Logg fra SAS (oreans32.sys)

27 innlegg i emnet

Skrevet

Hei. Har nettopp lastet ned SuperAntiSpyware og kjørt den. Den fant noen cookies og oreans32.sys. Prøvde å finne ut om oreans32.sys men var ikke så enkelt.

Kan jeg få svar på om jeg skal fjerne den eller ikke ? Er det en del av systemet eller malware ?

Logg :

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

Generated 12/03/2008 at 09:09 AM

Application Version : 4.22.1014

Core Rules Database Version : 3660

Trace Rules Database Version: 1640

Scan type : Quick Scan

Total Scan Time : 12:08:06

Memory items scanned : 438

Memory threats detected : 0

Registry items scanned : 557

Registry threats detected : 30

File items scanned : 7944

File threats detected : 16

Unclassified.Oreans32

HKLM\System\ControlSet001\Services\oreans32

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS

HKLM\System\ControlSet001\Enum\Root\LEGACY_oreans32

HKLM\System\ControlSet004\Services\oreans32

HKLM\System\ControlSet004\Enum\Root\LEGACY_oreans32

HKLM\System\CurrentControlSet\Services\oreans32

HKLM\System\CurrentControlSet\Enum\Root\LEGACY_oreans32

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32#NextInstance

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Service

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Legacy

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#ConfigFlags

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Class

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#ClassGUID

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#DeviceDesc

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Capabilities

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Driver

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\LogConf

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\Control

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\Control#ActiveService

HKLM\SYSTEM\CurrentControlSet\Services\oreans32#Type

HKLM\SYSTEM\CurrentControlSet\Services\oreans32#Start

HKLM\SYSTEM\CurrentControlSet\Services\oreans32#ErrorControl

HKLM\SYSTEM\CurrentControlSet\Services\oreans32#ImagePath

HKLM\SYSTEM\CurrentControlSet\Services\oreans32#DisplayName

HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security

HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security#Security

HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum

HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum#0

HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum#Count

HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum#NextInstance

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Det kommer litt an på om du har noe programvare som bruker noen form for 'beskyttelse' fra Oreans.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

http://www.bleepingcomputer.com/startups/o....sys-15732.html

Kan du scanne denne fillen her Virustotal

C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS

Ha på "vis skjulte filer og mapper " .fjern merking skjul beskyttede oprativsystenfiler"

Har du noe fra oreans innstallert,det er også spyware som innstallerer seg som oreans.

http://www.oreans.com/

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg har ikke installert noe fra Oreans så vidt jeg vet ... hva slags produkter er det de egentlig tilbyr , er det noen kjente ???

Jeg skannet den med virustotal og fikk dette :

MD5: 63617de4a5178dc455a75c8c2cbfe823

First received: 05.26.2006 05:52:07 (CET)

Date: 11.30.2008 00:18:56 (CET) [>3D]

Results: 1/37

Permalink: analisis/0b7192884498acb012404840af69dbeb

Trykket på den linken og fikk opp alle de antivirus programmene. Var visst bare en som reagerte. Hva betyr det egentlig da ???

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Det at bare en reagerer kan bety at det er en såkalt "False-Positive" altså at den reagerer på filen men at det egentlig ikke er noe virus i filen :)

Det kan også være et helt nytt virus som ennå ikke er oppdatert av de fleste antivirus programmer :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Tråden er flyttet til riktig kategori "Virus og antivirus" for å øke sansynligheten for at du får svar.

(Ikke kommenter dette innlegget. Kommentarer på moderering tas på PM :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Gå til veiledningen her: http://itpro.no/supportforum/index.php?showtopic=64908 og last ned og kjør MBAM og Combofix. MBAM for å se om også dette programmet reagerer, og Combofix for å se hva som ble installert i samme periode.

Edit: post loggene her

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jeg fant den filen under DRIVERS og høyreklikket på den for å skannne den med MBAM , den reagerte ikke på den.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Du har ikke fjernet den med SAS enda, sant?

Fortsett med combofix, så ser vi om det er noe system mellom filene og tidspunktet de ble opprettet :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Nei jeg har ikke fjernet den med SAS enda er veldig usikker..

Hvorfor skal jeg kjøre combofix ? Hva gjør det programmet egentlig , sjekker den bare ting som har blitt lagt til i registeret ? Hva fjerner combofix egentlig ?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ja den ligger under : C:\Windows\System32\drivers ....

Du sier at det tilhører Xprotector , hva er det for noe ?

Hvorfor reagerer SAS på det og ikke MBAM eller andre programmer ?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ja den ligger under : C:\Windows\System32\drivers ....

Du sier at det tilhører Xprotector , hva er det for noe ?

Hvorfor reagerer SAS på det og ikke MBAM eller andre programmer ?

Fordi SAS ikke har fullverdig database for å hoppe over det man kaller false positives, og anser den for skummel software.....mens MBAM tydeligvis har den i sin database.

Det er ofte slik med sikkerhetsprogrammer, derfor er det lurt å aldri kjøre mer enn ett AV-program f.eks.

;)

http://www.gold-software.com/download6726.html

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Men Xprotector har jeg aldri lastet ned ...

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Du har kansje en bærbar,noen typer bærbar kommer Xprotector ferdig innstallert.

Kansje også på stasjonær viss du har kjøpt en ferdig pakke.

Dette er som sakt før en falsk postetiv melding fra SAS.

Har du ikke noen andre problemer enn dette kan vi vel avslutte nå.

Endret av snippsat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Det har ikke kommet en toolbar eller noe med på lasset fra noe annet da?

Prøv å søk på xprotector og oreans i explorer, og se hva dan kommer opp med.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

XProtector virker tvilsomt også når jeg sjekker det.

Mye svada om unik teknologi, men lite facts om hvem som står bak. Jeg plukket ut både programmet og nettstedet gold-software.com som tvilsomme temmelig kjapt. En sjekk viser at de har ca. 10 prosent tvilsomme nedlastinger, og det er for mye for et OK nettsted.

Det finnes en lovlig XProtector fra Sourcforge.net fra 2004 og tidligere, mens resten av XProtector virker tvilsomme.

------

Gold-software.com:

Nettstedet har alt for mange typiske spredere av spyware. Jeg sjekket bare overfladisk,men fant haugetalls av treff på screensavere og andre typiske spredere.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Selvfølgelig er det slik Morten....som det forøvrig er de aller fleste steder som tilbyr shareware.....det er slik de får sine inntekter.....selve Xprotector blir ikke verken mer eller mindre skummel av den grunn.

;)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

'Problemet' med denne driveren (oreans32.sys), er at den brukes både som legal og ondsinnet dekompilering forebygginging. De 'snille' gutta bruker å dekompilere malware for å bruke dette i sine anti-programmer. The bad gays vet dette og de bruker derfor også denne driveren for å prøve å forhindre dette. Om denne driveren i ditt tilfelle skal være der, er avhengig av om du bruker noen form for software der denne driveren brukes. Du kan sikkert finne ut hvilken dato driveren ble installert på pc'n og sjekke dette opp i mot installerte programmer.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Finnes denne i C:\Windows\System32\drivers, er det 95% mulighet for at det er der legitimt.....og det (i tillegg til øvrig info om denne) er nok for å avgjøre at det ikke er noe skummelt.

På den annen side, er den satt som "users choise" mht. avinstallering, så den kan godt slettes dersom brukeren ikke ser nytte i den.....

;)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Selv om brukeren ikke ser noen poeng i å ha fila der, så er det ikke sikkert at programmet som krever at fila er der, blir happy om den fjernes. Vil anta at progarmmet da rett og slett ikke vil kjøre.

- og det funger ikke med prosentregning her fordi denne fila plasseres på samme plass av malware. Det er derfor den er problematisk.

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Jepp, det er jo også en mulighet....

:P

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Så om man kunne fått en combofix logg (ja, jeg har fått med meg at du er særdeles skeptisk til denne, papsn), så kan man ut fra loggen evt. se om man kan finne ut om fila har kommet fra et legalt program eller ikke.

At SAS ikke fant noe mer enn denne fila, tyder imidlertid på at fila kan få være i fred - foreløpig.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvorfor skal jeg kjøre combofix ? Hva gjør det programmet egentlig , sjekker den bare ting som har blitt lagt til i registeret ? Hva fjerner combofix egentlig ?

Tenker at combofix kan vise litt bedre hvorfor filen er på pc-en din. Programmet fjerner en del kjente filer, men hovedpoenget med den er at den lager en logg over siste filer og siste endringer som har skjedd på pc-en, samt en liste over registeroppføringene.

Programmet er et av de kraftigste prgorammene vi har blant annet for å fjerne malware (men også for å drive feilsøking), og ved bruk sammen med en som har erfaring med programmet, er det mye som kan løses.

Programmet blir brukt på de fliste antimalware-forum, noe som for meg betyr at det er et trygt program.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvorfor skal jeg kjøre combofix ? Hva gjør det programmet egentlig , sjekker den bare ting som har blitt lagt til i registeret ? Hva fjerner combofix egentlig ?

The latest version of combofix flat out tells you that 1/100 computers can be corrupted as a result of combofix cleaning infections. This is true...I know. Anyway, before you run combofix you should run a complete av using Spyware Doctor with AntiVirus

Why?

ComboFix will delete any infected files...that means system files. So, on your next reboot you may not be booting at all.

# # # # #

Dette gjentar seg i forum etter forum med pc-support world wide....DENNE teksten, er sakset fra bleepingcomputer.com

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive