Wirus wypełnia całą partycję

Marellion · 30 Maj 2017 16:17

Witam,
złapałem wirusa. Objawia się on duplikowaniem swoich plików w folderze temp a co za tym idzie zapełnia całą partycję C:. Dodatkowo zaczął się wyświetlać błąd aplikacji jucheck.exe oraz assistant.exe (nie została właściwie uruchomiona). Na swoją rękę próbowałem coś z tym zrobić programami adwcleaner oraz malwarebytes ale nic one nie wykrywają. Dodaję raporty z FRST.
Addition.txt (30,9 KB)
FRST.txt (26,0 KB)
Shortcut.txt (45,2 KB)

Atis · 30 Maj 2017 18:28

Niczego ciekawego nie widać w tych logach.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKU\S-1-5-18\...\RunOnce: [SPReview] => C:\Windows\System32\SPReview\SPReview.exe [301568 2015-09-11] (Microsoft Corporation) HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = S3 aswHdsKe; \??\C:\Windows\system32\drivers\aswHdsKe.sys [X] U3 DfSdkS; Brak ImagePath S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] 2017-05-30 18:08 - 2017-05-30 18:08 - 00000000 ____D C:\ProgramData\SWCUTemp 2017-05-30 17:41 - 2017-02-05 02:25 - 00000000 ____D C:\AdwCleaner 2016-04-07 21:56 - 2016-04-07 21:56 - 0000000 _____ () C:\Users\Bożena\AppData\Local\{F9485B44-A7E4-4426-818F-0358AC8F02C5} 2016-06-12 01:22 - 2016-06-12 01:22 - 6748160 _____ () C:\Program Files (x86)\GUTF086.tmp Task: {52897B9D-75E5-4DF1-9402-B6514E381FB2} - System32\Tasks\{D921179C-217A-4F48-BA53-63123B36F0EB} => pcalua.exe -a "C:\Program Files (x86)\Nowa Era\Historia i społeczeństwo Wczoraj i dziś kl. 4\PostInstall.exe" -d "C:\Program Files (x86)\Nowa Era\Historia i społeczeństwo Wczoraj i dziś kl. 4" Task: {D149AE04-49FD-438A-A3D7-20F2C6CD9C42} - System32\Tasks\{A8526F37-EBC7-4835-B380-AF4E3BFC7CEB} => pcalua.exe -a C:\Users\BOENA~1\AppData\Local\Temp\jre-8u121-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 <==== UWAGA EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST

Marellion · 30 Maj 2017 19:23

Naprawianie od 30min stoi w miejscu na usuwanie plików temp. CCleaner wykrywa pliki temp w wielkości ~50mb podczas gdy folder naprawdę ma 20gb, ścieżka do niego to: C:\Users\Bożena\AppData\Local\Temp. W normalnym trybie ciężko jest coś wykonać/zapisać ponieważ wyskakują okienka, że programy przestały działać, dlatego działam w trybie awaryjnym.
Znalazłem opis wirusa.

anon53508325 · 31 Maj 2017 06:57

Możesz też w wierszu polecenia uruchomionym jako administrator spróbować usunąć katalog i go zrobić na nowo:

rd /s /q %temp%
mkdir %temp%

Jakby coś blokowało usunięcie to możesz w trybie awaryjnym, wtedy aplikacje używające katalogu nie powinny być aktywne.

Marellion · 31 Maj 2017 07:20

Usunięcie folderu przez cmd w trybie awaryjnym jest blokowane przez plik: \Temp\FXSAPIDebugLogFile.txt.

bachus · 31 Maj 2017 07:36

usuń z systemu Windows Fax and Scan (dodaj/usuń programy, opcje Windowsa).

anon53508325 · 31 Maj 2017 08:40

albo wykonaj tylko usuwanie zawartości i to co nie da się usunąć na razie tam zostaw:

del /s /q %temp%

Marellion · 31 Maj 2017 08:43

Poszło już usuwanie całego folderu tak jak poradził @bachus. Na razie wszystko gra ale zobaczę co będzie się działo w dalszym użytkowaniu.

@Loginy123 EDIT: Z tego co widzę problem znów występuje. Tj. w folderze temp tworzone są pliki i foldery:

jusched.txt (+monit, że aplikacja nie została poprawnie uruchomiona kod:0xc0000005, po nim nie można otwierać żadnych plików);
~DF2A(…)131.TMP;
avast (czas modyfikacji taki sam jak pliku .tmp);
WPDNSE;
_MEI19362 (plik wirusa);
te dwa ostanie utworzone w tym samym momencie.

Longhorn2009 · 31 Maj 2017 09:01

To że w folderze temp są tworzone pliki i foldery to normalne, to folder tymczasowy programów.

anon53508325 · 31 Maj 2017 09:30

Zrób może nowe logi z FRST i puść skan jednym z dwóch programów spoza systemu:

http://free.drweb.com/aid_admin/
https://support.kaspersky.com/pl/8092

Marellion · 31 Maj 2017 11:02

Logi mogę robić tylko w trybie awaryjnym, ponieważ podczas otwierania frst czy np. adwcleaner dostaję monit, że program przestał działać. Cały czas dostaję też powiadomienie o błędzie aplikacji jucheck.exe a gdy go zamknę to tak jak wcześniej pisałem nic nie mogę otworzyć.
Co do skanowania to dr. web daje komunikat “kernel panic - not syncing” a kaspersky stoi na “loading database”. Dodaję nowe logi :
Addition.txt (27,4 KB)
FRST.txt (28,2 KB)
Shortcut.txt (44,5 KB)

Acorus · 31 Maj 2017 11:53

Skanowania wykonaj w trybie awaryjnym.

Marellion · 31 Maj 2017 11:58

Ten dr web i kaspersky to live cd. A frst i adwcleaner robię z awaryjnego

anon53508325 · 31 Maj 2017 13:43

OK podrzucam ci jeszcze skanery tych firm pod Windows:

http://download.geo.drweb.com/pub/drweb/cureit/drweb-cureit.exe
http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

One powinny dać się odpalić jak linux zawiódł z live CD/DVD/USB.

Marellion · 31 Maj 2017 17:38

OK, niby nic nie wykryły, ale teraz każdy program np. word, czy spotify przy próbie otworzenia daje komunikat, że program przestał działać.

Acorus · 31 Maj 2017 17:42

To nie jest sprawa wirusowa.Jedyne wyjście to reinstalacja systemu.

anon53508325 · 31 Maj 2017 18:06

Spróbuj jeszcze naprawy błędów systemowych:

sfc / scannow

Możesz też sprawdzić czy po użyciu aktywnego czystego rozruchu też masz błędy uruchomienia procesów: