Znikająca pojemność dysku c, utrata transferu internetowego

[MikeMitnick]

Komputer od pewnego czasu ma co chwila zajęty dysk C który jest dyskiem systemowym na ssd. Komputer w pracy służy głównie do rysowania w cadzie (biorę pod uwagę to, że cad zapisuje pliki tymczasowe gdzieś na dysku C i ich nie nadpisuje, stąd nawet po czyszczeniu dysku C co chwila mam komunikat że jest "mało miejsca na dysku). Od miesiąca także zaczął nam znikać transfer internetowy z modemu, kiedy do sieci mamy wpięte 3 komputery to transfer na dzień wynosi około 2gb, kiedy jeden komputer (ten teoretycznie zainfekowany) jest wyłączony przez cały dzień to zużycie transferu wynosi (na 2 komputery) do 0,74gb.

Dodatkowo jest problem z pendriveami, kiedy jakiś zostanie włożony celem skopiowania danych, to po jego wyjęciu i ponownym włożeniu jest on już pusty (tak jakby wszystko zostało z niego usunięte).

W załączeniu log.

http://www.wklej.org/id/3375473/ - GMER

[ordynat]

1) Spróbuj odinstalować te programy:

Web Protector IE (HKLM-x32\...\WebProtector) (Version: 4.2.0.1757 - WebProtector) <==== UWAGA
Web Protector Plus (uninstall only) (HKLM\...\WebProtectorPlus) (Version: - ) <==== UWAGA
Spybot - Search & Destroy (HKLM-x32\...\{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1) (Version: 1.6.2 - Safer Networking Limited) - (pracuje na zbyt starym silniku, więc nie potrafi wykrywać nowocześniejszych infekcji)
pdfforge Toolbar v4.9 (HKLM-x32\...\{26ED1160-22B1-4b19-8C21-42A1BACAAF75}) (Version: 4.9 - Spigot, Inc.) <==== UWAGA
Ashampoo PO Toolbar (HKLM-x32\...\Ashampoo_PO Toolbar) (Version: 6.8.9.0 - Ashampoo PO) <==== UWAGA

2) Użyj Adw-Cleaner http://www.programosy.pl/program,adwcleaner.html
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

3) Zrób nowe logi FRST.
przed skanem zaznacz: Additional.txt Shortcut.txt,

4) podepnij peny.
Zrób log z USBFix http://www.mediafire.com/file/kqbuu17k266ey14/UsbFix_9.067.exe
z opcji LISTING

Potem zajmiemy się infekcjami, którymi Adw-Cleaner nie zajmuje się, a które masz już prawie rok.
.

Autor postu otrzymał pochwałę

[MikeMitnick]

pdfforge Toolbar v4.9 (HKLM-x32\...\{26ED1160-22B1-4b19-8C21-42A1BACAAF75}) (Version: 4.9 - Spigot, Inc.) <==== UWAGA -> tu jest problem z odinstalowaniem, patrz screen

Ashampoo PO Toolbar (HKLM-x32\...\Ashampoo_PO Toolbar) (Version: 6.8.9.0 - Ashampoo PO) <==== UWAGA -> to w ogole nie reaguje na deinstalację

Reszta poszła gładko.

Pobrać tego usbfix nie mogę bo pokazuje mi że nie mam uprawnień. Jestem zalogowany jako administrator.

[ordynat]

Brak logu Shortcut.txt - uzupełnij to.

zaraz przejrzę logi, a w międzyczasie:

1) masz strasznie stary, dziurawy OpenOffice, więc zainstaluj Apache OpenOffice 4.1.5 http://www.programosy.pl/program,openoffice-org.html

2) Masz strasznie starą dziurawą wersję Javy, więc zainstaluj najnowszą wersję wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/#entry179769
Przy instalacji dopilnuj, by nowa wersja samoczynnie usunęła starą wersję

.

Autor postu otrzymał pochwałę

[MikeMitnick]

Brakujący log w załączniku.

[ordynat]

1) Otwórz Notatnik i wklej w nim:

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{26ED1160-22B1-4b19-8C21-42A1BACAAF75}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{26ED1160-22B1-4b19-8C21-42A1BACAAF75}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ashampoo_PO Toolbar
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Ashampoo_PO Toolbar
C:\Users\adm\AppData\Roaming\csrss.exe
C:\Users\adm\AppData\Roaming\svchost.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
RemoveDirectory: C:\Program Files (x86)\Common Files\Spigot
HKLM-x32\...\Run: [syshost32] => C:\Windows\Installer\{6B14598D-2DD4-912A-403B-EE231FCAF639}\syshost.exe
HKLM\...\Policies\Explorer\Run: [413494120] => C:\ProgramData\msorgbjw.exe [76157440 2016-04-14] ()
HKLM\...\Policies\Explorer\Run: [1339804998] => C:\ProgramData\msowdrja.exe [77781760 2016-04-14] ()
C:\ProgramData\msowdrja.exe
C:\Windows\Installer\{6B14598D-2DD4-912A-403B-EE231FCAF639}\syshost.exe
HKU\S-1-5-21-3723520413-3293943760-1221473998-1000\...\Run: [Client Server Runtime Process] => C:\Users\adm\AppData\Roaming\csrss.exe [199010 2017-04-25] () <==== UWAGA
HKU\S-1-5-21-3723520413-3293943760-1221473998-1000\...\Run: [Host-process Windows (Rundll32.exe)] => C:\Users\adm\AppData\Roaming\csrss.exe [199010 2017-04-25] () <==== UWAGA
HKU\S-1-5-21-3723520413-3293943760-1221473998-1000\...\Run: [Service Host Process for Windows] => C:\Users\adm\AppData\Roaming\svchost.exe [199010 2017-04-25] () <==== UWAGA
HKU\S-1-5-21-3723520413-3293943760-1221473998-1000\...\Run: [Host-process Windows (Rundll3.exe)] => C:\Users\adm\AppData\Roaming\svchost.exe [199010 2017-04-25] () <==== UWAGA
HKU\S-1-5-21-3723520413-3293943760-1221473998-1000\...\Run: [{FC08D491-8A93-4734-BA61-49BE13426009}] => powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\AwhUsqAuPIQr').JPiEMuV))); <==== UWAGA
AppInit_DLLs-x32: c:\progra~3\browse~1\22643~1.41\{16cdf~1\browse~1.dll => Brak pliku
RemoveDirectory: c:\progra~3\browse~1
Startup: C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs [2018-02-28] ()
GroupPolicy\User: Ograniczenia <==== UWAGA
C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs
URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
URLSearchHook: HKLM-x32 - Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsh0.dll Brak pliku
URLSearchHook: HKU\S-1-5-21-3723520413-3293943760-1221473998-1000 - Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsh0.dll Brak pliku
SearchScopes: HKLM-x32 -> DefaultScope {8FA72233-F15E-4601-A105-0E57112501BE} URL =
SearchScopes: HKU\S-1-5-21-3723520413-3293943760-1221473998-1000 -> {0E686564-9423-430b-8312-1BEDE6158DC1} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV
SearchScopes: HKU\S-1-5-21-3723520413-3293943760-1221473998-1000 -> {1AA334F7-7D5B-4924-AD22-386C4420B3CA} URL = hxxp://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=827316&p={searchTerms}
SearchScopes: HKU\S-1-5-21-3723520413-3293943760-1221473998-1000 -> {8FA72233-F15E-4601-A105-0E57112501BE} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
BHO-x32: Ashampoo PO Toolbar -> {d43723ae-1ae1-4a25-a6a4-bf0929273cab} -> C:\Program Files (x86)\Ashampoo_PO\prxtbAsh0.dll => Brak pliku
Toolbar: HKLM-x32 - Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsh0.dll Brak pliku
Toolbar: HKU\S-1-5-21-3723520413-3293943760-1221473998-1000 -> Brak nazwy - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - Brak pliku
FF NewTab: Mozilla\Firefox\Profiles\vp27cbeu.default -> hxxp://search.babylon.com/?affID=110823&tt=3712_6&babsrc=NT_ss&mntrId=501967f2000000000000000000000000
FF HKU\S-1-5-21-3723520413-3293943760-1221473998-1000\...\Firefox\Extensions: [{b64982b1-d112-42b5-b1e4-d3867c4533f8}] - C:\ProgramData\Browser Manager\2.2.643.41\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension => nie znaleziono
CHR HKU\S-1-5-21-3723520413-3293943760-1221473998-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx
S2 AODDriver4.01; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
C:\Users\adm\AppData\Roaming\rundll3.exe
C:\Users\adm\AppData\Roaming\rundll32.exe
RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy
RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy
testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika <==== UWAGA
Task: {096524E9-D8FF-49C8-8857-3F4B7A86E81A} - System32\Tasks\{B416A533-AD50-44FF-8B00-57AAAF0B5517} => C:\Windows\system32\pcalua.exe -a E:\English\Printer\WinNT_2000_XP\Setup.Exe -d E:\English\Printer\WinNT_2000_XP
Task: {6579C646-7EAF-4813-813A-350BD8B48315} - System32\Tasks\{DC61BF0F-3366-4ADF-BEB5-CC7E76A569DB} => C:\Windows\system32\pcalua.exe -a C:\Users\adm\Downloads\openxml_writer.exe.EXE -d C:\Users\adm\Downloads
Task: {C320A7C9-58DC-40D6-85D1-479A5ED64FB9} - System32\Tasks\{190FA605-18B6-4446-8A90-D52C5C5238E9} => C:\Windows\system32\pcalua.exe -a C:\Users\adm\Downloads\setup.exe -d C:\Windows\system32
RemoveDirectory: C:\Users\adm\Start Menu\Programs\Browser Manager
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PrimoPDF\Uninstall.lnk
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze D:\Pobrane
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

2) Zrób nowe logi FRST - już bez Shortcut.
.

Pobrać tego usbfix nie mogę

a spróbuj przy wyłączonym COMODO.
.

Autor postu otrzymał pochwałę

[MikeMitnick]

Udało się po wyłączniu comodo.

Logi w załączniku.

Na dysku C przybyło nagle 1,5gb wolnego miejsca.

[ordynat]

Rzeczywiście na penie "G" nic nie ma.
Nie mam pojęcia, dlaczego wszystko stamtąd znika, nigdy nie spotkałem się z takim przypadkiem.

Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-3723520413-3293943760-1221473998-1000\...\Run: [{FC08D491-8A93-4734-BA61-49BE13426009}] => powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\AwhUsqAuPIQr').JPiEMuV))); <==== UWAGA
HKU\S-1-5-21-3723520413-3293943760-1221473998-1000\...\Run: [Host-process Windows (Rundll3.exe)] => C:\Users\adm\AppData\Roaming\svchost.exe <==== UWAGA
C:\Users\adm\AppData\Roaming\svchost.exe
C:\ProgramData\msorgbjw.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze D:\Pobrane
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Zrób nowy log FRST - już bez Addition, i bez Shortcut.
.

Autor postu otrzymał pochwałę

[MikeMitnick]

Logi w załączeniu.

[ordynat]

Jest problem z usunięciem infekcji.

1) Wejdź w Tryb Awaryjny (F8 przed startem Systemu)

2) Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-3723520413-3293943760-1221473998-1000\...\Run: [Host-process Windows (Rundll3.exe)] => C:\Users\adm\AppData\Roaming\svchost.exe <==== UWAGA
C:\Users\adm\AppData\Roaming\svchost.exe
C:\ProgramData\msorgbjw.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze D:\Pobrane
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

3) Zrób nowy log FRST.

4) Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

msorgbjw*.*

kliknij na przycisk "Search Files (Szukaj Plików)".
Raport z tego będzie tam, gdzie jest FRST.

5) Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

msorgbjw

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.
.

Autor postu otrzymał pochwałę

[MikeMitnick]

Wyszedłem już wczoraj z pracy

Wszystko zrobiłem wg Twojej listy, logi w załącznikach.

Z tego co zauważyłem, komp mi trochę przyspieszył w działaniu (otwieranie nowych kart w przeglądarce), no i miejsce na dysku C: się zwiększyło znacząco (na 1,13gb).

W ogóle z tym dyskiem są trochę jaja i się zastanawiam czy partycja systemowa na ssd (55gb) nie jest za mała...

[ordynat]

W Trybie Awaryjnym udało się usunąć infekcję.

W nowym logu nie ma niczego podejrzanego.

Wyszukiwanie znalazło plik infekcji tylko w Kwarantannie FRST.
Na wszelki wypadek usuniemy i to.
Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze D:\Pobrane. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST
.

Autor postu otrzymał pochwałę

[MikeMitnick]

Zrobione.