Jak usunąć 12.tmp


(Grzesiek860) #1

Sprawa wygląda tak: Nie zauważyłem jakiś anomalii jeśli chodzi o pracę komputera, nie zawiesza się, net chodzi tak jak trzeba,w menadżerze zadań jeśli nic nie robię to proces bezczynności systemu ma CPU na 99% no i taskmgr.exe co jakiś czas 1% (także jak podłączony jest net). Jednakże sprawdzam co jakiś czas kompa i RootKit Hook Analyzer jak i gmer wykryły RootKita. Nie mam pojęcia jak sobie z tym poradzić, boję się, że Rootkit może ukrywać inne procesy, które mogą być o wiele bardziej szkodliwe. Dlatego proszę o sprawdzenie loga, oczywiście nie wykluczam możliwości, że RootKit Hook Analyzer albo gmer mogłyby się mylić (choć to chyba mało prawdopodobne) Dodam, że ostatnio grałem z kumplami i graliśmy na 14 komputerów, najprawdopodobniej wtedy coś złapałem bo przed zlotem RootKit Hook Analyzer nic nie wykrywał. Tutaj logi:

Combofix - http://wklejto.pl/13280

HijacThis - http://wklejto.pl/13281


(Spandau) #2

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(Grzesiek860) #3

Log z Combofixa - http://www.wklejto.pl/13286


(Leon$) #4

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport stronę uruchomić przez IE

zastanów się co znaczy słowo bezczynność

:slight_smile:


(Grzesiek860) #5

Wiem co znaczy słowo bezczynność :slight_smile: To, że napisałem "w menadżerze zadań jeśli nic nie robię to proces bezczynności systemu ma CPU na 99%" nie oznaczało, że panikuje iż jest jakiś proces co używa procka w 99%, tylko chciałem podkreślić to, że wygląda na to, że w kompie zupełnie nic się nie dzieje, a jak widać okazało się, że coś jednak siedziało.

Wracając do sprawy, niestety narazie nie zdążę zrobić skana kasperskim bo muszę już wychodzić, ale koło 19 powinien już być, więc pewnie skan dam na 20:00. Oczywiście zrobiłem wszystkie te pozostałe czynności co napisałeś. RootKit Hook Analyzer i gmer nadal wykrywa Rootkity z małą zmianą bo wcześniej było w części Module: "spun.sys" a teraz zamiast "spun.sys" jest "spjz.sys" , ale zobaczymy może kaspersky rozjaśni sprawę.


(Grzesiek860) #6

Tutaj raport z Kasperskiego ---> http://wklejto.pl/13333

Kaspersky nic nie wykrył.

Dodaje dodatkowo raport z gmera ---> http://wklejto.pl/13334

Z RootKit Hook Analyzer wyskakuje jakiś błąd i nie mogę stworzyć raportu, ewentualnie mogę na prośbę przepisać albo dać screena bo dużo tego nie ma.

Nadal oba te programy wskazują na istnienie Rootkita.


(Grzesiek860) #7

Mógłby ktoś jeszcze na moje logi i ten temat luknąć? Bo sprawa się jeszcze nie skończyła i chciałbym wiedzieć na czym stoję, czy da się jeszcze coś zrobić.


(Leon$) #8

tu masz trochę narzędzi

http://www.searchengines.pl/Rootkit-detectory-t29842.html

:slight_smile:


(Grzesiek860) #9

Dzięki te programy sporo pomogły znalazłem chyba jakieś powiązanie:

Zrobiłem screeny bo raportów się nie dało

Niestety nie znam się na tym i nie wiem czy w ogóle coś znalazłem. Jedyny plik, który widać w systemie z tych co zaznaczyłem na rysunku to: C:\WINDOWS\system32\drivers\sptd.sys

Dodatkowo w między czasie chyba jakiś atak na mój komp był. Bo doszło coś nowego. Pytanie moje czy haker może otwierać porty np. port 135? Używam programu Windows Worms Doors Cleaner 1.4.1 no i pozamykałem porty, ale jak tylko połączę się z netem to port 135 nie jest już z zielonym kółkiem tylko z żółtym trójkątem z wykrzyknikiem.

Nowe logi:

Combofix -> http://wklejto.pl/13399

Hijackthis -> http://wklejto.pl/13400

gmer --> http://wklejto.pl/13398

Ostatnie pytani czy chce się ktoś jeszcze w to bawić czy powinienem dać sobie spokój i formatować kompa?


(Leon$) #10

logi czyste

plik System32 \ drivers \ sptd.sys jest prawidłowym plikiem http://translate.google.pl/translate?hl=pl&sl=en&u=http://www.bleepingcomputer.com/startups/sptd-13477.html&sa=X&oi=translate&resnum=6&ct=result&prev=/search%3Fq%3Dsptd.sys%26hl%3Dpl%26lr%3D%26client%3Dfirefox-a%26channel%3Ds%26rls%3Dorg.mozilla:pl:official%26sa%3DG

a oprócz podejrzenia rootkita co się dzieje? bo format to ostateczność

:slight_smile:


(Grzesiek860) #11

No nic się nie dzieje, ale to co wykrył gmer ten plik IsDrv122.sys to znalazłem w necie, że to jakiś: W32.Almanahe.D i że to jakiś wirus polimorficzny. Tutaj link: http://chameleonstales.blogspot.com/200 ... chive.html gość pisał, że ostatnim plikiem ze szkodników jaki znalazł był launcher.exe i że był on w katalogu z Javą no i ja mam też ten plik i rzeczywiście jest w katalogu z javą.

a tutaj angielski opis tego wirusa: http://www.bitdefender.com/VIRUS-100021 ... ahe.D.html

Oczywiście nie wiem czy ten gość to profesjonalista i czy zna się na rzeczy.


(Grzesiek860) #12

Ja tam się nie znam na logach, ale w logu z combofixa, który zmieściłem jest:

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\MEMSWEEP2]

"ImagePath"="\??\C:\WINDOWS\system32\158.tmp"

wygląda to niemal analogicznie do tego co kazał mi usunąć spandaupol:

Oczywiście nie wiem czy to jest to samo tylko w innej postaci, więc może się myle. Hehe jestem zwolennikiem walki do końca choć czuję, że to jakaś walka z wiatrakami. No nic narazie czekam na dalsze sugestie.


(Leon$) #13

IsDrv122.sys usuń

http://translate.google.pl/translate?hl=pl&sl=en&u=http://www.greatis.com/appdata/d/i/isdrv122.sys.htm&sa=X&oi=translate&resnum=1&ct=result&prev=/search%3Fq%3DIsDrv122.sys%26hl%3Dpl%26lr%3D%26client%3Dfirefox-a%26channel%3Ds%26rls%3Dorg.mozilla:pl:official%26sa%3DG

:slight_smile:


(Grzesiek860) #14

No cóż chyba coś przekombinowałem albo wirusy całkowicie zjadły mi kompa. W pewnym momencie zmienił się pasek zadań na szary, zniknęła możliwość kopiowania i wklejania, neostrada padła, starciłem możliwość instalacji, komp strasznie się zamulił. Niestety stwierdziłem, że jednak będzie lepiej jak postawie system na nowo toteż tak zrobiłem. Dziękuje za zainteresowanie i próbę rozwiązania mojego problemu. Pozdrawiam.