LeniwyTytan Opublikowano 29 Marca 2014 Zgłoś Udostępnij Opublikowano 29 Marca 2014 Witam, na początku chciałbym się przywitać, ponieważ to mój 1 post:) Witam. Dalej, otóż prawdopodobnie załapałem pierwszy raz w życiu wirusa, co więcej, nie mam pojęcia jakiego i jak się go pozbyć. Sprawa wygląda tak: zainfekowany już mam laptop i komputer stacjonarny, poprzez dysk zewnętrzny(prawdopodobnie). Teraz postaram się sprecyzować objawy. Zaczęło się od tego, że na mojej partycji systemowej(na obu komputerach) przybyło jakieś 30Gb danych, ot tak z znikąd. Na początku myślałem, że to są jakieś śmieci, oczyściłem kompa, itd. No ale dalej 30Gb w plecy. Sprawdzam wielkości poszczególnych folderów na C. Tu pierwsze WTF, 39Gb zajmuje sam windows 7 64. Coś dziwnego. Wszedłem w sam folder windowsa i zaczynam po kolei sprawdzać wielkości poszczególnych folderów. Zacząłem od TEMP i co się okazuje? Folder waży 28Gb. No trochę mnie to zamurowało, otwieram folder, a on jest pusty. WTF... Sprawdzam ponownie jego wielkość waży 0Kb... Sprawdzam folder powyżej temp, i znowu 28Gb, otwieram, wewnątrz parę małych plików, znowu waży tyle co nic. I tak te "magiczne" 28Gb przemieszcza się po wszystkich folderach w Windows. Nie sposób załapać winowajcy. Problem w tym, że nie mam pojęcia co to za wirus i jak sobie z nim poradzić, ze względu na to, że mój anty-malware oraz Kaspersky Pure(nówka) nic nie wykrywa. Pewnie problem bym olał gdyby nie fakt, że na laptopie mam tak mało miejsca na C, że nawet nie mogę obrazów odtworzyć. Logi z OTL: http://wklej.org/hash/f1d84c04698/ http://wklej.org/id/1314017/ Oraz raport ze skryptu OTL: http://wklej.org/id/1314025/ Skanowałem windowsa, z innego środowiska - nic nie zostało wykryte. Próbowałem użyć Combofix'a lecz niestety nie działa mi on poprawnie(coś go blokuje?), nie może się zainstalować. (programów do emulowania dysków nie posiadam, wszystkie zapory/antywirusy przed użyciem wyłączyłem) Proszę o pomoc i jakieś remedium. Pozdrawiam! Odnośnik do komentarza
muzyk75 Opublikowano 29 Marca 2014 Zgłoś Udostępnij Opublikowano 29 Marca 2014 Załącz logi z FRST. Skrypt z OTL sam go wymyśliłeś czy został podany na jakimś forum? Jak używasz Kaspersky PURE to po co instalowałeś jeszcze Comodo Internet Security i Ad-Aware Antivirus? (COMODO) [Auto | Running] -- C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent) (Kaspersky Lab ZAO) [Auto | Running] -- C:\Program Files (x86)\Kaspersky Lab\Kaspersky PURE 3.0\avp.exe -- (AVP) Odnośnik do komentarza
LeniwyTytan Opublikowano 29 Marca 2014 Autor Zgłoś Udostępnij Opublikowano 29 Marca 2014 Dodam resztę logów jak najszybciej, instalowałem dlatego, żeby sprawdzić czy może jakiś inny program wykryje to dziadostwo. GMER wykrył jedynie coś takiego: C:\Windows\System32\win32k.sys[ntoskrnl.exe!KeUserModeCallback] [fffff880052bdea4] \SystemRoot\system32\DRIVERS\klif.sys [unknown section] Logi: http://wklej.org/id/1316450/ http://wklej.org/id/1316449/ Skrypt pochodzi z innego forum. Odnośnik do komentarza
muzyk75 Opublikowano 31 Marca 2014 Zgłoś Udostępnij Opublikowano 31 Marca 2014 Dziwnie to wszystko wygląda. Wykonaj mały test. Odłącz od internetu komputery, wykonaj reset i zobacz czy jest problem z zapychaniem dysku. Doczyszczenie: Otwórz notatnik i wklej: HKLM\...\Run: [CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}] - "C:\ProgramData\cisEDBB.exe" --PostUninstall {81EFDD93-DBBE-415B-BE6E-49B9664E3E82} HKLM-x32\...\Run: [] - [X] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securedsearch2.lavasoft.com/index.php?pr=vmn&id=adawaretb&v=3_8&idate=__installtime__&ent=hp&u=___userid___ CHR HKLM-x32\...\Chrome\Extension: [oejkcgajlodefenbbjdnaiahmbnnoole] - C:\Program Files (x86)\Lavasoft\AdAware SecureSearch Toolbar\chrome-newtab-search.crx [2013-10-30] U4 avgtp; \??\C:\Windows\system32\drivers\avgtpx64.sys [X] U4 HMD; system32\DRIVERS\hmd.sys [X] U3 awddqkog; \??\C:\Users\Gamer\AppData\Local\Temp\awddqkog.sys [X] AlternateDataStreams: C:\Users\Gamer\AppData\Local\Temporary Internet Files:5XxfiSXKyhiBONvZ81mtqmI6 C:\ProgramData\Search Protection C:\Program Files (x86)\Comodo C:\Program Files\COMODO C:\Users\Gamer\AppData\Local\0OlbBoGL C:\Users\Gamer\AppData\Roaming\System Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pobierz TFC - Temp Cleaner. Naciśnij "start" i rozpocznie się usuwanie plików tymczasowych. Załącz nowe logi z FRST, Addition i powstały Fixlog. Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2014 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2014 Temat przenoszę do działu Windows, to nie wygląda w ogóle na problem infekcji. Skrypt w poprzednim poście koryguję dodając szczątki odinstalowanego Ad-aware i katalogi z C:\Users oraz usuwając ze skryptu poprawne pliki - sekcja "Files to move or delete" to tylko pewna podpowiedź bazująca głównie na lokalizacji, FRST nie ma sygnatur i podane tu pliki należy samodzielnie oceniać czy rzeczywiście są przeznaczone do usunięcia. Ten skrypt nie powinien mieć związku z naprawą podstawowego problemu. A Temp było już czyszczone: komenda [emptytemp] w uprzednio przedstawionym skrypcie OTL robi to samo co TFC. Na dodatek to czyszczenie było robione w kółko, skrypt uruchomiony trzy razy (!): KLIK. Po pierwsze: nie uruchamia się skryptu więcej niż raz. Po drugie, skrypt był niepoprawny i usunął prawidłowe wpisy "Extra context menu item" od Microsoft Office i Kasperskiego. To było pozorne "not found" ze względu na odwrotne ukośniki. Próbowałem użyć Combofix'a lecz niestety nie działa mi on poprawnie(coś go blokuje?), nie może się zainstalować. (programów do emulowania dysków nie posiadam, wszystkie zapory/antywirusy przed użyciem wyłączyłem) Na temat używania ComboFix: KLIK. Zaczęło się od tego, że na mojej partycji systemowej(na obu komputerach) przybyło jakieś 30Gb danych, ot tak z znikąd. Na początku myślałem, że to są jakieś śmieci, oczyściłem kompa, itd. No ale dalej 30Gb w plecy. Sprawdzam wielkości poszczególnych folderów na C. Tu pierwsze WTF, 39Gb zajmuje sam windows 7 64. Coś dziwnego. Wszedłem w sam folder windowsa i zaczynam po kolei sprawdzać wielkości poszczególnych folderów. Zacząłem od TEMP i co się okazuje? Folder waży 28Gb. No trochę mnie to zamurowało, otwieram folder, a on jest pusty. WTF... Sprawdzam ponownie jego wielkość waży 0Kb... Sprawdzam folder powyżej temp, i znowu 28Gb, otwieram, wewnątrz parę małych plików, znowu waży tyle co nic. I tak te "magiczne" 28Gb przemieszcza się po wszystkich folderach w Windows. Nie sposób załapać winowajcy. Pobierz SpaceSniffer, z prawokliku Uruchom jako Administrator, przeskanuj C i pokaż obrazek ogólny. I tu nie jest wykluczony wcale wpływ Kasperskiego. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się