Wirus wypełnia całą partycję


(Marellion) #1

Witam,
złapałem wirusa. Objawia się on duplikowaniem swoich plików w folderze temp a co za tym idzie zapełnia całą partycję C:. Dodatkowo zaczął się wyświetlać błąd aplikacji jucheck.exe oraz assistant.exe (nie została właściwie uruchomiona). Na swoją rękę próbowałem coś z tym zrobić programami adwcleaner oraz malwarebytes ale nic one nie wykrywają. Dodaję raporty z FRST.
Addition.txt (30,9 KB)
FRST.txt (26,0 KB)
Shortcut.txt (45,2 KB)


(Atis) #2

Niczego ciekawego nie widać w tych logach.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [301568 2015-09-11] (Microsoft Corporation) HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = S3 aswHdsKe; \??\C:\Windows\system32\drivers\aswHdsKe.sys [X] U3 DfSdkS; Brak ImagePath S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] 2017-05-30 18:08 - 2017-05-30 18:08 - 00000000 ____D C:\ProgramData\SWCUTemp 2017-05-30 17:41 - 2017-02-05 02:25 - 00000000 ____D C:\AdwCleaner 2016-04-07 21:56 - 2016-04-07 21:56 - 0000000 _____ () C:\Users\Bożena\AppData\Local\{F9485B44-A7E4-4426-818F-0358AC8F02C5} 2016-06-12 01:22 - 2016-06-12 01:22 - 6748160 _____ () C:\Program Files (x86)\GUTF086.tmp Task: {52897B9D-75E5-4DF1-9402-B6514E381FB2} - System32\Tasks\{D921179C-217A-4F48-BA53-63123B36F0EB} => pcalua.exe -a "C:\Program Files (x86)\Nowa Era\Historia i społeczeństwo Wczoraj i dziś kl. 4\PostInstall.exe" -d "C:\Program Files (x86)\Nowa Era\Historia i społeczeństwo Wczoraj i dziś kl. 4" Task: {D149AE04-49FD-438A-A3D7-20F2C6CD9C42} - System32\Tasks\{A8526F37-EBC7-4835-B380-AF4E3BFC7CEB} => pcalua.exe -a C:\Users\BOENA~1\AppData\Local\Temp\jre-8u121-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 <==== UWAGA EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST


(Marellion) #3

Naprawianie od 30min stoi w miejscu na usuwanie plików temp. CCleaner wykrywa pliki temp w wielkości ~50mb podczas gdy folder naprawdę ma 20gb, ścieżka do niego to: C:\Users\Bożena\AppData\Local\Temp. W normalnym trybie ciężko jest coś wykonać/zapisać ponieważ wyskakują okienka, że programy przestały działać, dlatego działam w trybie awaryjnym.
Znalazłem opis wirusa.


#5

Możesz też w wierszu polecenia uruchomionym jako administrator spróbować usunąć katalog i go zrobić na nowo:

rd /s /q %temp%
mkdir %temp%

Jakby coś blokowało usunięcie to możesz w trybie awaryjnym, wtedy aplikacje używające katalogu nie powinny być aktywne.


(Marellion) #6

Usunięcie folderu przez cmd w trybie awaryjnym jest blokowane przez plik: \Temp\FXSAPIDebugLogFile.txt.


(bachus) #7

usuń z systemu Windows Fax and Scan (dodaj/usuń programy, opcje Windowsa).


#8

albo wykonaj tylko usuwanie zawartości i to co nie da się usunąć na razie tam zostaw:

del /s /q %temp%

(Marellion) #9

Poszło już usuwanie całego folderu tak jak poradził @bachus. Na razie wszystko gra ale zobaczę co będzie się działo w dalszym użytkowaniu.

@Loginy123 EDIT: Z tego co widzę problem znów występuje. Tj. w folderze temp tworzone są pliki i foldery:

  • jusched.txt (+monit, że aplikacja nie została poprawnie uruchomiona kod:0xc0000005, po nim nie można otwierać żadnych plików);
  • ~DF2A(…)131.TMP;
  • avast (czas modyfikacji taki sam jak pliku .tmp);
  • WPDNSE;
  • _MEI19362 (plik wirusa);
    te dwa ostanie utworzone w tym samym momencie.

(Longhorn2009) #10

To że w folderze temp są tworzone pliki i foldery to normalne, to folder tymczasowy programów.


#11

Zrób może nowe logi z FRST i puść skan jednym z dwóch programów spoza systemu:

http://free.drweb.com/aid_admin/
https://support.kaspersky.com/pl/8092


(Marellion) #12

Logi mogę robić tylko w trybie awaryjnym, ponieważ podczas otwierania frst czy np. adwcleaner dostaję monit, że program przestał działać. Cały czas dostaję też powiadomienie o błędzie aplikacji jucheck.exe a gdy go zamknę to tak jak wcześniej pisałem nic nie mogę otworzyć.
Co do skanowania to dr. web daje komunikat “kernel panic - not syncing” a kaspersky stoi na “loading database”. Dodaję nowe logi :
Addition.txt (27,4 KB)
FRST.txt (28,2 KB)
Shortcut.txt (44,5 KB)


(Acorus) #13

Skanowania wykonaj w trybie awaryjnym.


(Marellion) #14

Ten dr web i kaspersky to live cd. A frst i adwcleaner robię z awaryjnego


#15

OK podrzucam ci jeszcze skanery tych firm pod Windows:

http://download.geo.drweb.com/pub/drweb/cureit/drweb-cureit.exe
http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe


One powinny dać się odpalić jak linux zawiódł z live CD/DVD/USB.


(Marellion) #16

OK, niby nic nie wykryły, ale teraz każdy program np. word, czy spotify przy próbie otworzenia daje komunikat, że program przestał działać.


(Acorus) #17

To nie jest sprawa wirusowa.Jedyne wyjście to reinstalacja systemu.


#18

Spróbuj jeszcze naprawy błędów systemowych:

sfc / scannow

Możesz też sprawdzić czy po użyciu aktywnego czystego rozruchu też masz błędy uruchomienia procesów: