NOD32 walnięty, Desktop.ini w \Win\assembly\, przeglądanie forum od 5 godzin, a końca bajzlu nie widać.

[UrbanRivals]

Witam. Mam problemy z komputerem już od dłuższego czasu, a raczej podejrzewałem, że mam, ale jakoś nie mogłem się zebrać za ogarnięcie tego [Filtr wulgaryzmów]nika. Nawet nie wiem od czego zacząć, bo sporo dziwnych aktywności zdarzało mi się zaobserwować, ale jedną z najbardziej uciążliwych było ciągłe zapalanie się NOD32 na czerwono, nawet mimo stosunkowo niedawno pobranych aktualizacji i komunikatu o najnowszej bazie sygnatur, o wyłączonej zaporze, mimo, że była włączona (ale to jeszcze zanim przesiadłem się z XP na Win7, parę miesięcy temu), czasem jakiś tam CCleaner poszedł w ruch, ale to raczej nie pomagało, ręczne czyszczenie tempa etc to też raczej taki nawyk, wiele razy natrafiałem na pliki, niesystemowe, których nie mogłem usunąć, ale stwierdzałem, że później się tym zajmę i w efekcie jakoś zapominałem. Więc przez ostatnie pół roku, a nawet rok uzbierało się sporo syfu no i dzisiaj się przeraziłem. Zrobiłem najpierw skan Malwarebytes Anti-Malware, wykryło sporo syfu więc się tym zająłem, niestety robiłem to jakieś 7 godzin temu więc już nie pamiętam co to dokładnie było, ale bardzo mi się nie podobało, a zdjęcie mi gdzieś przepadło. Później CCleaner poszedł w ruch, przy okazji skanowania wyskoczyło coś bodajże w \Users\, NOD32 zawył, że syf, to zrobiłem zdjęcie całej kwarantanny. Następnie przejrzałem log z OTL sprzed paru godzin i zaintrygował mnie fragment o ten:

 

[2009-07-14 06:42:31 | 000,000,227 | RHS- | M] () -- G:\Windows\assembly\Desktop.ini

 

Powędrowałem do tego pliku, niestety nic się zrobić nie dało, zmieniłem nazwę (a raczej próbowałem, oryginał pozostał, a nowy plik przyjął nazwę zmienioną z takim samym rozmiarem i zepsuciem), więc stwierdziłem, że jest naprawdę nieciekawie. Wrzucam na razie tego posta, aktualnie jeszcze leci skan z GMER, więc dorzucę jak się skończy. 
@edit, a pewnie skończy się za parę godzin, bo są trzy dyski do przewertowania a leci dopiero systemowy z Win7, już widzę cały raport.
@edit 2. zrobiło się ciekawiej, nie mogę przez CCleanera usunąć paru autorunów w okienku GoogleChrome (gdy próbuję, wyskakuję error, program się zamyka, po włączeniu ponownie zakładka z GoogleChrome znika), zauważyłem, że są to te elementy podobne do tych, które są widoczne na screenie z antyvirusa (jakieś przypadkowe ciągi znaków)

Ponadto, zrobiłem dzisiaj całościowy skan (wszystkich partycji) Malwarebytes A-M, wykryło sporo syfów, które rzekomo zostały wyeliminowane, zrobiłem też skan HitmanemPro, znalazło między innymi syfa w \system32\ o nazwie setup.exe (log niżej).
Podejrzewam, że co przeczyszczę komputer, zaraz coś pojawia się w innym miejscu.

[picasso]

Zabrakło raportu FRST Shortcut. W bieżących logach nie ma widocznych oznak infekcji w stanie czynnym.

 

 

Następnie przejrzałem log z OTL sprzed paru godzin i zaintrygował mnie fragment o ten:

 

[2009-07-14 06:42:31 | 000,000,227 | RHS- | M] () -- G:\Windows\assembly\Desktop.ini

 

Powędrowałem do tego pliku, niestety nic się zrobić nie dało, zmieniłem nazwę (a raczej próbowałem, oryginał pozostał, a nowy plik przyjął nazwę zmienioną z takim samym rozmiarem i zepsuciem), więc stwierdziłem, że jest naprawdę nieciekawie.

Jego obecność w logu w sekcji "ZeroAccess Check" check tylko dlatego, że szukanie na nazwę "desktop.ini" w OTL jest niezbyt precyzyjne. To poprawny plik systemowy. Z mojego systemu:

 

C:\Windows\system32>dir /a:h C:\Windows\assembly

Wolumin w stacji C nie ma etykiety.

Numer seryjny woluminu: C2BA-164D
 

Katalog: C:\Windows\assembly
 

2009-07-14 06:42 227 Desktop.ini

2011-07-24 02:22 0 PublisherPolicy.tme

2011-07-24 02:22 0 pubpol4.dat

3 plik(ów) 227 bajtów

0 katalog(ów) 65 367 560 192 bajtów wolnych
 

C:\Windows\system32>

 

Wg obrazka ESET Twoim problemem był całkiem inny typ infekcji = adware. Nabyte na jeden z tych sposobów: KLIK.

 

 

@edit 2. zrobiło się ciekawiej, nie mogę przez CCleanera usunąć paru autorunów w okienku GoogleChrome (gdy próbuję, wyskakuję error, program się zamyka, po włączeniu ponownie zakładka z GoogleChrome znika), zauważyłem, że są to te elementy podobne do tych, które są widoczne na screenie z antyvirusa (jakieś przypadkowe ciągi znaków)

Pokaż mi obrazek z CCleaner to przedstawiający. W dostarczonym tu raporcie FRST nie ma wykrytego nic nieciekawego w Google Chrome.

 

 

Zrobiłem najpierw skan Malwarebytes Anti-Malware, wykryło sporo syfu więc się tym zająłem, niestety robiłem to jakieś 7 godzin temu więc już nie pamiętam co to dokładnie było, ale bardzo mi się nie podobało, a zdjęcie mi gdzieś przepadło.

(...)

Ponadto, zrobiłem dzisiaj całościowy skan (wszystkich partycji) Malwarebytes A-M, wykryło sporo syfów, które rzekomo zostały wyeliminowane

Nie dostarczyłeś żadnego raportu z MBAM. Z tego co widzę na dysku jest przynajmniej plik z tego drugiego skanowania, więc go dostarcz: G:\mbam-log-2014-06-02 (00-33-34).xml.

I nie tylko wymieniane narzędzia używałeś. Był także na chodzie AdwCleaner - dostarcz logi z folderu G:\AdwCleaner.

 

 

zrobiłem też skan HitmanemPro, znalazło między innymi syfa w \system32\ o nazwie setup.exe (log niżej)

Ten skan nie pokazuje nic szczególnego. Plik setup możesz skasować, bo i tak nie powinno go być w tej ścieżce, a pozostałe to nie wydaje się by była to infekcja.

 

 

 

 

.

[UrbanRivals]

Proszę. Tego .xml nie mogę dodać. Dodam jeszcze, że np po wpisaniu w oknie adres "facebook" przekierowało mnie na stronę google, z linkiem pl-pl.facebook.com. Nie mam pojęcia czemu.