2 wirusy: kyme.exe i w9.exe, gry instalują się bardzo długo

[zembaty42]

Posiadam napewno 2 wirusy: kyme.exe i w9.exe nie wiem co jeszcze.
Objawy: Gry instalują się bardzo długo i nie do końca, nie mogę naprawić systemy poprzez reinstalacje bo nie kopiuje mi jakiś plików podczas instalacji.

OTL.txt http://www.wklej.eu/index.php?id=1f7651b4e7
Extras.txt http://www.wklej.eu/index.php?id=5b06c5ad36
combofix.txt http://www.wklej.eu/index.php?id=3e6563d393


Prośba o lekarstwo na te wirusy.

[kominekl]

Nie można używać Combofix`a bez pozwolenia.

Z podłączonymi pamięciami przenośnymi użyj UsbFix otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p117012 z opcji Deletion i podaj utworzony log.

Następnie odinstaluj DAEMON Tools Toolbar, Super Sterownik, Ultra Defragmenter i ABBYY FineReader 6.0 Sprint.

Następnie odinstaluj prastare zabezpieczenia StarForce. W tym celu pobierz to http://www.star-force.com/support/sfdrvrem.zip wypakuj uruchom plik sfdrvrem.exe.

Następnie popraw deinstalację Avira`y tym http://www.arcabit.pl/DWT/Utils/ArcaVir ... -32bit.exe.

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
O16 - DPF: {E6F480FC-BD44-4CBA-B74A-89AF7842937D} http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.4.26.0.cab (SysInfo Class)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)

:Services
AVTasks2
AVBackup
ArcaRemoteService

:Files
C:\Program Files\Google\Update
C:\Documents and Settings\zoltar\Menu Start\Programy\Autostart\PowerReg Scheduler.exe
C:\RECYCLER
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\mgxoschk.ini
C:\Documents and Settings\zoltar\Moje dokumenty\cc_20111212_122901.reg
C:\WINDOWS\PEV.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\zip.exe
C:\WINDOWS\System32\lua5.1a_gui.exe
C:\WINDOWS\System32\lua5.1a.exe
C:\WINDOWS\System32\lua5.1a.dll
C:\Documents and Settings\LocalService\Dane aplikacji\ArcaBit

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"=-
[HKEY_USERS\S-1-5-21-1644491937-1482476501-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"50000:TCP"=-
"50001:TCP"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[zembaty42]

Log z UsbFix:

UsbFix.txt http://www.wklej.eu/index.php?id=97455fce2c

Odinstalowane:

DAEMON Tools Toolbar,
Super Sterownik,
Ultra Defragmenter.
ABBYY FineReader 6.0 Sprint.

odinstalowane (chyba, bo nic nie wyświetlało) - prastare zabezpieczenia StarForce

poprawiona (chyba) deinstalację Avira`y


Log z usuwania: http://www.wklej.eu/index.php?id=b6deb0104a

Nowe logi:

OTL.txt http://www.wklej.eu/index.php?id=764e79e7d0
Extras.txt http://www.wklej.eu/index.php?id=8e612d2232

[kominekl]

Ponownie podłącz wszelkie pamięci przenośne, a następnie pobierz i uruchom The Avenger`a http://www.instalki.pl/programy/downloa ... enger.html i w pole Input script here wklej poniższy tekst:

Files to delete:
E:\autorun.inf
E:\kyme.exe
E:\w9.exe

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK. Po wykonaniu wklej raport na forum C:\avenger.txt.

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = http://search.msn.com/spbasic.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

:Services
gupdatem
gupdate

:Files
C:\RECYCLER 
C:\ComboFix
C:\UsbFix_Upload_Me_PECET.zip

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[mateo8898]

Niech pamięć przenośna widoczna pod literką E będzie podłączona na czas usuwania.

W OTL wklej:

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

:Services
gupdate
gupdatem

:Files
kyme.exe /alldrives
w9.exe /alldrives
C:\found.00*

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[zembaty42]

Log z The Avenger`a

Kod: Zaznacz wszystko

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open file "E:\autorun.inf"
Deletion of file "E:\autorun.inf" failed!
Status: 0xc0000102 (STATUS_FILE_CORRUPT_ERROR)


Error:  could not open file "E:\kyme.exe"
Deletion of file "E:\kyme.exe" failed!
Status: 0xc0000102 (STATUS_FILE_CORRUPT_ERROR)


Error:  could not open file "E:\w9.exe"
Deletion of file "E:\w9.exe" failed!
Status: 0xc0000102 (STATUS_FILE_CORRUPT_ERROR)


Completed script processing.

*******************

Finished!  Terminate.



log z usuwania skryptem @kominekl

http://www.wklej.eu/index.php?id=39b4530109

log z usuwania skryptem @mati8898

http://www.wklej.eu/index.php?id=2645f3f23d


nowe logi:

OTL.txt - http://www.wklej.eu/index.php?id=69206c5258
Extras.txt - http://www.wklej.eu/index.php?id=8718623136

Informacyjnie dyski C,E,F,G to partycje na jednym dysku, dysk K podpiąłem później (pendrive).

[kominekl]

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Files
C:\RECYCLER
C:\Avenger

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. W OTL Sprzątanie.

Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html.
Odinstaluj starą wersję Java`y Java(TM) 6 Update 29 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html.
Odinstaluj starą wersję programu do odczytu .PDF Adobe Reader 8 - Polish i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html.
Odinstaluj starą wersję paczki kodeków K-Lite Mega Codec Pack 3.3.0. Zainstaluj najnowszą wersję K-Lite Codec Pack https://www.instalki.pl/download/programy/windows/multimedia/kodeki/k-lite-codec-pack-full/.
Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.

Na końcu ponownie z podłączonymi pamięciami przenośnymi użyj UsbFix viewtopic.php?f=22&p=117012#p117012 z opcji Deletion i podaj utworzony log.

[zembaty42]

Log z usuwania

http://www.wklej.eu/index.php?id=e02dc150d5

Log z Malwarebytes' Anti-Malware

nie wiem czy to dobry log choć pewnie nie, ale jak wkleiłem

link do loga to zapomniałem zapisać a potem UsbFix zamknął mi

notatnik i lipa (chociaż wcześniej dałem zapisz log może jednak to to).

http://www.wklej.eu/index.php?id=c684baddeb


log z UsbFix

http://www.wklej.eu/index.php?id=f1bb04ab11

Programy oczywiscie poinstalowane.

Podczas próby naprawy systemu w czasie kopiowania plików pokazuje brak pliku apkauqo4.sys - szukałem w necie brak info o takim pliku

[kominekl]

c:\documents and settings\all users\dokumenty\TRANSFER\driver.genius.pro. pl.v8.0+keygen\keygen.exe (Trojan.Dropper.PGen) No action taken.
c:\program files\gothic iii\crack\Gothic3.exe (RiskWare.Tool.CK) No action taken.
c:\program files\Pinnacle\studio 11\programs\Keygen.exe (Trojan.Downloader) No action taken.
c:\program files\WinRAR\keygenpatch.exe (Malware.Packer.Gen) No action taken.
e:\FILM\convertxtodvd_4.0.9.322a\convertxtodvd 4.0.9.322a [pl] [+keygen brd]\Keygen.exe (Trojan.Agent.CK) No action taken.
f:\Satelita\Odzysk 2\wypal nowe\abbyy.fine.reader.v7.0.pl\key generator\hgo-fr7p.exe (Malware.Packer.Gen) No action taken.
f:\Satelita\Odzysk 2\Instalki\nero\Keygen.exe (Trojan.Downloader) No action taken.
f:\Satelita\Odzysk 2\pliki z torrenta\win_xp_sp2\legalizator\program i klucz\keyfinder.exe (RiskWare.Tool.CK) No action taken.
f:\obrazy iso\Assasin\004 megawarez.eu\crack assassin's creed 2\crack assassins cred ii\assassins.creed.ii-skidrow-crackonly-rw\assassins.creed.ii-skidrow-crackonly-rw\SKIDROW\ubiorbitapi_r2.dll (Trojan.Agent.CK) No action taken.
Odzysk\gry małe instalki\tumblebugs.+.keygen\keygen.exe (RiskWare.Tool.CK) No action taken.
DC\keygen.exe (Malware.Gen) No action taken.

Te pliki możesz zostawić. Natomiast resztę usuń w następujący sposób.

Z podłączonymi pamięciami przenośnymi wykonaj ponownie pełne skanowanie Malwarebytes Anti-Malware i usuń wszystko to, co znajdzie, oczywiście oprócz tego co podałem w cytacie. Następnie podaj log z usuwania.

[mateo8898]

Czy nie masz czasem na tej pamięci jakiejś blokady zapisu lub czegoś podobnego??? Bo dziwne, że nie można tych plików usunąć.

[zembaty42]

Czy nie masz czasem na tej pamięci jakiejś blokady zapisu lub czegoś podobnego??? Bo dziwne, że nie można tych plików usunąć.

Nie mam żadnej blokady bo to są 4 partycje na 1 dysku. Plików tych teraz nie widzę na żadnej partycji. Przedtem były widoczne na wszystkich czterech. Tym bardziej nie wiem czemu pokazuje je na partycji E:

@kminekl - wszystkie pliki wskazane przez Malwarebytes Anti-Malware usunąłem pomyślnie tylko raport mi wcięło. Ale przeskanuję je jeszcze raz i zobaczymy co wyskoczy. Potrwa to jakieś 3 godziny więc raport dopiero jutro wrzucę.

System działa stabilnie tylko jak instaluję niektóre gry ze stajni LOGO mam komunikat : There is a problem with this Windows Installer package. A program run as part of setup did not finish as expected. Contact your support personnel or package vendor. (podczas instalacji DirectX)
A przy próbie naprawy Windowsa instalką pokazuje mi braki jakiś plików: wystąpił błąd podczas kopiowania pliku apkauqo4.sys do C:\$WIN_NT$~BT\apkauqo4.sys. Brak Pliku. Skontaktuj się z administratorem systemu.

Znalazłem chyba ten raport z wczoraj http://www.wklej.eu/index.php?id=4d78ba98c1

[kominekl]

Czekam na raport Malwarebytes`a.

Czy na tym koncie masz uprawnienia administratora?

[zembaty42]

Czekam na raport Malwarebytes`a.

Czy na tym koncie masz uprawnienia administratora?

Tak mam. Mam tylko jedno konto na tym kompie. Lukniej na poprzedni mój post bo trochę edytowałem, nie spodziewałem się tak szybkiej odpowiedzi.

[kominekl]

Opróżnij kwarantannę Malwarebytes, a następnie wykonaj dla pewności ponowne skanowania ze względu na dużą liczbą plików.

Ciekawie wygląda sprawa z tymi piczkami.

Co masz na dysku E?

[zembaty42]

Log po skanowaniu:

http://www.wklej.eu/index.php?id=dda6a3e04d

Raport po usunięciu:

http://www.wklej.eu/index.php?id=80b9dd8e06

Kwarantanna wyczyszczona