Samovoľné zaplňovanie disku C

Vždy samovoľné zaberanie miesta na Céčku. Čo ďalej?

prekontroluj PC MBAM plnú kontrolu predom nič nemaž vlož log
lož combofix na plochu stiahni si cfscript z http://uloz.to/xUjcAkf/cfscript-txt uloz ho na plochu pretiahni cfscript cez combofix aplikuje sa script posli log budeš ho máť na C:combofix.txt
Pošli novy log z RSIT

PC MBAM? Stiahol som cfscripts stiahol som ho na plochu dal do combofix a len vyskoci nejake upozornenie. To som mal tiez robit v nudzovom rezime?

Ten PC MBAM čo to je?

áno to máš tiež robiť v núdzovom režime sieti máš pretiahnuť cfscript cez combofix dávať yes ok agree ako ťa combofix vyzve a potom pošli novy poznámkový blok čo ty vyskočí ty si vôbec pozeral ten návod čo som ty dal
MBAM je malwarebites predsa to už máš nainštalovane spusť malwarebites aktualizuj daj plnú kontrolu predom nič nemaž pošli log

Takže log s cfsripts:

ComboFix 12-12-25.02 - MS 27.12.2012 17:25:34.2.2 - x86 NETWORK
Systém Microsoft Windows XP Home Edition 5.1.2600.2.1250.421.1033.18.2046.1644 [GMT 1:00]
Running from: c:\documents and settings\MS\Desktop\ComboFix.exe
Command switches used :: c:\documents and settings\MS\Desktop\cfscript.txt
AV: AntiVir Desktop *Enabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((( Files Created from 2012-11-27 to 2012-12-27 )))))))))))))))))))))))))))))))
.
.
2012-12-25 18:30 . 2012-12-25 18:31 -------- d-----w- c:\program files\trend micro
2012-12-25 18:30 . 2012-12-25 18:31 -------- d-----w- C:\rsit
2012-12-25 12:26 . 2012-12-25 12:30 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-12-25 12:26 . 2012-09-29 18:54 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-12-25 12:23 . 2012-12-25 12:23 -------- d-----w- c:\documents and settings\MS\Application Data\Malwarebytes
2012-12-25 12:23 . 2012-12-25 12:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2012-12-17 17:38 . 2012-12-17 17:38 -------- d-----w- c:\documents and settings\MS\Local Settings\Application Data\PCHealth
2012-12-15 17:15 . 2012-12-15 17:23 -------- d-----w- c:\documents and settings\MS\Application Data\Dev-Cpp
2012-12-11 17:47 . 2012-12-11 17:47 -------- d-----w- c:\program files\WorldUnlock Codes Calculator
2012-12-06 19:02 . 2012-12-06 19:02 -------- d-----w- c:\program files\YTD Toolbar
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-12 13:36 . 2012-10-21 20:09 697272 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-12-12 13:36 . 2012-01-22 19:20 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2006-01-23 09:32 . 2006-01-23 09:32 131072 ----a-w- c:\program files\internet explorer\plugins\LV80ActiveXControl.dll
2006-06-07 13:40 . 2006-06-07 13:40 132848 ----a-w- c:\program files\internet explorer\plugins\LV82ActiveXControl.dll
2012-12-12 13:43 . 2012-12-12 13:43 262112 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{bfc39e47-d643-4dc2-aa1d-61377501c844}"= "c:\program files\atube\atubeX.dll" [2011-10-31 81920]
.
[HKEY_CLASSES_ROOT\clsid\{bfc39e47-d643-4dc2-aa1d-61377501c844}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{bfc39e47-d643-4dc2-aa1d-61377501c844}]
2011-10-31 11:02 81920 ----a-w- c:\program files\atube\atubeX.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{bfc39e47-d643-4dc2-aa1d-61377501c844}"= "c:\program files\atube\atubeX.dll" [2011-10-31 81920]
.
[HKEY_CLASSES_ROOT\clsid\{bfc39e47-d643-4dc2-aa1d-61377501c844}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raptr"="c:\progra~1\Raptr\raptrstub.exe" [2012-12-14 55512]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2011-11-10 3514176]
"MSIDLL"="msijpz32.dll" [2012-02-06 175616]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 16844800]
"SkyTel"="SkyTel.EXE" [2007-08-03 1826816]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-02-28 13516800]
"nwiz"="nwiz.exe" [2008-02-28 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-02-28 86016]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 1629480]
"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 1057064]
"DoroServer"="c:\program files\DoroPDFWriter\DoroServer.exe" [2011-11-26 167936]
"amd_dc_opt"="c:\program files\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]
.
c:\documents and settings\MS\Start Menu\Programs\Startup\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
.
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]
Wireless Utility.lnk - c:\program files\EDIMAX\Common\RaUI.exe [2011-2-5 716800]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\Common Files\\HP\\Digital Imaging\\Bin\\hpqPhotoCrm.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Program Files\\ICQ7.4\\ICQ.exe"=
"c:\\Program Files\\iMesh Applications\\iMesh\\iMesh.exe"=
"c:\\Program Files\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Program Files\\Codemasters\\GRID\\GRID.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\Counter-Strike 1.6\\hl.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe"=
"c:\\Program Files\\Easy GIF Animator\\Easy.GIF.Animator.Pro.5.0.2.42.crack.by.FUTURiTY.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\WINDOWS\\system32\\msiexec.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\Program Files\\atube\\dtUser.exe"=
"c:\\Program Files\\Raptr\\raptr.exe"=
"c:\\Program Files\\Raptr\\raptr_im.exe"=
.
R0 pe3aqagb;Cobra 11 Environment Driver (pe3aqagb);c:\windows\system32\drivers\pe3aqagb.sys [28.1.2008 16:55 64624]
R0 pf2aqagb;Cobra 11 File System Driver (pf2aqagb);c:\windows\system32\drivers\pf2aqagb.sys [28.1.2008 16:55 83568]
R0 ps7aqagb;Cobra 11 Synchronization Driver (ps7aqagb);c:\windows\system32\drivers\ps7aqagb.sys [28.1.2008 16:54 68216]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [30.12.2011 12:34 239168]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [5.2.2011 13:26 579456]
S0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers\sptd.sys --> \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [?]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [24.2.2010 11:22 185472]
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [5.2.2011 14:07 135336]
S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [25.12.2012 13:26 676936]
S2 pr2aqagb;Cobra 11 Drivers Auto Removal (pr2aqagb);c:\windows\system32\pr2aqagb.exe svc --> c:\windows\system32\pr2aqagb.exe svc [?]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [25.12.2012 13:26 22856]
S3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPService REG_MULTI_SZ HPSLPSVC
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-08-23 16:34 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contents of the 'Scheduled Tasks' folder
.
2012-12-26 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-10-21 13:36]
.
2012-12-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-10 19:30]
.
2012-12-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-10 19:30]
.
2012-12-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1644491937-1229272821-682003330-1004Core.job
- c:\documents and settings\MS\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-04-12 17:55]
.
2012-12-27 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1644491937-1229272821-682003330-1004UA.job
- c:\documents and settings\MS\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-04-12 17:55]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://google.sk/
uDefault_Search_URL = hxxp://www.google.com/ie
mStart Page = hxxp://www.google.com
uInternet Connection Wizard,ShellNext = hxxp://www.yahoo.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xportovať do programu Microsoft Excel - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
IE: {{73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - c:\program files\ICQ7.4\ICQ.exe
FF - ProfilePath - c:\documents and settings\MS\Application Data\Mozilla\Firefox\Profiles\e7zlmhvo.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - google.sk
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?fr=green ... =937811&p=
FF - ExtSQL: 2012-11-24 22:38; {bfc39e47-d643-4dc2-aa1d-61377501c844}; c:\documents and settings\MS\Application Data\Mozilla\Firefox\Profiles\e7zlmhvo.default\extensions\{bfc39e47-d643-4dc2-aa1d-61377501c844}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-12-27 17:32
Windows 5.1.2600 Service Pack 2 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'explorer.exe'(1368)
c:\windows\system32\msi.dll
.
Completion time: 2012-12-27 17:37:18
ComboFix-quarantined-files.txt 2012-12-27 16:37
ComboFix2.txt 2012-12-26 11:29
.
Pre-Run: 25 100 288 bytes free
Post-Run: 22 425 600 voľných bajtov
.
- - End Of File - - 982CC6F284BBF5AA6F8C04A9BAF6E18F

Prosím ťa čo je potrebné ešte urobiť? PC je strašne pomalý, Céčko mam plné 0kb volne, nedá sa poriadne robiť nič. Teraz som pustil malware uplnu kontrolu na disk C. Malware mi vyhodí tiež log? Či aky chceš log ešte?

Cez 50 minút ťahá malware našlo 1 detegovaný subor ešte stale to ide, neviem čo to znamená?

Výpis z malware:

Malwarebytes Anti-Malware (Skúšobná verzia) 1.65.1.1000
www.malwarebytes.org

Verzia databázy: v2012.12.26.11

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
MS :: MAREK [administrátor]

Ochrana: Zapnuté

27.12.2012 17:46:20
mbam-log-2012-12-27 (19-01-31).txt

Typ kontroly: Úplná kontrola (C:\|)
Možnosti kontroly zapnuté: Pamäť | Po spustení | Registre | Systémové súbory | Heuristika/Extra | Heuristika/Shuriken | PUP | PUM
Možnosti kontroly vypnuté: P2P
Objektov kontrolovaných: 306359
Uplynutý čas: 1 hod, 14 min, 38 sek

Detegované služby pamäte: 0
(Škodlivé položky neboli zistené)

Detegované moduly pamäte: 1
C:\WINDOWS\system32\msijpz32.dll (Trojan.Agent) -> Žiadna úloha nevykonaná.

Detegované registračné kľúče: 0
(Škodlivé položky neboli zistené)

Detegované registračné hodnoty: 1
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|MSIDLL (Trojan.Agent) -> Dáta: rundll32.exe msijpz32.dll,GsyORACSxQ -> Žiadna úloha nevykonaná.

Detegované položky registračných dát: 0
(Škodlivé položky neboli zistené)

Detegované priečinky: 0
(Škodlivé položky neboli zistené)

Detegované súbory: 2
C:\Program Files\Easy GIF Animator\Easy.GIF.Animator.Pro.5.0.2.42.crack.by.FUTURiTY.exe (Trojan.Dropper) -> Žiadna úloha nevykonaná.
C:\WINDOWS\system32\msijpz32.dll (Trojan.Agent) -> Žiadna úloha nevykonaná.

(koniec)

Prosím ťa poraď čo ďalej, čakam mam zrušiť malware alebo vymazať tie subory alebo čo? Dik

všetky položky odstraň z MBAM
cfscript zopakuj combofix presun ma C: a aj cfscript presun na C: a tamto pretiahni

Nevymažem tým niečo vo windowse?

Už som to vymazal dufam ze po restarte PC to bude ok.

nie nevymazeš pokračuj z combofixom

Nechce to ísť, ukáže sa toto:


Uploaded with ImageShack.us

Neexistuje nejaký iný spôsob ako tu chybu odstrániť? Lebo tie combofix, cfscript a pod. už ma to nebaví stále čakať vyše hodiny na nejaký log a výsledok nevidím žiadny. Kedy resp. koľko krokov ešte je potrebné? PC seká ťažko som sa sem dostal, prosím ťa porad čo ďalej. Veľmi pekne ti Ďakujem.

tak keď to robiš cez odkaz nekázal som ty robiť cez odkaz rob to riadne ozaj pretiahuješ combofix cez cfsript na cecku
Skušal si niekedy odraniť tie hlúposti z plochy hudbu filmy vuze a vôbec vyspiať kôš
A výsledok nevidíš žiaden lebo tomu nerozumieš

Robil som to naopak, cfsrtipt cez combofix, ok vyskúšam to ako mi kážeš.
Prečo by som mal odstraňovať hudbu? Mám to ju síce aj v D ale čo je na tom že ju mam aj v C na ploche? Vuze tiež prečo by som ho mal vymazať? Myslíš že to pomôže? Pred pár dňami som vymazal toho dosť z C nejaké hry a staré veci, to čo sa uvoľnilo sa hned samo zaplnilo tak ja neviem. Kôš vymazujem dosť často. A čo sa týka toho že sa nerozumiem tak to je pravda preto som sem napísal, keby som sa rozumel tak sa nepýtam. Netvrdím že o PC neviem nič ale tak toto je na mňa moc. Takže dokedy koľko ešte toho treba spraviť? Aby to konečne išlo ako ma?

A ešte k tomu combofix ako riadne to mam robiť, čo mam dať do C? Ja som len skopíroval z plochy odkaz ako inak? Mám v C 0kb vždy vypisuje ze plna pamäť nechcelo mi ani stiahnuť ten cfscript ktorý ma asi 3kb ani do D. Takže nieje to také jednoduché.

Jak mam dať combofix do C ak nie odkaz? toto neviem.

Nema tam byť odkaz ale riadne combofix to zase robíš len z tej plochy inač alebo to daj na to D: všetko combofix aj cfscript riadne žiaden odkaz no veď to riadne prekopiruješ

Čiže combofix z plochy stiahnem na cfscript do C?

Ne combofix presunies D: a aj cfscript a láskavo bez odkazu lebo zase spustas len z plochy

Do Déčka? Nie Céčka?

do dečka a nieže to bude v odkaze

Tak som skopíroval combofix a cfscript do D, pretiahol som combofix cez cfscript a nič sa nedeje.

A čo ďalej?

použi fun disk http://www.diskspacefan.com/

Stačí to len nainštalovať a nejako spustiť alebo čo to je zač?

Treba to inštalovať analyzuje ty to čo ty zaberá miesto na disku

A potom?