Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

4 "nietykalne" pliki w katalogu temp

#1
4 "nietykalne" pliki w katalogu temp
Witam
Dziś zauważyłem cztery pliki w tempach, które są kompletnie nietykalne, nic nie da się z nimi zrobić - usunąć, przenieść, zmienić nazwy, uruchomić, a nawet przesłać na virustotal, przeskanować MSE czy spakować. Komunikat który się wtedy wyświetla głosi, że potrzebuję do tego praw administratora - a robiłem to na koncie z takimi właśnie uprawnieniami. Bardzo mnie to martwi, czy to może być jakieś malware? Czy ktoś na forum kojarzy te pliki? Może są z jakiegoś programu i ktoś wie z jakiego? Oto one - https://zapodaj.net/images/8f9efb4f2134f.png

Edit: Z czterech zrobiło się osiem. Mają takie same "właściwości" i nazywają się tak samo, oprócz drugiej liczby - dwa razy jest to 131 i dwa razy 133.
Edit2: Te 133 poznikały, podobnie jak dwa pierwsze ze zdjęcia. Nie mam bladego pojęcia co tu się dzieje, nie mam uruchomionych w tle żadnych programów których nie uruchamiałbym wcześniej
Edit3: A teraz znowu jakieś 135... Obawiam się o jakiegoś keyloggera który regularnie robi tutaj dumpy
 System operacyjny: windows_seven Przeglądarka: firefox
#2
RE: 4 "nietykalne" pliki w katalogu temp
Spróbuj z prawokliku zobaczyć ich właściwości.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: 4 "nietykalne" pliki w katalogu temp
O którą zakładkę właściwości dokładnie chodzi?
Edit: Pliki 130 zostały, dwa kolejne się kasują i na ich miejsce pojawiają nastepne z innymi nazwami, teraz już doszło do 139. Jestem mocno przerażony. Wszystkie ważą 2048 kb
Edit2: Doszło do 154 a kilka minut temu w ogóle wszystko stamtąd poznikało. Już nie wiem co o tym myśleć
Edit3: I pojawiły się ponownie, teraz z numerkami 2x155 i 2x236
Edit4: I zamiast nich po dwie sztuki 238 i po dwie 241. Nigdy wcześniej nic takiego mi się nie przydarzyło
 System operacyjny: windows_seven Przeglądarka: firefox
#4
RE: 4 "nietykalne" pliki w katalogu temp
Zrób zestaw logów z FRST, logi wklej po kolei na stronę "pastebin.pl", podaj do nich linki. Zobaczymy co siedzi w systemie.
[Obrazek: 2019-09-05-23h15-00.png]
 System operacyjny: android Przeglądarka: chrome
#5
RE: 4 "nietykalne" pliki w katalogu temp
FRST - https://pastebin.com/RM2JudLL
Addition - https://pastebin.com/bkGWnzPW
Shortcut - https://pastebin.com/GKvSXjaS
Proszę
 System operacyjny: windows_seven Przeglądarka: firefox
#6
RE: 4 "nietykalne" pliki w katalogu temp
Ok, analiza wieczorem, proszę o cierpliwość...
[Obrazek: 2019-09-05-23h15-00.png]
 System operacyjny: windows_ten Przeglądarka: chrome
#7
RE: 4 "nietykalne" pliki w katalogu temp
Jasne, nie ma problemu, zaczekam. Dodam tylko, że dziś te pliki też się robią i obecnie są to 2 "cubeb-shm-3700-78" input i output
 System operacyjny: windows_seven Przeglądarka: firefox
#8
RE: 4 "nietykalne" pliki w katalogu temp
Uruchom "FRST". NA klawiaturze naciśnij jednocześnie "CTRL+Y" .Otworzy się Notatnik, wklej do niego:

Cytat:SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
FF Plugin: Atmicrosoft.com/GENUINE -> disabled [Brak pliku]
FF Plugin-x32: Atjava.com/JavaPlugin -> C:\Program Files (x86)\Java\jre1.8.0_131\bin\new_plugin\npjp2.dll [Brak pliku]
FF Plugin-x32: Atmicrosoft.com/GENUINE -> disabled [Brak pliku]
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Brak pliku
FirewallRules: [{0BA9DF22-9BDB-4478-A3C1-48C2236BDAAC}] => (Allow) D:\SteamLibrary\SteamApps\common\Stealth Inc 2\settings\settings.exe => Brak pliku
FirewallRules: [{E6CB561F-A2D2-4E85-B2EC-1F4191C8B670}] => (Allow) D:\SteamLibrary\SteamApps\common\Stealth Inc 2\settings\settings.exe => Brak pliku
FirewallRules: [{46E07253-624C-4DF5-8C2C-493637EACE2B}] => (Allow) D:\SteamLibrary\SteamApps\common\1953 - KGB Unleashed\Bin\Phobos.exe => Brak pliku
FirewallRules: [{1ECADB56-8269-48B8-B68E-22BE3A0C0FF5}] => (Allow) D:\SteamLibrary\SteamApps\common\1953 - KGB Unleashed\Bin\Phobos.exe => Brak pliku
FirewallRules: [{752E7FA2-DA9D-4798-91BF-CA5C4BEC598B}] => (Allow) D:\SteamLibrary\SteamApps\common\Zombie_Driver_HD\bin\ZombieDriverHD.exe => Brak pliku
FirewallRules: [{D26D673D-E955-4EE8-9A24-00AD9B4FDDF2}] => (Allow) D:\SteamLibrary\SteamApps\common\Zombie_Driver_HD\bin\ZombieDriverHD.exe => Brak pliku
FirewallRules: [{5059A0EB-BD2D-4663-95BE-F42C0023C412}] => (Allow) C:\Users\kl\AppData\Roaming\Zoom\bin\airhost.exe => Brak pliku
FirewallRules: [TCP Query User{AF208612-2523-4BAF-B52E-73E2C8E7708F}D:\steamlibrary\steamapps\common\insurgency2\insurgency_x64.exe] => (Block) D:\steamlibrary\steamapps\common\insurgency2\insurgency_x64.exe => Brak pliku
FirewallRules: [UDP Query User{76CF9B0A-ABF7-4A64-86EF-983F97917D5B}D:\steamlibrary\steamapps\common\insurgency2\insurgency_x64.exe] => (Block) D:\steamlibrary\steamapps\common\insurgency2\insurgency_x64.exe => Brak pliku


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas\Instrukcja do gry.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\FL Studio 10.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\FL Studio online.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\Advanced\Install plugin version.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\Advanced\Reset settings.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\Advanced\Uninstall DXi plugin.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\Advanced\Unregister ReWire client.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{AEA61C53-0B6E-42C4-96DC-AEDDF14763D0}\PlayTasks\0\Blur™.lnk
C:\Users\kl\Favorites\GG dysk.lnk
C:\Users\kl\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\kl\AppData\Local\Microsoft\Windows\GameExplorer\{81E0BA33-FE8B-428F-B271-57576C6DD46A}\PlayTasks\0\Wiedźmin Edycja Rozszerzona.lnk


Tcpip\..\Interfaces\{0499B856-60FA-4AF3-8C11-534AE630A357}: [DhcpNameServer] 194.204.152.34 194.204.159.1
Tcpip\..\Interfaces\{16C9F0CC-C2B0-4520-BE79-0F32BDFB765C}: [DhcpNameServer] 194.204.152.34 194.204.159.1
Tcpip\..\Interfaces\{55A4A2C0-2A5F-4A2F-910E-DBF635C8FEA1}: [DhcpNameServer] 194.204.152.34 194.204.159.1
Tcpip\..\Interfaces\{68DA1C05-5D94-4A4D-96E0-B5BEBB55E8BE}: [DhcpNameServer] 194.204.152.34 194.204.159.1


Tcpip\..\Interfaces\{781DD7C8-FF24-409F-B27F-A0A1324967F3}: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{7E04BFED-3378-4E1F-AEA4-0734AF2BF84F}: [DhcpNameServer] 194.204.152.34 194.204.159.1
Tcpip\..\Interfaces\{97D91FCC-6CD7-4DDA-B177-B3D2A5386740}: [DhcpNameServer] 194.204.152.34 194.204.159.1
Tcpip\..\Interfaces\{CD71B0A4-A583-4CD6-B65C-C914B66F9ABA}: [DhcpNameServer] 10.0.0.1
Tcpip\..\Interfaces\{D7FEEBB0-C76C-4933-9299-E7BEEEFB0603}: [DhcpNameServer] 192.168.8.1


EmptyTemp:

Na klawiaturze naciśnij jednocześnie "CTRL+S". W "FRST uruchom opcję na "Fix / Napraw". Po restarcie systemu pokaż otrzymany plik "fixlog.txt", jest on w tym samym miejscu co program "FRST". Dalej pobierz program "AdwCleaner". Przeskanuj nim system i usuń, co znajdzie, pokaż raport z czyszczenia tym programem. Na koniec pobierz program "Malwaresbytes" i przeskanuj nim system, jeśli jeszcze coś znajdzie, to usuń i pokaż raport z usuwania.
System zgłasza też brak sterownika do czegoś, zaktualizuj sterowniki w systemie za pomocą "SnailDriver".
Nie widze nic niepokojącego w systemie, wyżej to głównie akcje porządkowe w systemie. Te pliki tymczasowe muszą być tworzone przez jakiś program działający w systemie lub sam Windows. Zobacz, co powiedzą Ci właściwości tych plików.
[Obrazek: 2019-09-05-23h15-00.png]
 System operacyjny: windows_ten Przeglądarka: chrome
#9
RE: 4 "nietykalne" pliki w katalogu temp
Okej, dziękuję, już się biorę za robienie tych instrukcji które mi podałeś ale mam pytanie, czy FRST przeskanował też te pliki z ktorymi mam problem? Obawiam się, że mógł je pominąć, np nie dają się zeskanować ani MSE ani Malwarebytes, a gdy próbuję zeskanować cały folder to oba programy je pomijają. Nie miałem w pewnym momencie w Temp niczego oprócz tych dziwnych plików i po zeskanowaniu całości MBAM wyświetlił, że przeanalizował... 0 plików.

Właściwości tych plików na razie nic mi nie mówią bo... póki co ich nie ma, ale jeszcze przed godziną były. Trudno było znaleźć cokolwiek we właściwościach, zauważyłem tylko to, że nie da się zmienić ich właściciela w zabezpieczeniach, wywala odmowa dostępu. To samo się pojawia gdy chcę zrobić z nimi cokolwiek - nigdy nie zetknąłem się z czymś takim, że plik nie daje się uploadować na virustotal czy choćby skopiować.

W jaki sposób można sprawdzić jaki program lub proces odpowiada za ich tworzenie? Da się je jakoś "zbadać" pod tym kątem?
Edit: Zrobiły się znowu.

To fixlog - https://pastebin.com/hesaWQbW
ADW nic nie znalazł
 System operacyjny: windows_seven Przeglądarka: firefox
#10
RE: 4 "nietykalne" pliki w katalogu temp
Umm, jeśli się nie da wyświetlić informacji o pliku, to raczej ciężko będzie. Może z poziomu Linuxa gdy zabezpieczenia tych plików w Windows nie będą działać do podglądu itp.
[Obrazek: 2019-09-05-23h15-00.png]
 System operacyjny: windows_ten Przeglądarka: chrome
Programy: Polecane / Nowe / Inne




Podobne wątki (4 "nietykalne" pliki w katalogu temp)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Samoistne otwieranie się strony www oraz katalogu systemowego. ZETAJKON 4 3371 25.06.2013, 09:26
Ostatni post: ZETAJKON
  Trojan Win32. Malware w katalogu windows ssmoczy 12 4682 21.01.2013, 16:15
Ostatni post: ssmoczy
  Nazwa katalogu jest nie prawidłowa. Diablix 0 1347 21.10.2011, 19:30
Ostatni post: Diablix

Skocz do:


Wybrane wątki (4 "nietykalne" pliki w katalogu temp)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Internet mobilny a bezpieczeństwo komputera? sedor 4 8282 02.10.2018 10:15
Ostatni post: Bartosz858
  Wyskakujące niechciane karty w przeglądarce balagan 4 6265 26.09.2018 19:54
Ostatni post: balagan
  Wirus blokuje adwcleaner, malvarebytes Blu255 7 6274 22.09.2018 23:39
Ostatni post: Blu255
  same otwierają sie nowe karty i przekierowują strony sommer 2 6070 20.09.2018 10:11
Ostatni post: sommer
  Probelm z certyfikatami. Preac 0 5506 19.09.2018 20:01
Ostatni post: Preac
  Wirus blokuje adwcleaner, malvarebytes Blu255 0 5237 18.09.2018 23:53
Ostatni post: Blu255
Ściana Hasło po wpisaniu hasła do komputera - jak dodatkowo zabezpieczyć PC? KrzysztofGo 3 5339 18.09.2018 16:37
Ostatni post: Officer Crabtree
  Połączenie nie jest prywatne? Preac 7 6420 15.09.2018 23:29
Ostatni post: Officer Crabtree
  Problem z niechcianym yahoo grzesiekDG 4 6057 15.09.2018 13:50
Ostatni post: grzesiekDG
  Problem z usunięciem URL:Mal. MyMati 6 1403 10.09.2018 14:27
Ostatni post: MyMati
Cry Redirect lukigniew 26 15452 05.09.2018 21:19
Ostatni post: Illidan
  Wolniejsza praca komputera oraz dziwne foldery w regedit. malcza 4 5992 25.08.2018 13:59
Ostatni post: malcza
  Samoczynne otwieranie się stron Panda00 2 6279 14.08.2018 09:25
Ostatni post: Panda00
  Wirus blokuje programy typu adwcleaner, malwarebytes Bartexi 4 6852 10.08.2018 19:01
Ostatni post: Bartexi
  Przy włączeniu się win 8.1 uruchamia się win wow sys 64. emilka100 8 1398 09.08.2018 19:08
Ostatni post: emilka100