable

Error: (05/19/2018 07:43:18 PM) (Source: Software Protection Platform Service) (EventID: 1014) (User: )
Description: Získání licence koncového uživatele se nezdařilo. hr=0xC004C003
ID SKU=9fbaf5d6-4d83-4422-870d-fdda6e5858aa

Error: (05/19/2018 07:43:18 PM) (Source: Software Protection Platform Service) (EventID: 8200) (User: )
Description: Podrobnosti chyby získávání licence
hr=0xC004C003

[Rudy]

Nějaký problém s licencí.

[cunik.cz]

A ty chyby těch aplikací?

[Rudy]

Vidím tam chybu Steamu (mimochodem ho považuji za tolerovaný šmejd - tak zaprasí systém, že bývá zdrojem různých chyb. Bez něj se ovšem nedají hrát různé hry), TDSSKiller má také nějakou chybu a konečně Windows-SpellChecker (kontrola pravopisu v Office).

[cunik.cz]

Zajímavý, nikdy jsem neměl žádný problém ohledně kontroly pravopisu. Zkusím tu hru přeinstalovat. Je zajímavý že nejde ani ten Sandboxie. Je sice pravda že si integruje nízkoůrovňoví systémový ovladač, takže klidně nemusí pracovat s novou verzí Windows. Ono, vlastně ten TDSSKiller to začal dělat až po té aktualizaci. Mno, já si myslím že to ze 70% virový problém není. Co vy?

[Rudy]

Také si myslím, že to není virový problém.