Coś się dzieje, zawalony dysk plikami

[MarvinX]

Witam, od wczoraj co chwile musze robić wolne miejsce.. a dlaczego .. jakieś pliki się same tworzą html czy cos tam na całym dysku w róznych folderach, zajmuja one po 30mb , w dwie godziny ucieklo mi ponad 50 gb. skanowałem mbam hitmanem itd. wstawiam skany otl i frst

Addition.txt

Shortcut.txt

OTL.Txt

FRST.txt

Extras.Txt

gmer.txt

[MarvinX]

zaraz wywale ten durny komputer.. pomoze ktoś?

ps.teraz pliki sie robia po 69 mb..

[Rucek]

 musimy czekać na Picasso, nie podbijaj tematu to nic nie da, bedzie tylko śmietnik i trzeba będzie sprzątać. Czekaj cierpliwie, nie olej na troche kompa jak możesz, nie dokonuj sam żadnych zmian by logi były aktualne. czekamy... inaczej się nie da.

[picasso]

Używałeś Combofix i na ten temat: KLIK.

 

 

jakieś pliki się same tworzą html czy cos tam na całym dysku w róznych folderach, zajmuja one po 30mb

Brak danych. Zaprezentuj przykłady jak te pliki wyglądają (dokładne ścieżki dostępu i nazwy). Na razie nie wiem jak pliki wyglądają, prawdopodobnie trzeba będzie uruchomić jakieś śledzenie co tworzy te pliki, bo tu z podanych raportów absolutnie nic nie wynika.

 

Nie ma tu żadnych widocznych oznak infekcji, która może odpowiadać za efekt. Są tylko odpadki adware (w tym dwa czynne sterowniki). Widzę też powtarzające się błędy programu Acunetix Web Vulnerability Scanner 8.0, który zresztą jest "Av8.0_full_100%_clean_and_cracked":

 

Application errors:

==================

Error: (05/25/2014 00:50:17 PM) (Source: Application Error) (EventID: 1000) (User: )

Description: Nazwa aplikacji powodującej błąd: WVSScheduler.exe, wersja: 0.0.0.0, sygnatura czasowa: 0x2a425e19

Nazwa modułu powodującego błąd: WVSScheduler.exe, wersja: 0.0.0.0, sygnatura czasowa: 0x2a425e19

Kod wyjątku: 0xc0000005

Przesunięcie błędu: 0x000ce562

Identyfikator procesu powodującego błąd: 0x7cc

Godzina uruchomienia aplikacji powodującej błąd: 0xWVSScheduler.exe0

Ścieżka aplikacji powodującej błąd: WVSScheduler.exe1

Ścieżka modułu powodującego błąd: WVSScheduler.exe2

Identyfikator raportu: WVSScheduler.exe3

 

Na razie doczyść szczątki adware i programów:

 

1. Otwórz Notatnik i wklej w nim:

 

R1 {572f484b-455f-44b0-9d6a-da3ad2071365}Gw; C:\Windows\System32\drivers\{572f484b-455f-44b0-9d6a-da3ad2071365}Gw.sys [52928 2014-04-24] (StdLib)
R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys [52920 2014-05-09] (StdLib)
S3 catchme; \??\C:\Users\sebek\AppData\Local\Temp\catchme.sys [X]
S3 taphss6; system32\DRIVERS\taphss6.sys [X]
S3 XFDriver; \??\C:\Program Files\Xfire2\XFDriver.sys [X]
BHO: IplexToALLPlayer - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - No File
FF user.js: detected! => C:\Users\sebek\AppData\Roaming\Mozilla\Firefox\Profiles\7swdtaol.default\user.js
C:\NPE
C:\ProgramData\Norton
C:\Users\sebek\AppData\Local\genienext
C:\Users\sebek\AppData\Local\NPE
C:\Users\sebek\AppData\Roaming\AVG
C:\Users\sebek\AppData\Roaming\AVG2014
C:\Users\sebek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
C:\Windows\system32\sqlite3.dll
C:\Windows\System32\drivers\{572f484b-455f-44b0-9d6a-da3ad2071365}Gw.sys
C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw.sys
Unlock: C:\Users\sebek\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete
C:\Users\sebek\AppData\Local\Microsoft\Windows\Explorer\ThumbCacheToDelete
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj program Acunetix Web Vulnerability Scanner 8.0 oraz adware VO Package.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt, C:\ComboFix.txt oraz logi z folderu C:\AdwCleaner. Wypowiedz się czy są jakieś zmiany (choć ja wątpię).

 

 

 

 

.

[MarvinX]

Za chwile dodam combofixa

FRST.txt

Fixlog.txt

ComboFix.txt

[picasso]

No i wszystko jasne. Pierwsze logi tego nie pokazywały (prawdopodobnie oszukane skanami i zrobione w momencie zaraz po usunięciu wpisu markowego infekcji jeszcze przed jego regeneracją). Teraz się pokazał dowód co się dzieje i dlaczego pliki HTML nabija. Jest tu Ramnit - wirus plików wykonywalnych (infekuje także pliki HTM/HTML), świadczy o tym inicjacja Desktoplayer.exe z Userinit:

 

HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe,c:\users\sebek\microsoft\desktoplayer.exe,c:\program files\microsoft\desktoplayer.exe

 

Pro forma opis wirusa: KLIK / KLIK.

 

Tu nie ma się co zastanawiać: format dysku to najlepsze i najszybsze rozwiązanie problemu. Powód jest następujący: zwalczyć tę infekcję (wszystkie pliki wykonywalne Windows i programów są infekowane) graniczy z cudem, a nawet jeśli od biedy się to uda, uszkodzenia mogą być potężne i próby naprawy plików mogą przekroczyć opłacalność.

 

Są tu aż trzy partycje, należy sformatować wszystkie, bo partycje to nie bariera dla wirusa w wykonywalnych (atakuje wszystkie pliki tego rodzaju na obojętnym dostępnym dysku):

 

==================== Drives ================================
 

Drive c: () (Fixed) (Total:37.46 GB) (Free:0.92 GB) NTFS

Drive d: () (Fixed) (Total:54.09 GB) (Free:2.75 GB) NTFS

Drive f: () (Fixed) (Total:19.65 GB) (Free:12.61 GB) NTFS

 

Nie wolno też z tego dysku skopiować na zapas żadnych plików typu EXE, DLL, HTM i HTML, gdyż wystaczy jeden lewy plik i po formacie przypadkowe jego uruchomienie spowoduje reinfekcję.

 

 

 

.