anulekkk
(Anulka 162)
10 Grudzień 2014 18:00
#1
Witam,
proszę o pomoc w sprawie wirusa/trojana czy co to jest - recycled\ctfmon.exe.
Po kolei - po pierwsze komputer muli, po drugie kiedy chcę wejść na dysk D lub E wyskakuje mi okienko z odmową dostępu; po kliknięciu prawym wyświetla się ‘Open(0)’, ‘Autoodtwarzanie’, ‘Otwórz’. Dopiero po kliknięciu ‘Otwórz’ dysk się otwiera. Chciałam zainstalować ESET NOD 32 żeby przeskanować, ale wystąpił błąd, potem chciałam ściągnąć 9-lab Removal Tool, ale też nie dało się ściągnąć. W końcu udało mi się ściągnąć Dr.WEB CureIt i przeskanowałam nim kompa - poniżej wklejam raport:
http://wklej.org/id/1553536/
A tutaj wklejam raport po skanowaniu OTL:
http://wklej.org/id/1553575/
http://wklej.org/id/1553579/
Trochę czytałam na temat tego dziadostwa, ale jako, że jestem totalnym laikiem bałam się cokolwiek sama dalej robić.
Z góry dziękuję za pomoc.
Acorus
(Acorus)
10 Grudzień 2014 18:04
#2
Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.
anulekkk
(Anulka 162)
10 Grudzień 2014 19:59
#3
Atis
(Atis)
10 Grudzień 2014 22:26
#4
Musisz wkleić porządnie, bo linie są podzielone i nie można tego odczytać.
Sprawdź czy w notatniku nie masz zaznaczonego zwijania wierszy:
Format -> Zwijanie wierszy
anulekkk
(Anulka 162)
11 Grudzień 2014 11:22
#5
Atis
(Atis)
11 Grudzień 2014 11:37
#6
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKU\S-1-5-18\...\Run: [ALUAlert] => C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (the data entry has 59 more characters).
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Local Page =
URLSearchHook: HKU\S-1-5-21-507921405-606747145-682003330-1003 - (No Name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No File
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
SearchScopes: HKLM -> DefaultScope value is missing.
S4 IntelIde; No ImagePath
C:\Documents and Settings\polo\Doctor Web
Task: C:\WINDOWS\Tasks\Install.job => C:\WINDOWS\system32\Adobe\Shockwave 11\nssstub.exe
D:\autorun.inf
E:\autorun.inf
Reg: reg delete HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 /f
CMD: dir /a c:\
CMD: dir /a d:\
CMD: dir /a e:\
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
anulekkk
(Anulka 162)
11 Grudzień 2014 11:46
#7
Atis
(Atis)
11 Grudzień 2014 16:45
#8
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Local Page =
C:\Recycled
D:\Recycled
E:\Recycled
C:\Documents and Settings\All Users\Dane aplikacji\Doctor Web
DeleteQuarantine:
Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST
Wyłącz i ponownie włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
Zabezpiecz się przed infekcją z USB: Panda USB Vaccine Uruchom program i kliknij Vaccinate Computer.
Odinstaluj:
Adobe Flash Player 15 Plugin
Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adobe Reader XI
Adobe Shockwave Player 11.5
Java 2 Runtime Environment, SE v1.4.2_08
Java 6 Update 31
Zainstaluj:
Adobe Reader XI 11.0.10
Flash Player 16.0.0.235 Plugin
Flash Player 16.0.0.235 ActiveX
Java 7 Update 71
Service Pack 3
Internet Explorer 8
anulekkk
(Anulka 162)
12 Grudzień 2014 12:29
#9
Zrobiłam wszystko, z tym, że po opcji fix w FRST wyskoczył błąd:
Poza tym w menedżerze zadań Windows dalej widnieje w procesach ctfmon.exe - to coś znaczy? Poniżej dorzucam print:
Prócz tego na każdym dysku po oznaczeniu żeby pliki ukryte były widoczne i chronione pliki systemu operacyjnego też, widać folder RECYCLER, to ma tak być?:
Na dyski D i E już można śmiało wchodzić, ale komputer dalej trochę muli i jak się wchodzi w Internet, to też.
Można czymś znowu zeskanować żeby sprawdzić czy na pewno już wszystko jest ok?
A i znowu chciałam zainstalować ESET NOD 32 i dalej się nie da, wyskakuje komunikat, że być może wirus blokuje czy coś.
Atis
(Atis)
12 Grudzień 2014 17:10
#10
RECYCLER to jest prawidłowy folder systemowego kosza i normalnie znajduje się na każdej partycji.
Plik ctfmon.exe widoczny w menedżerze jest plikiem systemowym, bo wszystko zależy od lokalizacji tego pliku.
http://support.microsoft.com/kb/282599/pl
Zaawansowane usługi tekstowe można wyłączyć tak:
Panel Sterowania -> Opcje regionalne i językowe -> Języki -> Szczegóły -> Zaawansowane
Zaznacz Wyłącz zaawansowane usługi tekstowe i kliknij OK
Czy wykupiłaś licencję, że koniecznie chcesz zainstalować komercyjny program?
Niektórych programów nie zainstalujesz bez Service Pack 3.
Przeskanuj za pomocą ESET Online Scanner
Masz zainstalowany CCleaner, więc uruchom ten program:
CCleaner -> Narzędzia -> Autostart -> Windows -> Zapis do pliku tekstowego
Wyślij na wklej.org i podaj link.
Pobierz i uruchom TDSSKiller
Kliknij Start scan i jeśli coś wykryje wybierz Skip
Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt
anulekkk
(Anulka 162)
12 Grudzień 2014 18:16
#11
Raport TDSSKiller: http://wklej.org/id/1555954/
Nie za bardzo wiem co z tym CCelanerem, bo wchodząc w narzędzia, potem autostart nie mam do wyboru windows i zapisu do pliku tekstowego, a jedynie usunięcie wpisu… może jestem ślepa… poniżej print:
http://i62.tinypic.com/2efj70j.jpg
co innego jeśli wchodzę w CCleaner -> Narzędzia -> Odinstaluj programy, to wtedy pojawia mi się opcja zapisu do pliku tekstowego, print poniżej:
http://i57.tinypic.com/b7ml29.jpg
Atis
(Atis)
12 Grudzień 2014 21:33
#12
Nie widać żadnej infekcji.
Masz starą wersję CCleaner.
Wyłącz z autostartu zbędne programy typu MSMSGS, Adobe ARM, NeroFilterCheck, RemoteControl, SunJavaUpdateSched, WinampAgent, Utility Tray.
anulekkk
(Anulka 162)
12 Grudzień 2014 21:42
#13
Baaaaaaardzo dziękuję za pomoc! :)