Dysk sam się zapełnia! D:

kubanek_kuba · 4 Maja 2014

Już od dłuższego czasu dysk sam mi się zapełnia nie wiem co robić. Pozbyłem się już 5gb (jak nie wiecej) danych trochę do dużo, bo dysk ma 24,4 gb (dokładniej pamieć tego dysku to: 26 213 965 824 bajtów, a wolne miejsce aktualnie to 80 kb ). Nie mogę zainstalować programu malware bytes (żeby przeskanować dysk), bo gdy klikam Instaluje to instalator sie zacina i nic sie nie dzieje. Skanowałem laptopa programem Emsisoft Emergency Kit i wykrył kilka backdoorów (którymi miałem dość słąbego ddosa), kilka trojanów i kilka malware. Pozbyłem się ich ale to dużo nie dało (odblokowało rejestr i menadżera zadań wcześniej musiałem to ręcznie robić), bo nadal dysk się zapełnia i nic nie mogę zrobić już nie mam co usunąć.
POMOCY

kubanek_kuba · 4 Maja 2014

Jeszcze sobie przypomniałem, że avast sam się odinstalował nic z nim nie robiłem, nie wiem czy mógł tak sam zrorbić czy był to jakiś wirus etc. I jeszcze taka prośba czy mógłby ktoś podesłać jeśli jest taka możliwość, folder z programem Malwarebytes Anti-Malware, wersję portable jeśli taka istnieje.
@Edit foldery i pliki ukryte znowy znikły i nie mogę zmienić opcji w panelu żeby je "odkryć"

kubanek_kuba · 5 Maja 2014

Nie ma nic innego czegoś szybszego bo już kilka godzin skanuje i nic

kubanek_kuba · 5 Maja 2014

Pendrive mam zrobiłem na nim formata ostatnio bo mi pliki ukryło jak dałem na nim zadanie do szkoły.
@Edit log z otl

http://wklej.org/id/1352369/

Janusz. · 5 Maja 2014

K, to czekam jeszcze na nowe logi. w między czasie przeskanuj ten plik

C:\WINDOWS\system32\vcmgcd32.dll

kubanek_kuba · 10 Maja 2014

Skan:

https://www.virustotal.com/pl/file/bfc77662c2fd2e9a1cad97fd69c70b4b90d1bb8ef7be23d3e5b1c01fe4b68520/analysis/1399712801/
https://www.virustotal.com/pl/file/7eb70257593da06f682a3ddda54a9d260d4fc514f645237f5ca74b08f8da61a6/analysis/1399712990/

Nezvik · 9 Maja 2014

Podejmuję ostatnią próbę.

Przeskanuj plik:

C:\WINDOWS\system32\ChCfg.exe

C:\WINDOWS\winstart.bat

Pliki, które podmieniłeś zostały i tak zmodyfikowane.

Janusz. · 4 Maja 2014

wykonaj logi otl

www.mpcforum.pl/topic/679592-tutlogi-co-i-jak/

kubanek_kuba · 7 Maja 2014

~~@rafor4 A gdzie będzie log z usuwania?~~
Jak wyłączyłem przywracanie systemu do teraz mam 9gb wolnego miejsca
Log z usuwania:

http://wklej.org/id/1354952/

Ale jak otworzyłem folder system32 to vcmgcd32.dll był i vcmgcd.dll_ pewnie też (bo jest on ukryty a nie mogę tego zmienić)

Przyszedł mi też pomysł czy dałoby coś zrobić plik txt pusty i zmienić na .dll i .dll_ i podmienić te pliki to wtedy by chyba myslało ze to są te poprawne pliki?

Nezvik · 6 Maja 2014

Wyłącz przywracanie systemu na wszystkich dyskach LUB w OTL wykonaj:

:Commands
[clearrestorepoints]
[emptytemp]
[startexplorer]
[reboot]

SalityKiller się lekko ośmieszył. Dopiero zobaczyłem skan tamtych plików, które się odnawiają jest to bez wątpienia sality. Więcej infekcji nie widać w logach OTL, musi być czymś zakryta.

Pobierz program Deffoger:

http://www.jpshortstuff.247fixes.com/Defogger.exe

Odpal go i naciśnij DISABLE (może chwile potrwać). Następnie pobierz program GMER:

http://www2.gmer.net/download.php

GMER po uruchomieniu wykona preskan, potem po prawej stronie zaznacz WSZYSTKIE fajeczki, a w dyskach wybierz dysk systemowy, następnie naciśnij skanuj i wstaw log.

Po skanowaniu GMER w Defoggerze naciśnij Re-Enable.

Pobierz program Systemlook i wklej do niego:

:Filefind
vcmgcd32.dll
vcmgcd32.dl_
nqij.exe

:Regfind
vcmgcd32.dll
vcmgcd32.dl_
nqij.exe

Po tym wstaw raport.

Nezvik · 10 Maja 2014

Poniższy kod zapisz jako fixlist.txt i umieść w katalogu FRST. Następnie odpal go i kliknij w nim FIX

HKU\S-1-5-21-796845957-1935655697-839522115-1003\...\MountPoints2: {0ea4cbf8-f199-11e0-86cf-001b10003e5c} - jofk1wf.exe
Startup: C:\Documents and Settings\kuba\Menu Start\Programy\Autostart\PopupDummy!.lnk
ShortcutTarget: PopupDummy!.lnk -> C:\Program Files\PopupDummy!\PopupDummy!.EXE (No File)
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
S2 b9c19afa; "C:\WINDOWS\system32\rundll32.exe" "c:\docume~1\alluse~1.win\daneap~1\intere~1\InterenetOptimizerSvc.dll",service
U3 Partizan; system32\drivers\Partizan.sys [X]
2014-05-08 22:10 - 2014-05-09 15:33 - 00036864 _____ () C:\WINDOWS\system32\vcmgcd32.dll
2014-05-08 22:10 - 2014-05-09 15:33 - 00017878 ____H () C:\WINDOWS\system32\vcmgcd32.dl_
2014-05-08 18:43 - 2014-05-08 17:47 - 00036864 _____ () C:\WINDOWS\system32\vcmgcd32.backup
2014-05-05 15:13 - 2014-05-05 15:13 - 00000000 _RSHD () C:\cmdcons
2014-05-05 15:00 - 2010-11-07 19:20 - 00229376 _____ () C:\WINDOWS\MBR.exe
2014-05-05 15:00 - 2000-08-31 02:00 - 00119296 _____ () C:\WINDOWS\sed.exe
2014-05-05 15:00 - 2000-08-31 02:00 - 00100864 _____ () C:\WINDOWS\grep.exe
2014-05-07 23:13 - 2012-09-24 15:47 - 00049152 _____ () C:\WINDOWS\system32\ChCfg.exe
C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Ustawienia lokalne\Temp\3124-Replacer_sciagnij.exe
C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Ustawienia lokalne\Temp\instructions.exe
2014-05-05 15:00 - 2009-04-20 06:56 - 00080896 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
2014-05-05 15:00 - 2000-08-31 02:00 - 00232960 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe

Nie wiem czy FRST będzie wymagał restartu komputera po fixie. Jeśli nie, od razu wykonaj nowy log FRST oraz pełne skanowanie DrWeb. Następnie wykonaj restart systemu i kolejny log FRST. Wstaw oba logi.

Matek Ziom · 4 Maja 2014

Idz do serwisu komputerowego. Oni tam maja wszystko. Zrobia ci Formata i zabulisz 5 dyszek

kubanek_kuba · 5 Maja 2014

Skrypt zrobiłęm, plik czysty, a z combofixem problem bo nie chce skanować czekałem 1h i nic nie zrobił (pobrał jedynie konsole jakąś)

kubanek_kuba · 5 Maja 2014

http://wklej.org/id/1352436/

nowe logi

@up logi po skrypcie:

http://wklej.org/id/1352458/

A tutaj wyniki skanu tego pliku :

https://www.virustotal.com/pl/file/20cbcc9d1e6bd3c7ccacbe81fd26551b2ccfc02c00e8f948b9e9016c8b401db6/analysis/1399293588/

kubanek_kuba · 8 Maja 2014

Skanowałem wczoraj tym programem ten vcmgcd.dll i ten 2 z .dll_ i obydwa dałem żeby je naprawił i nic to nie dało tak samo jak dałem usuń to ten plik był nadal. Coś mi się zdaje że format tylko jest tu wyjściem, ale jak go nie zrobię to ten plik może coś uszkodzić? Mam go już bardzo bardzo długo (może nawet 2 lata) i nie widzę żeby coś on robił. W necie czytałem że on blokuje wejście na strony z antywirusami ale u mnie ten problem nie występuje może to uszkodzony wirus?
@Edit znalazłem program UnHackMe może ktoś o nim słyszał i napisze czy jesli włącze skanowanie przed startem systemu to coś pomoże
@Edit2 Udało mi się ręcznie usnąć ten plik i nie robi się do tej pory a zrobiłem tek że ten plik podmieniałem na pusty plik który zrobiłem notatnikiem zapisałem jako i dałem vcmgcd32.dll potem podmieniałem te pliki i usunąłem ten podmieniony i teraz się nie robi nwm czy dobrze to zrobiłem jak coś zepsułem to piszcie :P Oraz te wpisuj rejestru recznie usuwam.

Nezvik · 8 Maja 2014

Zrestartuj komputer i zrób nowy log OTL, następnie wykonaj ten sam skrypt w systemlook. To nic nie da, ponieważ infekcja sality jest ciągle aktywna, bo tak te pliki by się nie odnawiały. Doprowadzi w końcu do posypania systemu. Spróbuj skanować programem DrWeb tyle razy, aż będzie 0 infekcji. Jeśli po ponownym skanowaniu liczba infekcji będzie się zmniejszać, to będą jakieś postępy. Te pliki temp nie jest cała infekcją.

kubanek_kuba · 8 Maja 2014

OTL:

http://wklej.org/id/1356010/

Extras:

http://wklej.org/id/1356011/

kubanek_kuba · 6 Maja 2014

@rafor4 raport z tego systemlook czy otl?

Janusz. · 4 Maja 2014

1. w własne opcje skanowania wklej




:OTL

DRV - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys -- (WinRing0_1_2_0)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL8139.SYS -- (rtl8139)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)

DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)

DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)

DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)

DRV - File not found [Kernel | System | Stopped] --  -- (Changer)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\cmdatp.sys -- (ATP)

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC

O4 - HKCU..\Run: [api32] C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Ustawienia lokalne\Temp\apiqq.exe ()

O4 - HKCU..\Run: [mswinsock] C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Ustawienia lokalne\Temp [2014-05-04 23:04:29 | 000,000,000 | ---D | M]

O27 - HKLM IFEO\AvastSvc.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\avastUI.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\avcenter.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\avconfig.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\avgcsrvx.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\avgidsagent.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\avgnt.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\avgrsx.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\avguard.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\avgui.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\avgwdsvc.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\avp.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\avscan.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\bdagent.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\blindman.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\ccuac.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\ComboFix.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\egui.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\hijackthis.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\instup.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\keyscrambler.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\mbam.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\mbamgui.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\mbampt.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\mbamscheduler.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\mbamservice.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\MpCmdRun.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\MSASCui.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\MsMpEng.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\msseces.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\rstrui.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\SDFiles.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\SDMain.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\SDWinSec.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\spybotsd.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\wireshark.exe: Debugger - nqij.exe File not found

O27 - HKLM IFEO\zlclient.exe: Debugger - nqij.exe File not found

O32 - AutoRun File - [2011-10-06 22:03:21 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2014-05-04 20:10:03 | 000,000,061 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2014-05-02 16:04:14 | 000,000,000 | ---D | M] - D:\AutoIt3 -- [ NTFS ]

O32 - AutoRun File - [2014-05-04 20:10:04 | 000,000,061 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]

O33 - MountPoints2\{0ea4cbf8-f199-11e0-86cf-001b10003e5c}\Shell\AutoRun\command - "" = G:\jofk1wf.exe

O33 - MountPoints2\{0ea4cbf8-f199-11e0-86cf-001b10003e5c}\Shell\open\Command - "" = G:\jofk1wf.exe

O33 - MountPoints2\{9ec2a1f0-2089-11e3-b829-0040d06da8fb}\Shell - "" = AutoRun

O33 - MountPoints2\{9ec2a1f0-2089-11e3-b829-0040d06da8fb}\Shell\AutoRun\command - "" = G:\USBAutoRun.exe

O33 - MountPoints2\{d9ed73d0-1507-11e2-b603-0040d06da8fb}\Shell\AutoRun\command - "" = G:\jofk1wf.exe

O33 - MountPoints2\{d9ed73d0-1507-11e2-b603-0040d06da8fb}\Shell\open\Command - "" = G:\jofk1wf.exe

O33 - MountPoints2\{d9ed73d1-1507-11e2-b603-0040d06da8fb}\Shell\AutoRun\command - "" = H:\jofk1wf.exe

O33 - MountPoints2\{d9ed73d1-1507-11e2-b603-0040d06da8fb}\Shell\open\Command - "" = H:\jofk1wf.exe

 

:Commands

[emptytemp]

wykonaj skrypt, zatwierdź restart. wykonaj nowy log otl.

Nezvik · 7 Maja 2014

Wykonaj pełny skan programem Dr.WEB CureIt, wstaw log po 1 usuwaniu.

W nim ostatnia nadzieja, jeśli nie uda się usunąć infekcji prawdopodobnie będzie trzeba zrobić gruntowny format dysków.

Zaloguj się

👋 Witaj na MPCForum!

Dysk sam się zapełnia! D:

Pytanie

44 odpowiedzi na to pytanie

Rekomendowane odpowiedzi

Zarchiwizowany