Recycled\ctfmon.exe, brak dostępu do dysku D, E


(Anulka 162) #1

Witam,

proszę o pomoc w sprawie wirusa/trojana czy co to jest - recycled\ctfmon.exe.

Po kolei - po pierwsze komputer muli, po drugie kiedy chcę wejść na dysk D lub E wyskakuje mi okienko z odmową dostępu; po kliknięciu prawym wyświetla się 'Open(0)', 'Autoodtwarzanie', 'Otwórz'. Dopiero po kliknięciu 'Otwórz' dysk się otwiera. Chciałam zainstalować ESET NOD 32 żeby przeskanować, ale wystąpił błąd, potem chciałam ściągnąć 9-lab Removal Tool, ale też nie dało się ściągnąć. W końcu udało mi się ściągnąć Dr.WEB CureIt i przeskanowałam nim kompa - poniżej wklejam raport: 

http://wklej.org/id/1553536/

A tutaj wklejam raport po skanowaniu OTL:

http://wklej.org/id/1553575/

http://wklej.org/id/1553579/

Trochę czytałam na temat tego dziadostwa, ale jako, że jestem totalnym laikiem bałam się cokolwiek sama dalej robić.

Z góry dziękuję za pomoc.

 


(Acorus) #2

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.


(Anulka 162) #3

Proszę, podaję raporty:

FRST: http://wklej.org/id/1554201/

oraz

Addition: http://wklej.org/id/1554202/


(Atis) #4

Musisz wkleić porządnie, bo linie są podzielone i nie można tego odczytać.

Sprawdź czy w notatniku nie masz zaznaczonego zwijania wierszy:

Format -> Zwijanie wierszy


(Anulka 162) #5

Raz jeszcze

FRST: http://wklej.org/id/1554732/

Addition: http://wklej.org/id/1554734/


(Atis) #6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-18\...\Run: [ALUAlert] => C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (the data entry has 59 more characters).
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Local Page = 
URLSearchHook: HKU\S-1-5-21-507921405-606747145-682003330-1003 - (No Name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No File
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope value is missing.
S4 IntelIde; No ImagePath
C:\Documents and Settings\polo\Doctor Web
Task: C:\WINDOWS\Tasks\Install.job => C:\WINDOWS\system32\Adobe\Shockwave 11\nssstub.exe
D:\autorun.inf
E:\autorun.inf
Reg: reg delete HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 /f
CMD: dir /a c:\
CMD: dir /a d:\
CMD: dir /a e:\
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Anulka 162) #7

raport fixlog: http://wklej.org/id/1554758/


(Atis) #8

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Local Page = 
C:\Recycled
D:\Recycled
E:\Recycled
C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Wyłącz i ponownie włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Zabezpiecz się przed infekcją z USB: Panda USB Vaccine Uruchom program i kliknij Vaccinate Computer.

Odinstaluj:

Adobe Flash Player 15 Plugin

Adobe Flash Player 9 ActiveX

Adobe Flash Player ActiveX

Adobe Reader XI

Adobe Shockwave Player 11.5

Java 2 Runtime Environment, SE v1.4.2_08

Java 6 Update 31

Zainstaluj:

Adobe Reader XI 11.0.10

Flash Player 16.0.0.235 Plugin

Flash Player 16.0.0.235 ActiveX

Java 7 Update 71

Service Pack 3

Internet Explorer 8


(Anulka 162) #9

Zrobiłam wszystko, z tym, że po opcji fix w FRST wyskoczył błąd:

Poza tym w menedżerze zadań Windows dalej widnieje w procesach ctfmon.exe - to coś znaczy? Poniżej dorzucam print:

25s77dg.jpg

Prócz tego na każdym dysku po oznaczeniu żeby pliki ukryte były widoczne i chronione pliki systemu operacyjnego też, widać folder RECYCLER, to ma tak być?:

Na dyski D i E już można śmiało wchodzić, ale komputer dalej trochę muli i jak się wchodzi w Internet, to też.

Można czymś znowu zeskanować żeby sprawdzić czy na pewno już wszystko jest ok?

A i znowu chciałam zainstalować ESET NOD 32 i dalej się nie da, wyskakuje komunikat, że być może wirus blokuje czy coś.


(Atis) #10

RECYCLER to jest prawidłowy folder systemowego kosza i normalnie znajduje się na każdej partycji.

Plik ctfmon.exe widoczny w menedżerze jest plikiem systemowym, bo wszystko zależy od lokalizacji tego pliku.

http://support.microsoft.com/kb/282599/pl

Zaawansowane usługi tekstowe można wyłączyć tak:

Panel Sterowania -> Opcje regionalne i językowe -> Języki -> Szczegóły -> Zaawansowane

Zaznacz Wyłącz zaawansowane usługi tekstowe i kliknij OK

Czy wykupiłaś licencję, że koniecznie chcesz zainstalować komercyjny program?

Niektórych programów nie zainstalujesz bez Service Pack 3.

Przeskanuj za pomocą ESET Online Scanner

Masz zainstalowany CCleaner, więc uruchom ten program:

CCleaner -> Narzędzia -> Autostart -> Windows -> Zapis do pliku tekstowego

Wyślij na wklej.org i podaj link.

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt


(Anulka 162) #11

Raport TDSSKiller: http://wklej.org/id/1555954/

 

Nie za bardzo wiem co z tym CCelanerem, bo wchodząc w narzędzia, potem autostart nie mam do wyboru windows i zapisu do pliku tekstowego, a jedynie usunięcie wpisu… może jestem ślepa… poniżej print:

http://i62.tinypic.com/2efj70j.jpg

 

co innego jeśli wchodzę w CCleaner -> Narzędzia -> Odinstaluj programy, to wtedy pojawia mi się opcja zapisu do pliku tekstowego, print poniżej:

http://i57.tinypic.com/b7ml29.jpg


(Atis) #12

Nie widać żadnej infekcji.

Masz starą wersję CCleaner.

Wyłącz z autostartu zbędne programy typu MSMSGS, Adobe ARM, NeroFilterCheck, RemoteControl, SunJavaUpdateSched, WinampAgent, Utility Tray.


(Anulka 162) #13

Baaaaaaardzo dziękuję za pomoc! :)