Dziwny ruch wychodzący z kompa i ttlms.exe


(M888k) #1

Proszę o pomoc w następującej sytuacji:

Po zrestarowaniu kompa zauważłem że aplikacja pokazująca wysyłane i obierane z sieci dane pokazuje mi wysyłanie danych na poziomie 6-10 kB. Troszkę się z dziwiłem, bo przeglądarki, klient poczty, muł, i inne takie powyłączane - więc stałem się podejrzliwy.

Po chwili komunikat z NIS2005:

że program C:\u8f7p2g4 próbuje uzyskać dostęp do internetu - nie używam takich nazw, więc zablokowałem.

Po chwili komunika z NIS2005:

p><p> <img src=

Odłączyłem na chwilę net, obciążenie procesora wzrosło do 100%

Po sprawdzeniu w menedzeże zadań okazało się, że ponad 90% zasobów pochłaniał proces ttlms.exe

Zablokowałem go w NIS2005, podłączyłem net, dziwnego ruchu wychodzącego nie ma.

Mam jednak przekonanie, że mam jakiś syf na moim kompie - prośba o spojrzenie w log hijack i pomoc, acha i czy ktoś ma pojęcie o co chodziło z tym komunikatem NIS o ataku z podaniem pojego IP?

Tutaj log z hijack:

http://wklej.org/id/8ddce75b3c

Dzięki.


(Orzechjuve0) #2

Daj też log z combofix :slight_smile:


(jessica) #3

Popieram poprzednika, ale ...

>>Hijack>>scan(Do a system scan only)>>zaznacz (V) >> Fix checked.

Ściągnij >>ComboFix.

Wklej do Notatnika :

File::

D:\WINNT\mrofinu1148.exe

D:\WINNT\clmcs.exe

D:\WINNT\system32\ttlms.exe

C:\u8f7p2g4


Driver::

CLMCs

TTLMS


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="explorer.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"runner1"=-

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C: **** Qoobox.

jessi


(M888k) #4

Zainstalowałem combo fix, tutaj log:

http://wklej.org/id/ed8e92224b

Niestety, po zakończeniu pracy combofix zniknęły mi wszystkie ikony na pulpicie - więc restart.

Po restarcie, nie mam śladu, żebym instalował combofix (menu start, pulpit, program files), za to obiążenie procesora znowu 100% - sprawca ten sam ttlms.exe.

Tak więc, aby zrealizować procedurę proponowaną przez jessica, ponownie zainstaluję combofix.


(M888k) #5

Do jessica:

Po ponownym uruchomieniu Hijack w trybie scan(do a system scan only), okazało się, że nie ma już zapisu:

O4 - HKUS.DEFAULT..\Run: [] (User 'Default user')

A tak wygląda ostatni log z hijack:

http://wklej.org/id/387c782cfe

A procek nadal obciążony w 100% :cry:


(M888k) #6

combofix się odnalazł, był w folderze głównym, nie w program files, jednak w jego folderze nie ma ikonki takiej jak pokazała jessica, są tylko:

<a href=


(jessica) #7

Widzę, że Script ComboFixa nie wykonał swojego zadania.

Ściągnij -->Avenger.

Zaznacz: "Input Script Manualy". Kliknij "Lupkę". Wklej:

Files to delete:


D:\WINNT\clmcs.exe

D:\WINNT\system32\ttlms.exe

D:\WINNT\17PHolmes1148.exe


Drivers to unload:


"Management Consultants (CLMCs)"

TTLMS

Kliknij "Done". Kliknij "zielone światełko". Kliknij "TAK". Zrestartuj komputer. Daj raport z Avengera z D:\avenger.txt. (na wklej.org). Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="explorer.exe"

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

jessi


(M888k) #8

poprzedni log z combofixa był wygenerowany przed zrealizowaniem Twojej sugestii z przenoszeniem pliku CFScript. Przed momentem przeciągnąłem ten plik zgodnie z sugestią.

Combofix popracował, zrestartował mi kompa i wygenerował taki oto raport:

http://wklej.org/id/a883cc9440

W tej chwili obciążenie procka minimalne, brak ttmls.exe w procesach Menedzera zadań, jednak nie uruchomiła mi się część aplikacji, która powinna. Zaraz robię restart i zobaczymy co wtedy.


(M888k) #9

Po ponownym restarcie nadal wszystko ok, tzn. obciążenie procka normalne, nie ma ttmls, więc chyba nie ma potrzeby stosowania Avengera?

A tak właściwie, to co to było: wirus, trojan czy coś jeszcze innego? I dlaczego NIS2005 pokazywał komunikaty informujące, że przeprowadzany jest atak na mój komp, z mojego IP?


(jessica) #10

Teraz masz do wybru:

albo wykonasz to, co napisałam w swoim poprzednim poście,

albo wykonasz to:

Wklej do Notatnika :

File::

D:\WINNT\17PHolmes1148.exe


Driver::

"Management Consultants (CLMCs)"

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania. (na wklej.org)

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder D:**** Qoobox.

jessi


(M888k) #11

Zalecenie:

"File::

D:\WINNT\17PHolmes1148.exe

Driver::

"Management Consultants (CLMCs)""

wykonałem.

Oto ostatni log z combofixa:

http://wklej.org/id/a36c5d2218

Czekam na dalsze wskazówki :slight_smile: