Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

4 "nietykalne" pliki w katalogu temp

#1
4 "nietykalne" pliki w katalogu temp
Witam
Dziś zauważyłem cztery pliki w tempach, które są kompletnie nietykalne, nic nie da się z nimi zrobić - usunąć, przenieść, zmienić nazwy, uruchomić, a nawet przesłać na virustotal, przeskanować MSE czy spakować. Komunikat który się wtedy wyświetla głosi, że potrzebuję do tego praw administratora - a robiłem to na koncie z takimi właśnie uprawnieniami. Bardzo mnie to martwi, czy to może być jakieś malware? Czy ktoś na forum kojarzy te pliki? Może są z jakiegoś programu i ktoś wie z jakiego? Oto one - https://zapodaj.net/images/8f9efb4f2134f.png

Edit: Z czterech zrobiło się osiem. Mają takie same "właściwości" i nazywają się tak samo, oprócz drugiej liczby - dwa razy jest to 131 i dwa razy 133.
Edit2: Te 133 poznikały, podobnie jak dwa pierwsze ze zdjęcia. Nie mam bladego pojęcia co tu się dzieje, nie mam uruchomionych w tle żadnych programów których nie uruchamiałbym wcześniej
Edit3: A teraz znowu jakieś 135... Obawiam się o jakiegoś keyloggera który regularnie robi tutaj dumpy
 System operacyjny: windows_seven Przeglądarka: firefox
#2
RE: 4 "nietykalne" pliki w katalogu temp
Spróbuj z prawokliku zobaczyć ich właściwości.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: 4 "nietykalne" pliki w katalogu temp
O którą zakładkę właściwości dokładnie chodzi?
Edit: Pliki 130 zostały, dwa kolejne się kasują i na ich miejsce pojawiają nastepne z innymi nazwami, teraz już doszło do 139. Jestem mocno przerażony. Wszystkie ważą 2048 kb
Edit2: Doszło do 154 a kilka minut temu w ogóle wszystko stamtąd poznikało. Już nie wiem co o tym myśleć
Edit3: I pojawiły się ponownie, teraz z numerkami 2x155 i 2x236
Edit4: I zamiast nich po dwie sztuki 238 i po dwie 241. Nigdy wcześniej nic takiego mi się nie przydarzyło
 System operacyjny: windows_seven Przeglądarka: firefox
#4
RE: 4 "nietykalne" pliki w katalogu temp
Zrób zestaw logów z FRST, logi wklej po kolei na stronę "pastebin.pl", podaj do nich linki. Zobaczymy co siedzi w systemie.
[Obrazek: 2019-09-05-23h15-00.png]
 System operacyjny: android Przeglądarka: chrome
#5
RE: 4 "nietykalne" pliki w katalogu temp
FRST - https://pastebin.com/RM2JudLL
Addition - https://pastebin.com/bkGWnzPW
Shortcut - https://pastebin.com/GKvSXjaS
Proszę
 System operacyjny: windows_seven Przeglądarka: firefox
#6
RE: 4 "nietykalne" pliki w katalogu temp
Ok, analiza wieczorem, proszę o cierpliwość...
[Obrazek: 2019-09-05-23h15-00.png]
 System operacyjny: windows_ten Przeglądarka: chrome
#7
RE: 4 "nietykalne" pliki w katalogu temp
Jasne, nie ma problemu, zaczekam. Dodam tylko, że dziś te pliki też się robią i obecnie są to 2 "cubeb-shm-3700-78" input i output
 System operacyjny: windows_seven Przeglądarka: firefox
#8
RE: 4 "nietykalne" pliki w katalogu temp
Uruchom "FRST". NA klawiaturze naciśnij jednocześnie "CTRL+Y" .Otworzy się Notatnik, wklej do niego:

Cytat:SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
FF Plugin: Atmicrosoft.com/GENUINE -> disabled [Brak pliku]
FF Plugin-x32: Atjava.com/JavaPlugin -> C:\Program Files (x86)\Java\jre1.8.0_131\bin\new_plugin\npjp2.dll [Brak pliku]
FF Plugin-x32: Atmicrosoft.com/GENUINE -> disabled [Brak pliku]
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Brak pliku
FirewallRules: [{0BA9DF22-9BDB-4478-A3C1-48C2236BDAAC}] => (Allow) D:\SteamLibrary\SteamApps\common\Stealth Inc 2\settings\settings.exe => Brak pliku
FirewallRules: [{E6CB561F-A2D2-4E85-B2EC-1F4191C8B670}] => (Allow) D:\SteamLibrary\SteamApps\common\Stealth Inc 2\settings\settings.exe => Brak pliku
FirewallRules: [{46E07253-624C-4DF5-8C2C-493637EACE2B}] => (Allow) D:\SteamLibrary\SteamApps\common\1953 - KGB Unleashed\Bin\Phobos.exe => Brak pliku
FirewallRules: [{1ECADB56-8269-48B8-B68E-22BE3A0C0FF5}] => (Allow) D:\SteamLibrary\SteamApps\common\1953 - KGB Unleashed\Bin\Phobos.exe => Brak pliku
FirewallRules: [{752E7FA2-DA9D-4798-91BF-CA5C4BEC598B}] => (Allow) D:\SteamLibrary\SteamApps\common\Zombie_Driver_HD\bin\ZombieDriverHD.exe => Brak pliku
FirewallRules: [{D26D673D-E955-4EE8-9A24-00AD9B4FDDF2}] => (Allow) D:\SteamLibrary\SteamApps\common\Zombie_Driver_HD\bin\ZombieDriverHD.exe => Brak pliku
FirewallRules: [{5059A0EB-BD2D-4663-95BE-F42C0023C412}] => (Allow) C:\Users\kl\AppData\Roaming\Zoom\bin\airhost.exe => Brak pliku
FirewallRules: [TCP Query User{AF208612-2523-4BAF-B52E-73E2C8E7708F}D:\steamlibrary\steamapps\common\insurgency2\insurgency_x64.exe] => (Block) D:\steamlibrary\steamapps\common\insurgency2\insurgency_x64.exe => Brak pliku
FirewallRules: [UDP Query User{76CF9B0A-ABF7-4A64-86EF-983F97917D5B}D:\steamlibrary\steamapps\common\insurgency2\insurgency_x64.exe] => (Block) D:\steamlibrary\steamapps\common\insurgency2\insurgency_x64.exe => Brak pliku


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\GTA San Andreas\Instrukcja do gry.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\FL Studio 10.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\FL Studio online.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\Advanced\Install plugin version.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\Advanced\Reset settings.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\Advanced\Uninstall DXi plugin.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\FL Studio 10\Advanced\Unregister ReWire client.lnk
C:\ProgramData\Microsoft\Windows\GameExplorer\{AEA61C53-0B6E-42C4-96DC-AEDDF14763D0}\PlayTasks\0\Blur™.lnk
C:\Users\kl\Favorites\GG dysk.lnk
C:\Users\kl\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\kl\AppData\Local\Microsoft\Windows\GameExplorer\{81E0BA33-FE8B-428F-B271-57576C6DD46A}\PlayTasks\0\Wiedźmin Edycja Rozszerzona.lnk


Tcpip\..\Interfaces\{0499B856-60FA-4AF3-8C11-534AE630A357}: [DhcpNameServer] 194.204.152.34 194.204.159.1
Tcpip\..\Interfaces\{16C9F0CC-C2B0-4520-BE79-0F32BDFB765C}: [DhcpNameServer] 194.204.152.34 194.204.159.1
Tcpip\..\Interfaces\{55A4A2C0-2A5F-4A2F-910E-DBF635C8FEA1}: [DhcpNameServer] 194.204.152.34 194.204.159.1
Tcpip\..\Interfaces\{68DA1C05-5D94-4A4D-96E0-B5BEBB55E8BE}: [DhcpNameServer] 194.204.152.34 194.204.159.1


Tcpip\..\Interfaces\{781DD7C8-FF24-409F-B27F-A0A1324967F3}: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{7E04BFED-3378-4E1F-AEA4-0734AF2BF84F}: [DhcpNameServer] 194.204.152.34 194.204.159.1
Tcpip\..\Interfaces\{97D91FCC-6CD7-4DDA-B177-B3D2A5386740}: [DhcpNameServer] 194.204.152.34 194.204.159.1
Tcpip\..\Interfaces\{CD71B0A4-A583-4CD6-B65C-C914B66F9ABA}: [DhcpNameServer] 10.0.0.1
Tcpip\..\Interfaces\{D7FEEBB0-C76C-4933-9299-E7BEEEFB0603}: [DhcpNameServer] 192.168.8.1


EmptyTemp:

Na klawiaturze naciśnij jednocześnie "CTRL+S". W "FRST uruchom opcję na "Fix / Napraw". Po restarcie systemu pokaż otrzymany plik "fixlog.txt", jest on w tym samym miejscu co program "FRST". Dalej pobierz program "AdwCleaner". Przeskanuj nim system i usuń, co znajdzie, pokaż raport z czyszczenia tym programem. Na koniec pobierz program "Malwaresbytes" i przeskanuj nim system, jeśli jeszcze coś znajdzie, to usuń i pokaż raport z usuwania.
System zgłasza też brak sterownika do czegoś, zaktualizuj sterowniki w systemie za pomocą "SnailDriver".
Nie widze nic niepokojącego w systemie, wyżej to głównie akcje porządkowe w systemie. Te pliki tymczasowe muszą być tworzone przez jakiś program działający w systemie lub sam Windows. Zobacz, co powiedzą Ci właściwości tych plików.
[Obrazek: 2019-09-05-23h15-00.png]
 System operacyjny: windows_ten Przeglądarka: chrome
#9
RE: 4 "nietykalne" pliki w katalogu temp
Okej, dziękuję, już się biorę za robienie tych instrukcji które mi podałeś ale mam pytanie, czy FRST przeskanował też te pliki z ktorymi mam problem? Obawiam się, że mógł je pominąć, np nie dają się zeskanować ani MSE ani Malwarebytes, a gdy próbuję zeskanować cały folder to oba programy je pomijają. Nie miałem w pewnym momencie w Temp niczego oprócz tych dziwnych plików i po zeskanowaniu całości MBAM wyświetlił, że przeanalizował... 0 plików.

Właściwości tych plików na razie nic mi nie mówią bo... póki co ich nie ma, ale jeszcze przed godziną były. Trudno było znaleźć cokolwiek we właściwościach, zauważyłem tylko to, że nie da się zmienić ich właściciela w zabezpieczeniach, wywala odmowa dostępu. To samo się pojawia gdy chcę zrobić z nimi cokolwiek - nigdy nie zetknąłem się z czymś takim, że plik nie daje się uploadować na virustotal czy choćby skopiować.

W jaki sposób można sprawdzić jaki program lub proces odpowiada za ich tworzenie? Da się je jakoś "zbadać" pod tym kątem?
Edit: Zrobiły się znowu.

To fixlog - https://pastebin.com/hesaWQbW
ADW nic nie znalazł
 System operacyjny: windows_seven Przeglądarka: firefox
#10
RE: 4 "nietykalne" pliki w katalogu temp
Umm, jeśli się nie da wyświetlić informacji o pliku, to raczej ciężko będzie. Może z poziomu Linuxa gdy zabezpieczenia tych plików w Windows nie będą działać do podglądu itp.
[Obrazek: 2019-09-05-23h15-00.png]
 System operacyjny: windows_ten Przeglądarka: chrome
Programy: Polecane / Nowe / Inne




Podobne wątki (4 "nietykalne" pliki w katalogu temp)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Samoistne otwieranie się strony www oraz katalogu systemowego. ZETAJKON 4 4448 25.06.2013, 09:26
Ostatni post: ZETAJKON
  Trojan Win32. Malware w katalogu windows ssmoczy 12 5811 21.01.2013, 16:15
Ostatni post: ssmoczy
  Nazwa katalogu jest nie prawidłowa. Diablix 0 2347 21.10.2011, 19:30
Ostatni post: Diablix

Skocz do:


Wybrane wątki (4 "nietykalne" pliki w katalogu temp)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Windows Defender - ciągłe skanowanie? DonOmar3 13 30548 06.02.2020 00:52
Ostatni post: Illidan
  Wirus blokuje dostęp do internetu Rzychu 10 19213 05.02.2020 12:10
Ostatni post: wlisik
  Uwaga na crackerów wlisik 11 19427 04.02.2020 23:59
Ostatni post: Illidan
  Potencjalnie zainfekowane pliki na FTP Unlimited 5 2850 02.02.2020 19:21
Ostatni post: kompowiep
  Po starcie systemu włącza się strona z wirusem [wydzielone] sugar80 2 8311 01.02.2020 16:53
Ostatni post: sugar80
  cmd.exe użycie procesora 100% drunkparis 6 2404 22.12.2019 18:41
Ostatni post: drunkparis
  Nieautoryzowane logowanie na Facebooka - możliwy keylogger Pawes97 1 8801 15.12.2019 09:12
Ostatni post: morderca
  Internet spowalnia komputer technomaro 10 20930 04.12.2019 20:32
Ostatni post: donatanio
  Prośba o sprawdzenie logów. bartosz777 2 9298 01.12.2019 14:01
Ostatni post: boroczek
  Sprawdzenie logów- powolne działanie komputera technomaro 4 9127 16.11.2019 21:19
Ostatni post: technomaro
  Antywirusy nowaak2 7 9327 01.11.2019 19:04
Ostatni post: Fix00ser
  Wpuściłem trojana. Czy udało im się to rozwiązać? eryk237 1 2228 31.10.2019 07:35
Ostatni post: broda99
  Trojan:Win32/Fuery.B!cl aqu32 2 10868 25.09.2019 23:03
Ostatni post: aqu32
  Zablokowany dostęp do folderu (folder pobrane nie odpowiada) Nefrearna 1 10507 25.09.2019 20:19
Ostatni post: aqu32
  prosba o sprawdzenie logów - samootwierajace sie strony capd 3 10390 18.09.2019 09:52
Ostatni post: morderca