Dysk sam się zapełnia! D:

kubanek_kuba · 4 Maja 2014

Już od dłuższego czasu dysk sam mi się zapełnia nie wiem co robić. Pozbyłem się już 5gb (jak nie wiecej) danych trochę do dużo, bo dysk ma 24,4 gb (dokładniej pamieć tego dysku to: 26 213 965 824 bajtów, a wolne miejsce aktualnie to 80 kb ). Nie mogę zainstalować programu malware bytes (żeby przeskanować dysk), bo gdy klikam Instaluje to instalator sie zacina i nic sie nie dzieje. Skanowałem laptopa programem Emsisoft Emergency Kit i wykrył kilka backdoorów (którymi miałem dość słąbego ddosa), kilka trojanów i kilka malware. Pozbyłem się ich ale to dużo nie dało (odblokowało rejestr i menadżera zadań wcześniej musiałem to ręcznie robić), bo nadal dysk się zapełnia i nic nie mogę zrobić już nie mam co usunąć.
POMOCY

Nezvik · 13 Maja 2014

Sality ciągle aktywny. Nie da się usunąć tej infekcji, na innych bardziej specjalistycznych forach również nie dadzą sobie rady. System z początku był zbyt zainfekowany. Uszkodzenie danych będzie się pogłębiać, aż dojdzie do zainfekowania plików windowsa, w wyniku czego nie zostanie on uruchomiony. W takiej sytuacji należy zgrać ważne dane na wcześniej sformatowanego pendriva ze wszystkich dysków (POZA PLIKAMI .exe - instalkami) i wykonać format wszystkich partycji. Niestety, jest to jedyna metoda na pozbycie się Sality.

kubanek_kuba · 9 Maja 2014

http://wklej.org/id/1356662/
http://wklej.org/id/1356664/
http://wklej.org/id/1356665/

Nezvik · 5 Maja 2014

Nie ma nic szybszego. I tak to nie będzie ostatni skan. Możesz włączyć skanowanie w nocy.

Rocki star12 · 4 Maja 2014

Dnalo tylko że on napisał że nie może .

Spróbuj w trybie awaryjnym ściągnąć i zainstalować.

Janusz. · 5 Maja 2014

SK możesz pobrać stąd:

http://1drv.ms/1igpqif

znajdź salitykiller.rar kliknij i wypakuj

kubanek_kuba · 5 Maja 2014

czym go przeskanować? A co do tego pliku to avast co 5 minut mi go wykrywal i do kwarantanny dawał i nwm czy to byl wirus czy tylko blad w skanowaniu

kubanek_kuba · 13 Maja 2014

@up Ok thx za pomoc

Temat do zamknięcia

kubanek_kuba · 4 Maja 2014

@up udało mi się to pobrać usunołem znowu coś co miało 100mb i jak wlaczylem otl to nagle mi się pokazały ukryte pliki i foldery a wcześniej nie działała mi ta opcja aktualnie otl skanuje jak skonczy dam logi i jeszcze nwm czy skanowac tez gmer czy juz nie potrzeba

http://wklej.org/id/1352047/

a tu drugie

http://wklej.org/id/1352048/

Janusz. · 5 Maja 2014

Na virustotal.com

ale i tak wiem że to jest plik sality. dobra.

1. W własne opcje skanowania wklej

:OTL
O4 - Startup: C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Menu Start\Programy\Autostart\Stardock ObjectDock.lnk =  File not found
O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) -  File not found
O32 - AutoRun File - [2014-05-02 16:04:14 | 000,000,000 | ---D | M] - D:\AutoIt3 -- [ NTFS ]
 
:Files
C:\WINDOWS\System32\vcmgcd32.dll
C:\WINDOWS\System32\vcmgcd32.dl_
autorun.inf /alldrivers
 
:Commands
[emptytemp]

Wykonaj skrypt, zatwierdź restart i zrób nowe logi otl.

kubanek_kuba · 5 Maja 2014

Wykonałem skrypt zresetowałem laptopa i skanuje go. Jeszcze mam pytanie co to za plik jofk1wf.exe jest on ukryty i na wszystkich dyskach on jest. Jak go usune to on się nowy robi nwm co mam z tym robić. Jeszcze czytałem wczoraj taki temat o wirusach i było o wirusie Win32/Sality i ja go mam a w spoilerze jest o nim jak usunąć itp i teraz takie pytanie bo nie za bardzo rozumiem tą instrukcję do usuwanie go. Tutaj link do tego tematu: http://www.mpcforum.pl/topic/568171-tutusuwanie-znanych-wirusow/

Rocki star12 · 4 Maja 2014

Lepiej przeskanuj. Dla swojego dobra i kompa.

Usuniesz zbędne śmieci itd.

Nezvik · 5 Maja 2014

Dobra zostaw combofixa. Pobierz program SalityKiller i skanuj do momentu wykrycia 0 zagrożeń. Wstaw raport po 1 skanowaniu.

kubanek_kuba · 13 Maja 2014

http://wklej.org/id/1360318/
http://wklej.org/id/1360319/
http://wklej.org/id/1360320/

A zaraz dodam te logi po restarcie

http://wklej.org/id/1360337/
http://wklej.org/id/1360338/
http://wklej.org/id/1360339/

Nezvik · 7 Maja 2014

Wyłączyłeś przywracanie systemu na wszystkich dyskach? Jeśli tak wykonaj w OTL:

:processes
killallprocesses
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs]
"url4"="C:\WINDOWS\system32\vcmgcd32.dll"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"f"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"c"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"
[-HKEY_USERS\S-1-5-21-796845957-1935655697-839522115-1003\Software\Microsoft\Internet Explorer\TypedURLs]
"url4"="C:\WINDOWS\system32\vcmgcd32.dll"
[-HKEY_USERS\S-1-5-21-796845957-1935655697-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"f"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"
[-HKEY_USERS\S-1-5-21-796845957-1935655697-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"c"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"
 
:Files
C:\WINDOWS\System32\vcmgcd32.dll
C:\WINDOWS\System32\vcmgcd32.dl_
 
:Commands
[emptytemp]

Koniecznie wstaw log z usuwania. Po tym wstaw nowe logi OTL.

kubanek_kuba · 8 Maja 2014

Plik się już nie tworzy a log z OTL wstawie jak się przeskanuje (zaznaczyłem żeby wszystko co możliwe skanowało) a tym DrWeb przeskanuje jutro.

kubanek_kuba · 7 Maja 2014

Pobieram tego Dr.WEB CureIt ale jeśli będzie trzeba formata to takie pytanie czy ten vcmgcd infekuje inne pliki bo wtedy bym chciał sobie te ważniejsze pliki zgrać gdzieś żeby nie stracić ich, a nie wiem czy to się nie przeniesie jakoś?

kubanek_kuba · 7 Maja 2014

Jeśli chodzi o tego gmera to nwm czy przeskanował bo zostawiłem laptopa ze skanerem włączonym a jak wróciłem to był niebieski ekran i trzeba było wybrać z czego ma system załadować i jak wybierałem dysk to nie wykrywało go ale jak wyłączyłem i włączyłem ponownie to się załadował system automatycznie a na pulpicie logu nie było a ponownie nie za bardzo mi się chce skanować bo to kilka godzin trwało.
A tutaj log:

SystemLook 30.07.11 by jpshortstuff
Log created at 17:25 on 07/05/2014 by Kuba
Administrator - Elevation successful

========== Filefind ==========

Searching for "vcmgcd32.dll"
C:\WINDOWS\system32\vcmgcd32.dll --a---- 36864 bytes [13:00 05/05/2014] [15:09 07/05/2014] AE22CA9F11ADE8E362254B452CC07F78

Searching for "vcmgcd32.dl_"
C:\WINDOWS\system32\vcmgcd32.dl_ --ah--- 17878 bytes [13:00 05/05/2014] [15:23 07/05/2014] 65EC81C36EFD75F8E4490B0D42AA2CED

Searching for "nqij.exe"
No files found.

========== Regfind ==========

Searching for "vcmgcd32.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs]
"url4"="C:\WINDOWS\system32\vcmgcd32.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"f"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"c"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"
[HKEY_USERS\S-1-5-21-796845957-1935655697-839522115-1003\Software\Microsoft\Internet Explorer\TypedURLs]
"url4"="C:\WINDOWS\system32\vcmgcd32.dll"
[HKEY_USERS\S-1-5-21-796845957-1935655697-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"f"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"
[HKEY_USERS\S-1-5-21-796845957-1935655697-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"c"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"

Searching for "vcmgcd32.dl_"
No data found.

Searching for "nqij.exe"
No data found.

-= EOF =-

OTL:

http://wklej.org/id/1354676/

Janusz. · 5 Maja 2014

no to niech @rafor4 robi ;_;

Janusz. · 5 Maja 2014

No właśnie problem jest w tym że też podejrzewałem wirusa sality ale go tu... nie ma? DRV są czyste, wolne od sality, podejrzanych plików nie ma. a ten plik jofk1wf.exe jest na jakimś urządzeniu przenośnym. masz jakiegoś pendrive'a w domu?

Nezvik · 6 Maja 2014

Z systemlook. Z OTL też możesz dorzucić.

kubanek_kuba · 9 Maja 2014

@rafor4 jakim programem?

kubanek_kuba · 6 Maja 2014

Skanowalem go dzis od nowa i oto ss wynikow:

http://scr.hu/1d9d/3mxis

Jeszcze jakieś logi miałem dać i nwm z czego to miał być z tego programu czy z otl?

Nezvik · 5 Maja 2014

Nie ładnie Dnalo. Miałeś mi zostawić :P

Wykonaj skrypt:

:OTL
MOD - [2014-05-05 13:58:16 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\vcmgcd32.dll
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
@Alternate Data Stream - 119 bytes -> C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP:EEE39B00
@Alternate Data Stream - 116 bytes -> C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP:7970265A

:Files
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\248256a3.dat

Przeskanuj:

C:\WINDOWS\system32\apf003.sys

Pobierz ComboFix (NIE ODPALAJ).

Wklej do notatnika:

File::
C:\WINDOWS\System32\vcmgcd32.dll
C:\WINDOWS\System32\vcmgcd32.dl_

Zapisz notatnik jako CFScript.txt, następnie przeciągnij CFScript na Combofix. Daj log z usuwania i nowy log OTL.

Janusz. · 9 Maja 2014

na virustotal.com

Nezvik · 8 Maja 2014

Pobierz program FRST i ustaw w nim opcje jak na obrazku:

http://www.MPCpc.pl/picasso/images/malware/tools/frst/frst_win07.png

Po skanie wyskoczą 3 notatniki. Proszę o wstawienie.

Zaloguj się

👋 Witaj na MPCForum!

Dysk sam się zapełnia! D:

Pytanie

44 odpowiedzi na to pytanie

Rekomendowane odpowiedzi

Zarchiwizowany