2 wirusy: kyme.exe i w9.exe, gry instalują się bardzo długo

Posiadam napewno 2 wirusy: kyme.exe i w9.exe nie wiem co jeszcze.
Objawy: Gry instalują się bardzo długo i nie do końca, nie mogę naprawić systemy poprzez reinstalacje bo nie kopiuje mi jakiś plików podczas instalacji.

OTL.txt http://www.wklej.eu/index.php?id=1f7651b4e7
Extras.txt http://www.wklej.eu/index.php?id=5b06c5ad36
combofix.txt http://www.wklej.eu/index.php?id=3e6563d393


Prośba o lekarstwo na te wirusy.

Nie można używać Combofix`a bez pozwolenia.

Z podłączonymi pamięciami przenośnymi użyj UsbFix otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p117012 z opcji Deletion i podaj utworzony log.

Następnie odinstaluj DAEMON Tools Toolbar, Super Sterownik, Ultra Defragmenter i ABBYY FineReader 6.0 Sprint.

Następnie odinstaluj prastare zabezpieczenia StarForce. W tym celu pobierz to http://www.star-force.com/support/sfdrvrem.zip wypakuj uruchom plik sfdrvrem.exe.

Następnie popraw deinstalację Avira`y tym http://www.arcabit.pl/DWT/Utils/ArcaVir ... -32bit.exe.

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod:

:OTL

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.)
O16 - DPF: {E6F480FC-BD44-4CBA-B74A-89AF7842937D} http://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_cyri_4.4.26.0.cab (SysInfo Class)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)

:Services
AVTasks2
AVBackup
ArcaRemoteService

:Files
C:\Program Files\Google\Update
C:\Documents and Settings\zoltar\Menu Start\Programy\Autostart\PowerReg Scheduler.exe
C:\RECYCLER
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\mgxoschk.ini
C:\Documents and Settings\zoltar\Moje dokumenty\cc_20111212_122901.reg
C:\WINDOWS\PEV.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\zip.exe
C:\WINDOWS\System32\lua5.1a_gui.exe
C:\WINDOWS\System32\lua5.1a.exe
C:\WINDOWS\System32\lua5.1a.dll
C:\Documents and Settings\LocalService\Dane aplikacji\ArcaBit

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"=-
[HKEY_USERS\S-1-5-21-1644491937-1482476501-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"50000:TCP"=-
"50001:TCP"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Log z UsbFix:

UsbFix.txt http://www.wklej.eu/index.php?id=97455fce2c

Odinstalowane:

DAEMON Tools Toolbar,
Super Sterownik,
Ultra Defragmenter.
ABBYY FineReader 6.0 Sprint.

odinstalowane (chyba, bo nic nie wyświetlało) - prastare zabezpieczenia StarForce

poprawiona (chyba) deinstalację Avira`y


Log z usuwania: http://www.wklej.eu/index.php?id=b6deb0104a

Nowe logi:

OTL.txt http://www.wklej.eu/index.php?id=764e79e7d0
Extras.txt http://www.wklej.eu/index.php?id=8e612d2232

Ponownie podłącz wszelkie pamięci przenośne, a następnie pobierz i uruchom The Avenger`a http://www.instalki.pl/programy/downloa ... enger.html i w pole Input script here wklej poniższy tekst:

Files to delete:
E:\autorun.inf
E:\kyme.exe
E:\w9.exe

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK. Po wykonaniu wklej raport na forum C:\avenger.txt.

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = http://search.msn.com/spbasic.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

:Services
gupdatem
gupdate

:Files
C:\RECYCLER 
C:\ComboFix
C:\UsbFix_Upload_Me_PECET.zip

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Niech pamięć przenośna widoczna pod literką E będzie podłączona na czas usuwania.

W OTL wklej:

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

:Services
gupdate
gupdatem

:Files
kyme.exe /alldrives
w9.exe /alldrives
C:\found.00*

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Log z The Avenger`a

Kod:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open file "E:\autorun.inf"
Deletion of file "E:\autorun.inf" failed!
Status: 0xc0000102 (STATUS_FILE_CORRUPT_ERROR)


Error:  could not open file "E:\kyme.exe"
Deletion of file "E:\kyme.exe" failed!
Status: 0xc0000102 (STATUS_FILE_CORRUPT_ERROR)


Error:  could not open file "E:\w9.exe"
Deletion of file "E:\w9.exe" failed!
Status: 0xc0000102 (STATUS_FILE_CORRUPT_ERROR)


Completed script processing.

*******************

Finished!  Terminate.



log z usuwania skryptem @kominekl

http://www.wklej.eu/index.php?id=39b4530109

log z usuwania skryptem @mati8898

http://www.wklej.eu/index.php?id=2645f3f23d


nowe logi:

OTL.txt - http://www.wklej.eu/index.php?id=69206c5258
Extras.txt - http://www.wklej.eu/index.php?id=8718623136

Informacyjnie dyski C,E,F,G to partycje na jednym dysku, dysk K podpiąłem później (pendrive).

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Files
C:\RECYCLER
C:\Avenger

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. W OTL Sprzątanie.

Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html.
Odinstaluj starą wersję Java`y Java(TM) 6 Update 29 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html.
Odinstaluj starą wersję programu do odczytu .PDF Adobe Reader 8 - Polish i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html.
Odinstaluj starą wersję paczki kodeków K-Lite Mega Codec Pack 3.3.0. Zainstaluj najnowszą wersję K-Lite Codec Pack https://www.instalki.pl/download/programy/windows/multimedia/kodeki/k-lite-codec-pack-full/.
Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.

Na końcu ponownie z podłączonymi pamięciami przenośnymi użyj UsbFix viewtopic.php?f=22&p=117012#p117012 z opcji Deletion i podaj utworzony log.

Log z usuwania

http://www.wklej.eu/index.php?id=e02dc150d5

Log z Malwarebytes' Anti-Malware

nie wiem czy to dobry log choć pewnie nie, ale jak wkleiłem

link do loga to zapomniałem zapisać a potem UsbFix zamknął mi

notatnik i lipa (chociaż wcześniej dałem zapisz log może jednak to to).

http://www.wklej.eu/index.php?id=c684baddeb


log z UsbFix

http://www.wklej.eu/index.php?id=f1bb04ab11

Programy oczywiscie poinstalowane.

Podczas próby naprawy systemu w czasie kopiowania plików pokazuje brak pliku apkauqo4.sys - szukałem w necie brak info o takim pliku

c:\documents and settings\all users\dokumenty\TRANSFER\driver.genius.pro. pl.v8.0+keygen\keygen.exe (Trojan.Dropper.PGen) No action taken.
c:\program files\gothic iii\crack\Gothic3.exe (RiskWare.Tool.CK) No action taken.
c:\program files\Pinnacle\studio 11\programs\Keygen.exe (Trojan.Downloader) No action taken.
c:\program files\WinRAR\keygenpatch.exe (Malware.Packer.Gen) No action taken.
e:\FILM\convertxtodvd_4.0.9.322a\convertxtodvd 4.0.9.322a [pl] [+keygen brd]\Keygen.exe (Trojan.Agent.CK) No action taken.
f:\Satelita\Odzysk 2\wypal nowe\abbyy.fine.reader.v7.0.pl\key generator\hgo-fr7p.exe (Malware.Packer.Gen) No action taken.
f:\Satelita\Odzysk 2\Instalki\nero\Keygen.exe (Trojan.Downloader) No action taken.
f:\Satelita\Odzysk 2\pliki z torrenta\win_xp_sp2\legalizator\program i klucz\keyfinder.exe (RiskWare.Tool.CK) No action taken.
f:\obrazy iso\Assasin\004 megawarez.eu\crack assassin's creed 2\crack assassins cred ii\assassins.creed.ii-skidrow-crackonly-rw\assassins.creed.ii-skidrow-crackonly-rw\SKIDROW\ubiorbitapi_r2.dll (Trojan.Agent.CK) No action taken.
Odzysk\gry małe instalki\tumblebugs.+.keygen\keygen.exe (RiskWare.Tool.CK) No action taken.
DC\keygen.exe (Malware.Gen) No action taken.

Te pliki możesz zostawić. Natomiast resztę usuń w następujący sposób.

Z podłączonymi pamięciami przenośnymi wykonaj ponownie pełne skanowanie Malwarebytes Anti-Malware i usuń wszystko to, co znajdzie, oczywiście oprócz tego co podałem w cytacie. Następnie podaj log z usuwania.

Czy nie masz czasem na tej pamięci jakiejś blokady zapisu lub czegoś podobnego??? Bo dziwne, że nie można tych plików usunąć.

Czy nie masz czasem na tej pamięci jakiejś blokady zapisu lub czegoś podobnego??? Bo dziwne, że nie można tych plików usunąć.

Nie mam żadnej blokady bo to są 4 partycje na 1 dysku. Plików tych teraz nie widzę na żadnej partycji. Przedtem były widoczne na wszystkich czterech. Tym bardziej nie wiem czemu pokazuje je na partycji E:

@kminekl - wszystkie pliki wskazane przez Malwarebytes Anti-Malware usunąłem pomyślnie tylko raport mi wcięło. Ale przeskanuję je jeszcze raz i zobaczymy co wyskoczy. Potrwa to jakieś 3 godziny więc raport dopiero jutro wrzucę.

System działa stabilnie tylko jak instaluję niektóre gry ze stajni LOGO mam komunikat : There is a problem with this Windows Installer package. A program run as part of setup did not finish as expected. Contact your support personnel or package vendor. (podczas instalacji DirectX)
A przy próbie naprawy Windowsa instalką pokazuje mi braki jakiś plików: wystąpił błąd podczas kopiowania pliku apkauqo4.sys do C:\$WIN_NT$~BT\apkauqo4.sys. Brak Pliku. Skontaktuj się z administratorem systemu.

Znalazłem chyba ten raport z wczoraj http://www.wklej.eu/index.php?id=4d78ba98c1

Czekam na raport Malwarebytes`a.

Czy na tym koncie masz uprawnienia administratora?

Czekam na raport Malwarebytes`a.

Czy na tym koncie masz uprawnienia administratora?

Tak mam. Mam tylko jedno konto na tym kompie. Lukniej na poprzedni mój post bo trochę edytowałem, nie spodziewałem się tak szybkiej odpowiedzi.

Opróżnij kwarantannę Malwarebytes, a następnie wykonaj dla pewności ponowne skanowania ze względu na dużą liczbą plików.

Ciekawie wygląda sprawa z tymi piczkami.

Co masz na dysku E?

Log po skanowaniu:

http://www.wklej.eu/index.php?id=dda6a3e04d

Raport po usunięciu:

http://www.wklej.eu/index.php?id=80b9dd8e06

Kwarantanna wyczyszczona