Po zrestarowaniu kompa zauważłem że aplikacja pokazująca wysyłane i obierane z sieci dane pokazuje mi wysyłanie danych na poziomie 6-10 kB. Troszkę się z dziwiłem, bo przeglądarki, klient poczty, muł, i inne takie powyłączane - więc stałem się podejrzliwy.
Po chwili komunikat z NIS2005:
że program C:\u8f7p2g4 próbuje uzyskać dostęp do internetu - nie używam takich nazw, więc zablokowałem.
Po chwili komunika z NIS2005:
Odłączyłem na chwilę net, obciążenie procesora wzrosło do 100%
Po sprawdzeniu w menedzeże zadań okazało się, że ponad 90% zasobów pochłaniał proces ttlms.exe
Zablokowałem go w NIS2005, podłączyłem net, dziwnego ruchu wychodzącego nie ma.
Mam jednak przekonanie, że mam jakiś syf na moim kompie - prośba o spojrzenie w log hijack i pomoc, acha i czy ktoś ma pojęcie o co chodziło z tym komunikatem NIS o ataku z podaniem pojego IP?
Niestety, po zakończeniu pracy combofix zniknęły mi wszystkie ikony na pulpicie - więc restart.
Po restarcie, nie mam śladu, żebym instalował combofix (menu start, pulpit, program files), za to obiążenie procesora znowu 100% - sprawca ten sam ttlms.exe.
Tak więc, aby zrealizować procedurę proponowaną przez jessica, ponownie zainstaluję combofix.
Files to delete:
D:\WINNT\clmcs.exe
D:\WINNT\system32\ttlms.exe
D:\WINNT\17PHolmes1148.exe
Drivers to unload:
"Management Consultants (CLMCs)"
TTLMS
Kliknij “Done”. Kliknij “zielone światełko”. Kliknij “TAK”. Zrestartuj komputer. Daj raport z Avengera z D:\avenger.txt. (na wklej.org). Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jakoFIX.REG>>>
poprzedni log z combofixa był wygenerowany przed zrealizowaniem Twojej sugestii z przenoszeniem pliku CFScript. Przed momentem przeciągnąłem ten plik zgodnie z sugestią.
Combofix popracował, zrestartował mi kompa i wygenerował taki oto raport:
W tej chwili obciążenie procka minimalne, brak ttmls.exe w procesach Menedzera zadań, jednak nie uruchomiła mi się część aplikacji, która powinna. Zaraz robię restart i zobaczymy co wtedy.
Po ponownym restarcie nadal wszystko ok, tzn. obciążenie procka normalne, nie ma ttmls, więc chyba nie ma potrzeby stosowania Avengera?
A tak właściwie, to co to było: wirus, trojan czy coś jeszcze innego? I dlaczego NIS2005 pokazywał komunikaty informujące, że przeprowadzany jest atak na mój komp, z mojego IP?