Wirus a utworzenie się katalogu C:\ProgramData

[averss]

Witam,

Przed trzema godzinami niestety złapałem wirusa który blokowal mi wejscie w menager urzadzen, tworzenie/przywracanie systemu, zamykanie co niektorych stron w firefoxie, ogolnie wszystko co mogło by mu zaszkodzić.

Widząć że komputer odmowił posłuszeństwa, wszedłem w tryb awaryjny  i zastosowalem combofix oraz po ukonczeniu działania przez combofix zresetowalem komputer, i system zaczął normalnie reagować tj ślad po wirusie zniknął jednak wchodza w dysk C zauwazylem folder ważacy 1 gb ktorego wczesniej przed wirusem nie było mianowicie C:\ProgramData.

Czy mogę dany folder od tak poprzez ctrl+d usunać? Poza tym zauwazyłem ze moj laptop nagrzał się  tj cały ciepły jest gdzie wczesniej w ogole tak nie bylo:(

 

W załaczniku przesyłam log z combo fixa oraz jpg z dziwnym folderem

 

Z góry będę wdzięczny za pomoc

 

ComboFix.txt

[picasso]

Przeczytaj:

- Na temat używania ComboFix: KLIK.

- Zasady działu i jakie raporty są tu obowiązkowe: KLIK. Proszę dostarczyć wymagane tu raporty FRST i OTL.

 

 

jednak wchodza w dysk C zauwazylem folder ważacy 1 gb ktorego wczesniej przed wirusem nie było mianowicie C:\ProgramData.

To jest poprawny katalog systemu Windows trzymający elementy instalacji programów. Katalogu wcześniej nie widziałeś, bo domyślnie jest ukryty. Został odkryty którymś procesem, stąd nagle go widzisz. Tu nie jest nienormalna jego obecność (jest na każdym systemie Windows 7), nienormalny za to jest fakt, że zostały zdjęte z tego katalogu atrybuty go ukrywające (folder nie jest "blady", czyli nie ma atrybutów ukrywających). Podobny nienormalny stan wykazuje katalog C:\Recovery (też nie powinien być widoczny).

 

Nawiasem mówiąc: bardzo wielu ukrytych rzeczy nie widzisz, bo domyślnie w Windows są ustawione opcje: odznaczone "Pokaż ukryte foldery i pliki" + zaznaczone "Ukryj chronione pliki systemu operacyjnego". Zwłaszcza po rekonfiguracji tej drugiej opcji ukaże się wiele nowych obiektów w miejscu, które prezentujesz na zrzucie ekranu. Ale opcje zostaw w spokoju, byś nie uszkodził czegoś od systemu, skoro obecność ProgramData była Ci kompletnie nie wiadoma.

 

 

 

.

[averss]

Dziękuje za odpowiedz w złączniku załączam logi z OTL oraz FRST

 

Niestety zbyt późno odczytalem wiadomość ponieważ na dysku D rownież znalazlem 3-4 foldery których się nigdy nie spodziewałem a które niestety usunąlem pomimo ostrzeżenia o utracie min. Kosza(bin). Pomimo tego wszystko powyższy Kosz działa jak należy o dziwo. Niemniej teraz juz rozumiem dlaczego tak to wyszło i przepraszam za popełnione błędy.

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

[picasso]

Tylko drobne poprawki zostały, tzn. usunięcie adware oraz folderu C:\Users\Cris\AppData\Roaming\AutoIt3 (ten folder był ostatnio na forum składnikiem infekcji). Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll ()
Toolbar: HKCU - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll ()
2014-01-25 16:10 - 2014-01-25 16:11 - 00000000 ____D C:\Users\Cris\AppData\Roaming\AutoIt3

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Odinstaluj adware DAEMON Tools Toolbar. Przy okazji pozbądź się też zbędnego Spybot - Search & Destroy. Program jest przestarzały i słabszy niż MBAM.

 

3. Zresetuj cache wtyczek Google Chrome, by pozbyć się pustych wpisów. Otwórz Google Chrome, w pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

Niestety zbyt późno odczytalem wiadomość ponieważ na dysku D rownież znalazlem 3-4 foldery których się nigdy nie spodziewałem a które niestety usunąlem pomimo ostrzeżenia o utracie min. Kosza(bin). Pomimo tego wszystko powyższy Kosz działa jak należy o dziwo. Niemniej teraz juz rozumiem dlaczego tak to wyszło i przepraszam za popełnione błędy.

Nie wiem dokładnie jakie foldery usuwałeś. Jeśli zaś chodzi o Kosz: na Pulpicie jest tylko wirtualny skrót, prawdziwym folderem Kosza jest ukryty $Recycle.Bin. Folder ten jest powielony na każdym dostępnym dysku, każdy dysk ma "osobisty" Kosz. Akurat w tym szczególnym przypadku usunięcie folderów Koszy z dysków nie ma znaczenia. Gdy zajdzie potrzeba, Windows i tak zregeneruje te foldery na poszczególnych dyskach.

 

 

.

[averss]

Nowy skan FRST który został wykonany według instrukcji (tych 4 krokach)

FRST.txt

Fixlog.txt

[picasso]

Odpowiadam z ogromnym poślizgiem. Mam nadzieję, że w systemie nie wystąpiły żadne nowe niepożądane zmiany. Zostały do załatwienia atrybuty katalogów i kilka drobnostek. Otwórz Notatnik i wklej w nim:

 

CMD: attrib +h +s C:\MSOCache
CMD: attrib +h C:\ProgramData
CMD: attrib +h +s C:\Recovery
AppInit_DLLs: => File Not Found
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
C:\Program Files (x86)\DAEMON Tools Toolbar
C:\Program Files (x86)\Spybot - Search & Destroy 2
C:\ProgramData\Spybot - Search & Destroy
C:\Windows\System32\Tasks\Safer-Networking

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

.