Dziwne pliki SET*.TMP w katalogu systemowym

[pandawidek]

Witam,

ostatnio zauważyłem niestabilną pracę systemu tzn objawy problem z uruchamianiem komputera, aż do całkowitego padnięcia systemu. Udało mi się to naprawić i odzyskać system. Dzisiaj zauważyłem dziwne pliki w katalogu systemowym np: SET3.tmp, SET4.tmp, SET8.tmp, SETBF.tmp, SETC2.tmp, SETCE.tmp. Dodaję log z HiJackThis i combofix. Proszę o pomoc, co to może być? Pozdrawiam.

COMBOF.txt

Edytowane 6 Października 2011 przez picasso
Log z HijackThis usunięty. //picasso

[picasso]

Po pierwsze, czy temat na pewno założony w sposób przemyślany w prawidłowym dziale? » Diagnostyka malware - Centrum bezpieczeństwa » Dział pomocy doraźnej to dział rozpracowywania infekcji, wymagający zresztą przedstawienia określonych raportów: KLIK. Temat klasyfikuję jako nieinfekcyjny i przechodzi on do działu Windows XP.

 

Po drugie, temat został poddany edycji, pogorszyłeś tylko sprawę, dobrze zaczynający się temat przerobiłeś na miazgę (przeczytaj w końcu link do zasad podany powyżej), wzbogacając o same niepożądane cechy: bardziej odpowiedni tytuł zmieniłeś na kretyńskie "Proszę o sprawdzenie loga" (przywracam poprzedni tytuł tematu) + wstawiłeś nieprawidłowy zestaw "logów":

 

 

Dodaję log z HiJackThis i combofix.

Na forum w zasadach działu + opisie ComboFix jest wyraźnie napisane, że tego tu nie przyjmujemy: KLIK. HijackThis niepełnosprawny i dziś już mało użyteczny (usuwam ten log), w pełni zastępuje go o wiele bardziej rozbudowany OTL, a ComboFix to nie jest narzędzie domowego użytku do "tworzenia loga" (to silna ingerencja w Windows)! Na dodatek użyłeś go aż dwa razy pod rząd i to nieprawidłowo tzn. przepuszczając w nim w ciemno jakiś skrypt: "Użyto następujących komend :: c:\documents and settings\M-D\Pulpit\CFScript.txt". Proszę mi pokazać co tu zmalowałeś, skąd brałeś skrypt + cała zawartość pliku C:\Qoobox\ComboFix-quarantined-files.txt do wglądu. Podsumowanie: uruchomiłeś ComboFix bez znajomości jego działania i skutków, w nieprawidłowy sposób i zupełnie niepotrzebnie.

 

 

Dzisiaj zauważyłem dziwne pliki w katalogu systemowym np: SET3.tmp, SET4.tmp, SET8.tmp, SETBF.tmp, SETC2.tmp, SETCE.tmp.

Ta formuła to chyba wynikowa wymiany plików systemowych nowymi wersjami (np. instalacja aktualizacji). Dla porównania: KLIK. Pliki te można skasować z dysku.

 

 

Udało mi się to naprawić i odzyskać system.

Jaka metoda naprawy i odzysku systemu?

 

 

 

.

[pandawidek]

Jaka metoda naprawy i odzysku systemu?

System nie bootował się w ogóle, nawet w awaryjnym. Wszedłem przez mini windowsa i zobaczyłem brak niektórych plików *.sys. Przekopiowałem je z obrazu systemu, dodatkowo chkdsk. System wstał, więc było OK. Sprawdziłem HD Tunne czy nie ma jakiś bad sectorów - brak. Przyglądając się plikom w katalogu windows zauważyłem te dziwne *.tmp. Po wpisaniu w googlach o co z nimi chodzi wyskoczyły podpowiedzi , że jakieś "robale" + użyj combofix-a. W związku z tym nie zastanawiając się wiele ruszyłem do dzieła. Jak się okazało w złą stronę. Skrypt jaki użyłem zawierał właśnie nazwy plików o które pytałem wcześniej. To na tyle wyjaśnień.

 

Teraz użyłem OTL, może mnie picasso nie ochrzanisz

 

Tak ogólnie to dzięki picasso za zainteresowanie i słuszne uwagi. Dawno nie przeglądałem forów o takiej tematyce / nie było potrzeby, wszystko działało /ale nick picasso znam już od dawna delikatnie mówiąc, mam nadzieję iż to ta sama osoba.

Extras.Txt

OTL.Txt

ComboFix-quarantined-files.txt

[picasso]

1. Oceniając logi, nie widzę tutaj prawie nic do roboty w rozumieniu "fiksów wpisów". Jest tylko to do naprawy:

 

SRV - File not found [Auto | Stopped] --  -- (wuauserv)

 

Z tego co mi wynika z obserwacji, to chyba skutek uboczny użycia ComboFix na Windows, które mają nietypową ścieżkę do katalogu Windows (albo inny dysk niż C, albo - jak u Ciebie - zmieniona nazwa katalogu Windows). Muszę to sobie jeszcze sprawdzić i będę zgłaszać autorowi. Wykonaj następującą korektę:

 

Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters

 

Dwuklik na wartość ServiceDll i zamień aktualnie tam widoczną ścieżkę na C:\SYSTEMXP\System32\wuauserv.dll

 

2. Odinstaluj w prawidłowy sposób ComboFix, w Start > Uruchom > wklejając komendę:

 

"c:\documents and settings\M-D\Pulpit\ComboFix.exe" /uninstall

 

Dodatkowo, możesz skasować folder z kopią rejestru zrobią przez ComboFix (C:\SYSTEMXP\ERDNT) oraz odinstalować z dysku Konsolę Odzyskiwania. Ale ja bym Konsolę zostawiła, jako dodatkowy awaryjny wpis startowy.

 

3. Masz bardzo mało wolnego miejsca na dysku:

 

Drive C: | 5,86 Gb Total Space | 0,37 Gb Free Space | 6,24% Space Free | Partition Type: NTFS

 

To otwarta droga do wystąpienia efektów mulenia, przykład z forum: KLIK. Punkt 2 minimalnie poluzuje (kasacja ERDNT), ale rezultaty końcowe nadal będą mocno niezadawalające.

 

4. Notuję rozbieżność, OTL wykrywa jako bieżącą wersję IE6, ale na liście zainstalowanych jest IE8:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"ie8" = Windows Internet Explorer 8

 

Czy tu się działy jakieś zgrozy? Reperacja nakładkowa wykonująca downgrade wersji? To trzeba skorygować, usunąć wpis IE8 i nadinstalować go ponownie.

 

 

Skrypt jaki użyłem zawierał właśnie nazwy plików o które pytałem wcześniej.

 

W ComboFix-quarantined-files.txt nie ma tego nagranego, tzn. brak śladów by coś takiego usuwał skrypt. I ciężka artyleria została użyta tu na te pliki, można je było usunąć na X innych sposobów bez ingerowania w Windows.

 

 

nick picasso znam już od dawna delikatnie mówiąc, mam nadzieję iż to ta sama osoba.

 

Jeśli nie masz na myśli malarza , to ta sama osoba tu siedzi. Zmieniłam miejsce swojego pobytu, jestem teraz na swoim.

 

 

 

.

Edytowane 12 Grudnia 2011 przez picasso
12.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi autora. //picasso