wirus w9.exe i blokowane antyvirusy

przez **albertk9** » 28 Lis 2010, 19:00

Witam! Mam WIELKI problem z wirusem w9.exe. Komputer strasznie się zacina przez niego. Gdy wgrałem Avasta (free) niby znalazł go i wiele innych i wszystko skasowałem. Ale co 3sekundy w9.exe atakował! I tak ok. 3 godzin. Avast dawał go do kwarantanny. Gdy w następnym dniu uruchomiłem ponownie komputer, przestały działać wszelkie antywirusy. Nie działa Avast, Nod32, Malwarebytes Anti-Malware się zawiesza gdy daję "pełne skanowanie". Tzn. włączają się wszystkie, ale w każdym nie można uruchomić ochrony ani skanowania. Bardzo proszę o pomoc! Dodam też że USBfix nie działa (error).
Oto logi:
GMER http://www.wklej.eu/index.php?id=ad61c00613,
OTL http://www.wklej.eu/index.php?id=c94958d074,
OTL Extras http://www.wklej.eu/index.php?id=b61648b38b

przez **mateo8898** » 28 Lis 2010, 19:19

Dodam też że USBfix nie działa (error).

Jaki to dokładnie błąd???

Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

:OTL
MOD - [2010-11-28 16:57:15 | 000,118,272 | RHS- | M] () -- C:\WINDOWS\system32\arking0.dll
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MediaCoder\SysInfo.sys -- (CrystalSysInfo)
O4 - HKU\S-1-5-21-1757981266-507921405-1801674531-1003..\Run: [api32] C:\DOCUME~1\JESTEM~1\USTAWI~1\Temp\apiqq.exe File not found
O4 - HKU\S-1-5-21-1757981266-507921405-1801674531-1003..\Run: [dso32] C:\DOCUME~1\JESTEM~1\USTAWI~1\Temp\dsoqq.exe File not found
O4 - HKU\S-1-5-21-1757981266-507921405-1801674531-1003..\Run: [King_ar] C:\WINDOWS\system32\arking.exe ()
O4 - HKU\S-1-5-21-1757981266-507921405-1801674531-1003..\Run: [king_mg] C:\WINDOWS\system32\mgking.exe ()
O4 - HKLM..\RunOnce: [] File not found
O32 - AutoRun File - [2010-11-28 16:43:18 | 000,000,051 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-28 16:43:18 | 000,000,051 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-28 16:43:18 | 000,000,051 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{08af5004-9bb3-11df-bc11-0060b304c8f2}\Shell\AutoRun\command - "" = H:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{08af5004-9bb3-11df-bc11-0060b304c8f2}\Shell\open\Command - "" = H:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{1fafc8da-9008-11df-bbe9-0060b304c8f2}\Shell\AutoRun\command - "" = H:\12gn6id2.exe -- File not found
O33 - MountPoints2\{1fafc8da-9008-11df-bbe9-0060b304c8f2}\Shell\open\Command - "" = H:\12gn6id2.exe -- File not found
O33 - MountPoints2\{4d48b144-de19-11df-bcce-0060b304c8f2}\Shell\AutoRun\command - "" = H:\apqpm.exe -- File not found
O33 - MountPoints2\{4d48b144-de19-11df-bcce-0060b304c8f2}\Shell\open\Command - "" = H:\apqpm.exe -- File not found
O33 - MountPoints2\{610ea5d0-88f1-11df-bbd1-000ae6085c84}\Shell\AutoRun\command - "" = w9.exe
O33 - MountPoints2\{610ea5d0-88f1-11df-bbd1-000ae6085c84}\Shell\open\Command - "" = w9.exe
O33 - MountPoints2\{64ec4178-8b3d-11df-bbdc-0060b304c8f2}\Shell\AutoRun\command - "" = H:\i00dvoym.exe -- File not found
O33 - MountPoints2\{64ec4178-8b3d-11df-bbdc-0060b304c8f2}\Shell\open\Command - "" = H:\i00dvoym.exe -- File not found
O33 - MountPoints2\{9a1b487a-891f-11df-bbd4-0060b304c8f2}\Shell\AutoRun\command - "" = I:\i8gcgmg.exe -- File not found
O33 - MountPoints2\{9a1b487a-891f-11df-bbd4-0060b304c8f2}\Shell\open\Command - "" = I:\i8gcgmg.exe -- File not found
O33 - MountPoints2\{9c7e5009-e2a7-11df-bcd8-0060b304c8f2}\Shell\AutoRun\command - "" = H:\b9v.exe -- File not found
O33 - MountPoints2\{9c7e5009-e2a7-11df-bcd8-0060b304c8f2}\Shell\open\Command - "" = H:\b9v.exe -- File not found
O33 - MountPoints2\{c162e49e-a090-11d7-bc06-0060b304c8f2}\Shell\AutoRun\command - "" = H:\b9v.exe -- File not found
O33 - MountPoints2\{c162e49e-a090-11d7-bc06-0060b304c8f2}\Shell\open\Command - "" = H:\b9v.exe -- File not found
O33 - MountPoints2\{d650354e-be74-11df-bc71-0060b304c8f2}\Shell\AutoRun\command - "" = H:\12gn6id2.exe -- File not found
O33 - MountPoints2\{d650354e-be74-11df-bc71-0060b304c8f2}\Shell\open\Command - "" = H:\12gn6id2.exe -- File not found
O33 - MountPoints2\{d8b1a366-e4be-11df-bcdd-0060b304c8f2}\Shell\AutoRun\command - "" = I:\egmjjb.exe -- File not found
O33 - MountPoints2\{d8b1a366-e4be-11df-bcdd-0060b304c8f2}\Shell\open\Command - "" = I:\egmjjb.exe -- File not found
O33 - MountPoints2\{d8b1a369-e4be-11df-bcdd-0060b304c8f2}\Shell\AutoRun\command - "" = H:\cbbw88s.exe -- File not found
O33 - MountPoints2\{d8b1a369-e4be-11df-bcdd-0060b304c8f2}\Shell\open\Command - "" = H:\cbbw88s.exe -- File not found
O33 - MountPoints2\{ed6ca306-f020-11df-bd01-0060b304c8f2}\Shell\AutoRun\command - "" = H:\et3ypes.exe -- File not found
O33 - MountPoints2\{ed6ca306-f020-11df-bd01-0060b304c8f2}\Shell\open\Command - "" = H:\et3ypes.exe -- File not found
O33 - MountPoints2\C\Shell\AutoRun\command - "" = C:\w9.exe -- [2010-11-27 20:49:26 | 000,182,272 | RHS- | M] ()
O33 - MountPoints2\C\Shell\open\Command - "" = C:\w9.exe -- [2010-11-27 20:49:26 | 000,182,272 | RHS- | M] ()
O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\w9.exe -- [2010-11-27 20:49:26 | 000,182,272 | RHS- | M] ()
O33 - MountPoints2\D\Shell\open\Command - "" = D:\w9.exe -- [2010-11-27 20:49:26 | 000,182,272 | RHS- | M] ()
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\w9.exe -- [2010-11-27 20:49:26 | 000,182,272 | RHS- | M] ()
O33 - MountPoints2\E\Shell\open\Command - "" = E:\w9.exe -- [2010-11-27 20:49:26 | 000,182,272 | RHS- | M] ()
O37 - HKU\S-1-5-21-1757981266-507921405-1801674531-1003\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2010-11-28 16:57:15 | 000,118,272 | RHS- | M] () -- C:\WINDOWS\System32\arking0.dll
[2010-11-28 16:43:27 | 000,182,272 | RHS- | M] () -- C:\WINDOWS\System32\arking.exe
[2010-11-28 16:42:52 | 000,118,784 | RHS- | M] () -- C:\WINDOWS\System32\mgking0.dll
[2010-11-28 16:06:31 | 000,000,388 | ---- | M] () -- C:\WINDOWS\tasks\HPpromotions journeysoftware.job
[2010-11-27 20:49:26 | 000,182,272 | RHS- | M] () -- C:\WINDOWS\System32\mgking.exe
[2010-11-27 20:49:26 | 000,118,784 | RHS- | M] () -- C:\WINDOWS\System32\mgking1.dll

:Files
C:\WINDOWS\system32\arking0.dll
w9.exe /alldrives

:Commands
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

przez **albertk9** » 28 Lis 2010, 19:40

Screen błędu USBfix: http://zapodaj.net/bad63663d01b.bmp.html
jak dam OK to program się wyłącza;/

Logi z OTL:

OTL log z usuwania http://www.wklej.eu/index.php?id=d63a27e68e
Nowy log OTL http://www.wklej.eu/index.php?id=63e199e533
Nowy log OTL Extras http://www.wklej.eu/index.php?id=899a36fcd9

PS. zapomniałem dodać (o ile to ważne) że ten wirus jest na wszystkich dyskach i nawet na moim pendrivie;/

przez **mateo8898** » 28 Lis 2010, 19:58

PS. zapomniałem dodać (o ile to ważne) że ten wirus jest na wszystkich dyskach i nawet na moim pendrivie;/

I dlatego tu by się przydał UsbFix. Ale skoro nie działa to trzeba zrobić inaczej, ale po kolei.

1. Posiadasz dwa antywirusy: ESET i Avast, co jest niedopuszczalne. Pozbądź się jak najszybciej jednego z nich.
2. Z podłączonym pendrivem (jeśli posiadasz także inne pamięci przenośne to także je podepnij) użyj Flash Disinfector
3. Wejdź w Start

uruchom

CMD

wpisz polecenie:
X:
Za X podstawiasz literkę pod jaką jest widoczny pendrive.

Później wpisz polecenie w celu utworzenia raportu:
DIR /A:H >C:\LOG.TXT & start notepad C:\LOG.TXT
i podajesz tutaj zawartość C:\LOG.TXT
Jeśli posiadasz inne pamięci przenośne, zrób dla każdej z nich osobny raport.

przez **albertk9** » 28 Lis 2010, 20:22

Avasta usunąłem. Użyłem Flash Disinfector

zawartość C:/log.txt http://www.wklej.eu/index.php?id=d6bd4653cb

problem w tym że pożyczyłem drugiego pendriva koledze;/ i teraz nie moge dodać loga.

co teraz?

przez **mateo8898** » 28 Lis 2010, 21:05

problem w tym że pożyczyłem drugiego pendriva koledze;/ i teraz nie moge dodać loga.

W takim razie kiedy będziesz go miał to się zgłoś na forum z raportem, użyj wtedy także Flash Disinfectora.

Na razie wyczyśćmy tego pena, niedużo tu zostało, niech będzie podpięty na czas usuwania.

Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Files
H:\RECYCLER
H:\autorun.inf

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"Adobe Reader Speed Launcher"=-
"AdobeCS4ServiceManager"=-
"ISUSPM Startup"=-
"ISUSScheduler"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"E:\PES.2010-KaOs\pes2010.exe"=-

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

przez **albertk9** » 28 Lis 2010, 21:20

ok niedługo dam logi z drugiego pena
log z usuwania http://www.wklej.eu/index.php?id=7690d5fbe0
log OTL http://www.wklej.eu/index.php?id=e4a6513b39
log OTL Extras http://www.wklej.eu/index.php?id=29c7fbceaf

a co z systemem? bo czasem nieźle zamula;/ jak wchodzę na strony to często jest awaria wtyczki adobe, często wyskakuje jakiś problem z dźwiękiem i zamiast dźwięków alertu komp pipczy (wiecie o co chodzi

) Ale po chwili jest ok. Ogólnie cały system mi sie sypie. Co teraz?

przez **mateo8898** » 28 Lis 2010, 21:34

Zostało trochę pozostałości po Avaście, usuń je tym narzędziem

http://www.instalki.pl/programy/downloa ... ility.html

Poza tym wszystko się ładnie usunęło, tylko jeszcze jeden pusty wpis.

W OTL wklej:

:OTL
O4 - HKLM..\RunOnce: [] File not found

:Commands
[clearallrestorepoints]

Klikasz Wykonaj skrypt. Następnie:

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zainstaluj SP3

http://www.instalki.pl/programy/downloa ... ack_3.html

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz)

http://www.instalki.pl/programy/downloa ... _8_XP.html

jak wchodzę na strony to często jest awaria wtyczki adobe, często wyskakuje jakiś problem z dźwiękiem i zamiast dźwięków alertu komp pipczy (wiecie o co chodzi ) Ale po chwili jest ok.

Przeinstaluj Flash Playera. Co do dźwięku, przeinstaluj sterowniki od karty dźwiękowej.

a co z systemem? bo czasem nieźle zamula;/

Wykonaj wszystkie powyższe kroki. Jeśli po ich wykonaniu będą jeszcze jakieś problemy, pisz.

przez **albertk9** » 28 Lis 2010, 22:05

naprawde wielkie dzięki, komputer "odżył";D co do dźwięków i wtyczek to nic nie robiłem bo samo się naprawiło. Jak zeskanuje Malwarebytes i coś będzie to dam raport. Ale mam jeszcze jedno pytanie. Jak odzyskam pendriva to użyć Flash Disinfector i poprzednie polecenie w cmd i dać loga?

przez **mateo8898** » 28 Lis 2010, 22:07

Jak odzyskam pendriva to użyć Flash Disinfector i poprzednie polecenie w cmd i dać loga?

Tak.

przez **albertk9** » 28 Lis 2010, 22:49

log ze skanu Mal A-M http://www.wklej.eu/index.php?id=9a9296997e

przez **mateo8898** » 28 Lis 2010, 23:15

Not selected for removal.

Nie usunąłeś tego co znalazł, ale:

Wersja bazy: 4052

Baza definicji jest przestarzała. Zaktualizuj program i dopiero wtedy wykonaj skan.

przez **albertk9** » 29 Lis 2010, 19:03

log z drugiego pendriva http://www.wklej.eu/index.php?id=7d14166568

Zaktualizowałem Malwarebytes A-M i już się skanuje.

przez **mateo8898** » 29 Lis 2010, 19:17

Jest syf. Pobierz nowego OTL. Pendrive oczywiście na czas usuwania ma być podpięty. Wklej do niego ten skrypt:

:OTL

:Files
H:\yveqsh93.exe
H:\autorun.inf
H:\i00dvoym.exe

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

przez **albertk9** » 29 Lis 2010, 19:49

log z usuwania http://www.wklej.eu/index.php?id=038701719e
myśle że sie usuneło. tylko podczas usuwania przez OTL avast wykrył te same wirusy na C:\_OTL\MovedFiles\...i dał do kwarantanny (nie wiem czy ma to znaczenie). aha i jednak zmieniłem antyvirusa na avasta bo w nodzie licencja mi się skończyła.
Log OTL http://www.wklej.eu/index.php?id=7a638f84df
Log OTL Extras http://www.wklej.eu/index.php?id=8838d9fe89

zrobiłem też skan Malwarebytes anti-malware
log ze skanu http://www.wklej.eu/index.php?id=d5e19d4bdf

wirus w9.exe i blokowane antyvirusy

wirus w9.exe i blokowane antyvirusy

Re: wirus w9.exe i blokowane antyvirusy

Re: wirus w9.exe i blokowane antyvirusy

Re: wirus w9.exe i blokowane antyvirusy

Re: wirus w9.exe i blokowane antyvirusy

Re: wirus w9.exe i blokowane antyvirusy

Re: wirus w9.exe i blokowane antyvirusy

Re: wirus w9.exe i blokowane antyvirusy

Re: wirus w9.exe i blokowane antyvirusy

Re: wirus w9.exe i blokowane antyvirusy

Re: wirus w9.exe i blokowane antyvirusy

Re: wirus w9.exe i blokowane antyvirusy

Re: wirus w9.exe i blokowane antyvirusy

Re: wirus w9.exe i blokowane antyvirusy

Re: wirus w9.exe i blokowane antyvirusy

Kto jest na forum