Problemy z odpaleniem regedit.exe i innych exe, dodatkowe foldery.

[Crater]

Witam.
 

Mam problem z komputerem. Na początku zauważyłem, że po otwarciu przeglądarki otwiera mi się jakaś ruska strona. Pomyślałem pewnie coś kliknąłem, jakąś reklamę albo co. Po restarcie jednak znowu się pojawiła ale usunąłem jakiś plik index.htm i przestała się pojawiać. Ale i tak zacząłem grzebać. A jak zacząłem grzebać to regedit.exe się nie otwiera, ccleaner też nie, zonealarm przestał się włączać automatycznie po starcie komputera trzeba ręcznie odpalać. Malwarebytes Anti-Malware też się nie chciał odpalić. Ale po zmianie nazwy ccleaner i malware się odpaliło i przeskanowałem. Ccleaner nic nie znalazł, malware coś tam znalazł i usunąłem. AdwCleaner też nic nie znalazł. Zonealarm nic. Kaspersky Virus removal tool nic. TDSS rootkit removing tool nic. Dodatkowo na dysku c pojawiły się jakieś dodatkowe foldery i skróty, których nie było a do których jest odmowa dostępu. Np.: „$RECYCLE.BIN” a w środku plik o nazwie kosz z kłódeczką prowadzący do pustego folderu, Config.Msi – odmowa dostępu, System Volume Information -  odmowa dostępu, w  „użytkownicy” folder „Default User” z kłódeczką – odmowa dostępu. Dodatkowo w folderze o nazwie użytkownika jakieś skróty do folderów „cookies” – odmowa dostępu po klinięciu oczywiście, „dane aplikacji” – odmowa, w folderze „Default” to samo, dodatkowe skróty. O ile dysk systemowy mnie nie martwi bo zawsze można formata zrobić to kurczę na drugim dysku  na którym są dane też pojawiły się takie foldery a dokładnie to „$RECYCLE.BIN” (w środku plik o nazwie kosz z kłódeczką, który prowadzi do pustego folderu) i „System Volume Information”(po kliknięciu oczywiście odmowa dostępu). Boje się że zainfekowany został nie tylko dysk C.  FRST żeby odpalić też musiałem zmienić nazwę. Dodam jeszcze, że dysk C na którym jest system to SSD i przeniosłem sobie „zmienne środowisko systemowe’ na drugi dysk „G” (zwykły HDD).  Dołączam raporty i proszę o radę co i jak mogę to doprowadzić do porządku. Wybaczcie jeśli trochę chaotycznie napisałem ale jest późno i trochę już się z tym „naszarpałem”. Jeśli potrzeba jakiś dodatkowych informacji dajcie znać uzupełnie. Raportu z GMER nie mogłem wykonać, program się wyłącza. 

Addition.txt

FRST.txt

OTL.Txt

Shortcut.txt

[jessica]

Nie widzę tu żadnej infekcji.

Ale skutki infekcji widać:

IFEO\adwcleaner_4.207.exe: [Debugger] svchost.exe
IFEO\adwcleaner_4.208.exe: [Debugger] svchost.exe
IFEO\AnVir.exe: [Debugger] svchost.exe
IFEO\AutoLogger.exe: [Debugger] svchost.exe
IFEO\CCleaner64.exe: [Debugger] svchost.exe
IFEO\FRST.exe: [Debugger] svchost.exe
IFEO\FRST64.exe: [Debugger] svchost.exe
IFEO\RegWorks.exe: [Debugger] svchost.exe
IFEO\RSITx64.exe: [Debugger] svchost.exe

Nie widzę natomiast zablokowania "regedit".

 

Otwórz Notatnik i wklej w nim:

 

IFEO\adwcleaner_4.207.exe: [Debugger] svchost.exe
IFEO\adwcleaner_4.208.exe: [Debugger] svchost.exe
IFEO\AnVir.exe: [Debugger] svchost.exe
IFEO\AutoLogger.exe: [Debugger] svchost.exe
IFEO\CCleaner64.exe: [Debugger] svchost.exe
IFEO\FRST.exe: [Debugger] svchost.exe
IFEO\FRST64.exe: [Debugger] svchost.exe
IFEO\RegWorks.exe: [Debugger] svchost.exe
IFEO\RSITx64.exe: [Debugger] svchost.exe
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
S0 ulkfbuht; C:\Windows\SysWOW64\drivers\krts.sys
C:\Windows\SysWOW64\drivers\krts.sys
IFEO\regedit.exe: [Debugger] svchost.exe
S0 yddg; C:\Windows\SysWOW64\drivers\fbmnvb.sys [61440 2015-03-09] () [File not signed]
C:\Windows\SysWOW64\drivers\fbmnvb.sys
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

Zrób nowy log z FRST - już bez Additional, i bez Shortcut.

 

Sprawdź: co nie działa dalej?

 

na dysku c pojawiły się jakieś dodatkowe foldery i skróty, których nie było a do których jest odmowa dostępu„$RECYCLE.BIN”. Np.: „$RECYCLE.BIN” a w środku plik o nazwie kosz z kłódeczką prowadzący do pustego folderu, Config.Msi – odmowa dostępu, System Volume Information -  odmowa dostępu,

Te obiekty zawsze były, tyle, że były ukryte!

„$RECYCLE.BIN” - to naprawdę systemowa nazwa Kosza.

"System Volume Information" - to folder, w którym przechowywane są kopie plików potrzebne do "Przywracania Systemu"

"Config.Msi" - obiekt Systemowy.

Do tych wszystkich obiektów Użytkownik nie ma dostępu, więc u Ciebie oczywiście też nie masz dostępu.

 

w  „użytkownicy” folder „Default User” z kłódeczką – odmowa dostępu. Dodatkowo w folderze o nazwie użytkownika jakieś skróty do folderów „cookies” – odmowa dostępu po klinięciu oczywiście, „dane aplikacji” – odmowa, w folderze „Default” to samo, dodatkowe skróty

Wszyscy tak mamy, to normalne. Domyślnie te obiekty są ukryte.

 

jessi

[Crater]

Hej, dzięki za odpowiedź. Co do regedit to sprawdziłem jeszcze przed robieniem fixów i faktycznie się włączył, dziwne bo wcześniej nie chciał się odpalić. Co do tych folderów to nie widziałem ich wcześniej ale może miałem wyłączone ukryte pliki. Co do "System Volume Information" to nie powinien istnieć bo jak podłączałem SSD to wyłączyłem tą opcję (punkt przywracania systemy) więc może infekcja ją z powrotem włączyła żeby się sama przywracać? Na razie wygląda na to, że wszystko działa ale zonealarm nadal się automatycznie po włączeniu systemy nie włącza więc musze ręcznie, czyli jakby go coś nadal blokowało? Chyba zrobię formata na dniach bo chyba za dużo się poprzestawiało tyko martwię się czy coś na drugim dysko nie zostało co może mi odnowa zacząć infekować. GMER'em nadal nie da się przeskanować 

Fixlog.txt

FRST.txt

[jessica]

W nowym logu nie widzę niczego podejrzanego.

 

Może przeinstaluj Zone Alarm?

przy pomocy ZoneAlarm Removal Tool - http://www.zonealarm.com.au/main/kb_display.asp?KBID=1870

 

jessi
 

[Crater]

Nie wiem czemu wcześniej o tym nie pomyślałem ale gmer ruszył w trybie awaryjnym. Jak skończy wrzucę raport i spróbuje z ZA removal tool.

 

EDIT@: Link nie działa. Dodałem raport gmer.

gmer.txt

[jessica]

 i spróbuje z ZA removal tool.

 

EDIT@: Link nie działa.

Tak, rzeczywiście, strona przestała istnieć.

Spróbuj odinstalowac jakimś ogólnym deinstalatorem, np. Revo Uninstaller.

 

W logu GMER - nic podejrzanego.

 

jessi