Dysk sam się zapełnia! D:

[kubanek_kuba]

Już od dłuższego czasu dysk sam mi się zapełnia   nie wiem co robić. Pozbyłem się już 5gb (jak nie wiecej) danych trochę do dużo, bo dysk ma 24,4 gb (dokładniej pamieć tego dysku to: 26 213 965 824 bajtów, a wolne miejsce aktualnie to 80 kb ). Nie mogę zainstalować programu malware bytes (żeby przeskanować dysk),  bo gdy klikam Instaluje to instalator sie zacina i nic sie nie dzieje. Skanowałem laptopa programem Emsisoft Emergency Kit i wykrył kilka backdoorów (którymi miałem dość słąbego ddosa), kilka trojanów i kilka malware. Pozbyłem się ich ale to dużo nie dało (odblokowało rejestr i menadżera zadań wcześniej musiałem to ręcznie robić), bo nadal dysk się zapełnia i nic nie mogę zrobić już nie mam co usunąć.
 POMOCY

[kubanek_kuba]

Jeśli chodzi o tego gmera to nwm czy przeskanował bo zostawiłem laptopa ze skanerem włączonym a jak wróciłem to był niebieski ekran i trzeba było wybrać z czego ma system załadować i jak wybierałem dysk to nie wykrywało go ale jak wyłączyłem i włączyłem ponownie to się załadował system automatycznie a na pulpicie logu nie było a ponownie nie za bardzo mi się chce skanować bo to kilka godzin trwało.
A tutaj log:

SystemLook 30.07.11 by jpshortstuff
Log created at 17:25 on 07/05/2014 by Kuba
Administrator - Elevation successful

========== Filefind ==========

Searching for "vcmgcd32.dll"
C:\WINDOWS\system32\vcmgcd32.dll    --a---- 36864 bytes    [13:00 05/05/2014]    [15:09 07/05/2014] AE22CA9F11ADE8E362254B452CC07F78

Searching for "vcmgcd32.dl_"
C:\WINDOWS\system32\vcmgcd32.dl_    --ah--- 17878 bytes    [13:00 05/05/2014]    [15:23 07/05/2014] 65EC81C36EFD75F8E4490B0D42AA2CED

Searching for "nqij.exe"
No files found.

========== Regfind ==========

Searching for "vcmgcd32.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs]
"url4"="C:\WINDOWS\system32\vcmgcd32.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"f"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"c"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"
[HKEY_USERS\S-1-5-21-796845957-1935655697-839522115-1003\Software\Microsoft\Internet Explorer\TypedURLs]
"url4"="C:\WINDOWS\system32\vcmgcd32.dll"
[HKEY_USERS\S-1-5-21-796845957-1935655697-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"f"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"
[HKEY_USERS\S-1-5-21-796845957-1935655697-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"c"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"

Searching for "vcmgcd32.dl_"
No data found.

Searching for "nqij.exe"
No data found.

-= EOF =-

OTL:

http://wklej.org/id/1354676/

[Nezvik]

Wyłączyłeś przywracanie systemu na wszystkich dyskach? Jeśli tak wykonaj w OTL:

:processes
killallprocesses
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs]
"url4"="C:\WINDOWS\system32\vcmgcd32.dll"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"f"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"c"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"
[-HKEY_USERS\S-1-5-21-796845957-1935655697-839522115-1003\Software\Microsoft\Internet Explorer\TypedURLs]
"url4"="C:\WINDOWS\system32\vcmgcd32.dll"
[-HKEY_USERS\S-1-5-21-796845957-1935655697-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"f"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"
[-HKEY_USERS\S-1-5-21-796845957-1935655697-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll]
"c"="C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Pulpit\vcmgcd32.dll"
 
:Files
C:\WINDOWS\System32\vcmgcd32.dll
C:\WINDOWS\System32\vcmgcd32.dl_
 
:Commands
[emptytemp]

Koniecznie wstaw log z usuwania. Po tym wstaw nowe logi OTL.

[kubanek_kuba]

@rafor4 A gdzie będzie log z usuwania?
Jak wyłączyłem przywracanie systemu do teraz mam 9gb wolnego miejsca
Log z usuwania:

http://wklej.org/id/1354952/

Ale jak otworzyłem folder system32 to vcmgcd32.dll był i vcmgcd.dll_ pewnie też (bo jest on ukryty a nie mogę tego zmienić)

Przyszedł mi też pomysł czy dałoby coś zrobić plik txt pusty i zmienić na .dll i .dll_ i podmienić te pliki to wtedy by chyba myslało ze to są te poprawne pliki?

[Nezvik]

Wykonaj pełny skan programem Dr.WEB CureIt, wstaw log po 1 usuwaniu.

W nim ostatnia nadzieja, jeśli nie uda się usunąć infekcji prawdopodobnie będzie trzeba zrobić gruntowny format dysków.

[kubanek_kuba]

Pobieram tego Dr.WEB CureIt ale jeśli będzie trzeba formata to takie pytanie czy ten vcmgcd infekuje inne pliki bo wtedy bym chciał sobie te ważniejsze pliki zgrać gdzieś żeby nie stracić ich, a nie wiem czy to się nie przeniesie jakoś?

[kubanek_kuba]

Skanowałem wczoraj tym programem ten vcmgcd.dll i ten 2 z .dll_ i obydwa dałem żeby je naprawił i nic to nie dało tak samo jak dałem usuń to ten plik był nadal. Coś mi się zdaje że format tylko jest tu wyjściem, ale jak go nie zrobię to ten plik może coś uszkodzić? Mam go już bardzo bardzo długo (może nawet 2 lata) i nie widzę żeby coś on robił. W necie czytałem że on blokuje wejście na strony z antywirusami ale u mnie ten problem nie występuje może to uszkodzony wirus?
@Edit znalazłem program UnHackMe może ktoś o nim słyszał i napisze czy jesli włącze skanowanie przed startem systemu to coś pomoże
@Edit2 Udało mi się ręcznie usnąć ten plik i nie robi się do tej pory a zrobiłem tek że ten plik podmieniałem na pusty plik który zrobiłem notatnikiem zapisałem jako i dałem vcmgcd32.dll potem podmieniałem te pliki i usunąłem ten podmieniony i teraz się nie robi nwm czy dobrze to zrobiłem jak coś zepsułem to piszcie :P Oraz te wpisuj rejestru recznie usuwam.

[Nezvik]

Zrestartuj komputer i zrób nowy log OTL, następnie wykonaj ten sam skrypt w systemlook. To nic nie da, ponieważ infekcja sality jest ciągle aktywna, bo tak te pliki by się nie odnawiały. Doprowadzi w końcu do posypania systemu. Spróbuj skanować programem DrWeb tyle razy, aż będzie 0 infekcji. Jeśli po ponownym skanowaniu liczba infekcji będzie się zmniejszać, to będą jakieś postępy. Te pliki temp nie jest cała infekcją.

[kubanek_kuba]

Plik się już nie tworzy a log z OTL wstawie jak się przeskanuje (zaznaczyłem żeby wszystko co możliwe skanowało) a tym DrWeb przeskanuje jutro.

[kubanek_kuba]

OTL:

http://wklej.org/id/1356010/

Extras:

http://wklej.org/id/1356011/

[Nezvik]

Pobierz program FRST i ustaw w nim opcje jak na obrazku:

 

http://www.MPCpc.pl/picasso/images/malware/tools/frst/frst_win07.png

 

Po skanie wyskoczą 3 notatniki. Proszę o wstawienie.

[kubanek_kuba]

 

http://wklej.org/id/1356662/
http://wklej.org/id/1356664/
http://wklej.org/id/1356665/

[Nezvik]

Podejmuję ostatnią próbę.

 

Przeskanuj plik:

C:\WINDOWS\system32\ChCfg.exe

C:\WINDOWS\winstart.bat

 

 

Pliki, które podmieniłeś zostały i tak zmodyfikowane. 

[kubanek_kuba]

@rafor4 jakim programem?

[Janusz.]

na virustotal.com

[kubanek_kuba]

Skan:

https://www.virustotal.com/pl/file/bfc77662c2fd2e9a1cad97fd69c70b4b90d1bb8ef7be23d3e5b1c01fe4b68520/analysis/1399712801/
https://www.virustotal.com/pl/file/7eb70257593da06f682a3ddda54a9d260d4fc514f645237f5ca74b08f8da61a6/analysis/1399712990/

[Nezvik]

Poniższy kod zapisz jako fixlist.txt i umieść w katalogu FRST. Następnie odpal go i kliknij w nim FIX

HKU\S-1-5-21-796845957-1935655697-839522115-1003\...\MountPoints2: {0ea4cbf8-f199-11e0-86cf-001b10003e5c} - jofk1wf.exe
Startup: C:\Documents and Settings\kuba\Menu Start\Programy\Autostart\PopupDummy!.lnk
ShortcutTarget: PopupDummy!.lnk -> C:\Program Files\PopupDummy!\PopupDummy!.EXE (No File)
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
S2 b9c19afa; "C:\WINDOWS\system32\rundll32.exe" "c:\docume~1\alluse~1.win\daneap~1\intere~1\InterenetOptimizerSvc.dll",service
U3 Partizan; system32\drivers\Partizan.sys [X]
2014-05-08 22:10 - 2014-05-09 15:33 - 00036864 _____ () C:\WINDOWS\system32\vcmgcd32.dll
2014-05-08 22:10 - 2014-05-09 15:33 - 00017878 ____H () C:\WINDOWS\system32\vcmgcd32.dl_
2014-05-08 18:43 - 2014-05-08 17:47 - 00036864 _____ () C:\WINDOWS\system32\vcmgcd32.backup
2014-05-05 15:13 - 2014-05-05 15:13 - 00000000 _RSHD () C:\cmdcons
2014-05-05 15:00 - 2010-11-07 19:20 - 00229376 _____ () C:\WINDOWS\MBR.exe
2014-05-05 15:00 - 2000-08-31 02:00 - 00119296 _____ () C:\WINDOWS\sed.exe
2014-05-05 15:00 - 2000-08-31 02:00 - 00100864 _____ () C:\WINDOWS\grep.exe
2014-05-07 23:13 - 2012-09-24 15:47 - 00049152 _____ () C:\WINDOWS\system32\ChCfg.exe
C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Ustawienia lokalne\Temp\3124-Replacer_sciagnij.exe
C:\Documents and Settings\Kuba.KUBA-17BCB7A641\Ustawienia lokalne\Temp\instructions.exe
2014-05-05 15:00 - 2009-04-20 06:56 - 00080896 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
2014-05-05 15:00 - 2000-08-31 02:00 - 00232960 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe

Nie wiem czy FRST będzie wymagał restartu komputera po fixie. Jeśli nie, od razu wykonaj nowy log FRST oraz pełne skanowanie DrWeb. Następnie wykonaj restart systemu i kolejny log FRST. Wstaw oba logi.

[kubanek_kuba]

http://wklej.org/id/1360318/
http://wklej.org/id/1360319/
http://wklej.org/id/1360320/

A zaraz dodam te logi po restarcie

 

http://wklej.org/id/1360337/
http://wklej.org/id/1360338/
http://wklej.org/id/1360339/

[Nezvik]

Sality ciągle aktywny. Nie da się usunąć tej infekcji, na innych bardziej specjalistycznych forach również nie dadzą sobie rady. System z początku był zbyt zainfekowany. Uszkodzenie danych będzie się pogłębiać, aż dojdzie do zainfekowania plików windowsa, w wyniku czego nie zostanie on uruchomiony. W takiej sytuacji należy zgrać ważne dane na wcześniej sformatowanego pendriva ze wszystkich dysków (POZA PLIKAMI .exe - instalkami) i wykonać format wszystkich partycji. Niestety, jest to jedyna metoda na pozbycie się Sality.

[kubanek_kuba]

@up Ok thx za pomoc

Temat do zamknięcia