Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
wirus w9.exe i blokowane antyvirusy
28 Lis 2010, 19:00
Witam! Mam WIELKI problem z wirusem w9.exe. Komputer strasznie się zacina przez niego. Gdy wgrałem Avasta (free) niby znalazł go i wiele innych i wszystko skasowałem. Ale co 3sekundy w9.exe atakował! I tak ok. 3 godzin. Avast dawał go do kwarantanny. Gdy w następnym dniu uruchomiłem ponownie komputer, przestały działać wszelkie antywirusy. Nie działa Avast, Nod32, Malwarebytes Anti-Malware się zawiesza gdy daję "pełne skanowanie". Tzn. włączają się wszystkie, ale w każdym nie można uruchomić ochrony ani skanowania. Bardzo proszę o pomoc! Dodam też że USBfix nie działa (error).
Oto logi:
GMER http://www.wklej.eu/index.php?id=ad61c00613,
OTL http://www.wklej.eu/index.php?id=c94958d074,
OTL Extras http://www.wklej.eu/index.php?id=b61648b38b
Oto logi:
GMER http://www.wklej.eu/index.php?id=ad61c00613,
OTL http://www.wklej.eu/index.php?id=c94958d074,
OTL Extras http://www.wklej.eu/index.php?id=b61648b38b
Re: wirus w9.exe i blokowane antyvirusy
28 Lis 2010, 19:19
Dodam też że USBfix nie działa (error).
Jaki to dokładnie błąd???
Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::OTL
MOD - [2010-11-28 16:57:15 | 000,118,272 | RHS- | M] () -- C:\WINDOWS\system32\arking0.dll
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MediaCoder\SysInfo.sys -- (CrystalSysInfo)
O4 - HKU\S-1-5-21-1757981266-507921405-1801674531-1003..\Run: [api32] C:\DOCUME~1\JESTEM~1\USTAWI~1\Temp\apiqq.exe File not found
O4 - HKU\S-1-5-21-1757981266-507921405-1801674531-1003..\Run: [dso32] C:\DOCUME~1\JESTEM~1\USTAWI~1\Temp\dsoqq.exe File not found
O4 - HKU\S-1-5-21-1757981266-507921405-1801674531-1003..\Run: [King_ar] C:\WINDOWS\system32\arking.exe ()
O4 - HKU\S-1-5-21-1757981266-507921405-1801674531-1003..\Run: [king_mg] C:\WINDOWS\system32\mgking.exe ()
O4 - HKLM..\RunOnce: [] File not found
O32 - AutoRun File - [2010-11-28 16:43:18 | 000,000,051 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-28 16:43:18 | 000,000,051 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-28 16:43:18 | 000,000,051 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{08af5004-9bb3-11df-bc11-0060b304c8f2}\Shell\AutoRun\command - "" = H:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{08af5004-9bb3-11df-bc11-0060b304c8f2}\Shell\open\Command - "" = H:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{1fafc8da-9008-11df-bbe9-0060b304c8f2}\Shell\AutoRun\command - "" = H:\12gn6id2.exe -- File not found
O33 - MountPoints2\{1fafc8da-9008-11df-bbe9-0060b304c8f2}\Shell\open\Command - "" = H:\12gn6id2.exe -- File not found
O33 - MountPoints2\{4d48b144-de19-11df-bcce-0060b304c8f2}\Shell\AutoRun\command - "" = H:\apqpm.exe -- File not found
O33 - MountPoints2\{4d48b144-de19-11df-bcce-0060b304c8f2}\Shell\open\Command - "" = H:\apqpm.exe -- File not found
O33 - MountPoints2\{610ea5d0-88f1-11df-bbd1-000ae6085c84}\Shell\AutoRun\command - "" = w9.exe
O33 - MountPoints2\{610ea5d0-88f1-11df-bbd1-000ae6085c84}\Shell\open\Command - "" = w9.exe
O33 - MountPoints2\{64ec4178-8b3d-11df-bbdc-0060b304c8f2}\Shell\AutoRun\command - "" = H:\i00dvoym.exe -- File not found
O33 - MountPoints2\{64ec4178-8b3d-11df-bbdc-0060b304c8f2}\Shell\open\Command - "" = H:\i00dvoym.exe -- File not found
O33 - MountPoints2\{9a1b487a-891f-11df-bbd4-0060b304c8f2}\Shell\AutoRun\command - "" = I:\i8gcgmg.exe -- File not found
O33 - MountPoints2\{9a1b487a-891f-11df-bbd4-0060b304c8f2}\Shell\open\Command - "" = I:\i8gcgmg.exe -- File not found
O33 - MountPoints2\{9c7e5009-e2a7-11df-bcd8-0060b304c8f2}\Shell\AutoRun\command - "" = H:\b9v.exe -- File not found
O33 - MountPoints2\{9c7e5009-e2a7-11df-bcd8-0060b304c8f2}\Shell\open\Command - "" = H:\b9v.exe -- File not found
O33 - MountPoints2\{c162e49e-a090-11d7-bc06-0060b304c8f2}\Shell\AutoRun\command - "" = H:\b9v.exe -- File not found
O33 - MountPoints2\{c162e49e-a090-11d7-bc06-0060b304c8f2}\Shell\open\Command - "" = H:\b9v.exe -- File not found
O33 - MountPoints2\{d650354e-be74-11df-bc71-0060b304c8f2}\Shell\AutoRun\command - "" = H:\12gn6id2.exe -- File not found
O33 - MountPoints2\{d650354e-be74-11df-bc71-0060b304c8f2}\Shell\open\Command - "" = H:\12gn6id2.exe -- File not found
O33 - MountPoints2\{d8b1a366-e4be-11df-bcdd-0060b304c8f2}\Shell\AutoRun\command - "" = I:\egmjjb.exe -- File not found
O33 - MountPoints2\{d8b1a366-e4be-11df-bcdd-0060b304c8f2}\Shell\open\Command - "" = I:\egmjjb.exe -- File not found
O33 - MountPoints2\{d8b1a369-e4be-11df-bcdd-0060b304c8f2}\Shell\AutoRun\command - "" = H:\cbbw88s.exe -- File not found
O33 - MountPoints2\{d8b1a369-e4be-11df-bcdd-0060b304c8f2}\Shell\open\Command - "" = H:\cbbw88s.exe -- File not found
O33 - MountPoints2\{ed6ca306-f020-11df-bd01-0060b304c8f2}\Shell\AutoRun\command - "" = H:\et3ypes.exe -- File not found
O33 - MountPoints2\{ed6ca306-f020-11df-bd01-0060b304c8f2}\Shell\open\Command - "" = H:\et3ypes.exe -- File not found
O33 - MountPoints2\C\Shell\AutoRun\command - "" = C:\w9.exe -- [2010-11-27 20:49:26 | 000,182,272 | RHS- | M] ()
O33 - MountPoints2\C\Shell\open\Command - "" = C:\w9.exe -- [2010-11-27 20:49:26 | 000,182,272 | RHS- | M] ()
O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\w9.exe -- [2010-11-27 20:49:26 | 000,182,272 | RHS- | M] ()
O33 - MountPoints2\D\Shell\open\Command - "" = D:\w9.exe -- [2010-11-27 20:49:26 | 000,182,272 | RHS- | M] ()
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\w9.exe -- [2010-11-27 20:49:26 | 000,182,272 | RHS- | M] ()
O33 - MountPoints2\E\Shell\open\Command - "" = E:\w9.exe -- [2010-11-27 20:49:26 | 000,182,272 | RHS- | M] ()
O37 - HKU\S-1-5-21-1757981266-507921405-1801674531-1003\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2010-11-28 16:57:15 | 000,118,272 | RHS- | M] () -- C:\WINDOWS\System32\arking0.dll
[2010-11-28 16:43:27 | 000,182,272 | RHS- | M] () -- C:\WINDOWS\System32\arking.exe
[2010-11-28 16:42:52 | 000,118,784 | RHS- | M] () -- C:\WINDOWS\System32\mgking0.dll
[2010-11-28 16:06:31 | 000,000,388 | ---- | M] () -- C:\WINDOWS\tasks\HPpromotions journeysoftware.job
[2010-11-27 20:49:26 | 000,182,272 | RHS- | M] () -- C:\WINDOWS\System32\mgking.exe
[2010-11-27 20:49:26 | 000,118,784 | RHS- | M] () -- C:\WINDOWS\System32\mgking1.dll
:Files
C:\WINDOWS\system32\arking0.dll
w9.exe /alldrives
:Commands
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
Re: wirus w9.exe i blokowane antyvirusy
28 Lis 2010, 19:40
Screen błędu USBfix: http://zapodaj.net/bad63663d01b.bmp.html
jak dam OK to program się wyłącza;/
Logi z OTL:
OTL log z usuwania http://www.wklej.eu/index.php?id=d63a27e68e
Nowy log OTL http://www.wklej.eu/index.php?id=63e199e533
Nowy log OTL Extras http://www.wklej.eu/index.php?id=899a36fcd9
PS. zapomniałem dodać (o ile to ważne) że ten wirus jest na wszystkich dyskach i nawet na moim pendrivie;/
jak dam OK to program się wyłącza;/
Logi z OTL:
OTL log z usuwania http://www.wklej.eu/index.php?id=d63a27e68e
Nowy log OTL http://www.wklej.eu/index.php?id=63e199e533
Nowy log OTL Extras http://www.wklej.eu/index.php?id=899a36fcd9
PS. zapomniałem dodać (o ile to ważne) że ten wirus jest na wszystkich dyskach i nawet na moim pendrivie;/
Re: wirus w9.exe i blokowane antyvirusy
28 Lis 2010, 19:58
PS. zapomniałem dodać (o ile to ważne) że ten wirus jest na wszystkich dyskach i nawet na moim pendrivie;/
I dlatego tu by się przydał UsbFix. Ale skoro nie działa to trzeba zrobić inaczej, ale po kolei.
1. Posiadasz dwa antywirusy: ESET i Avast, co jest niedopuszczalne. Pozbądź się jak najszybciej jednego z nich.
2. Z podłączonym pendrivem (jeśli posiadasz także inne pamięci przenośne to także je podepnij) użyj Flash Disinfector
3. Wejdź w Start
uruchom CMD wpisz polecenie:X:
Za X podstawiasz literkę pod jaką jest widoczny pendrive.
Później wpisz polecenie w celu utworzenia raportu:
DIR /A:H >C:\LOG.TXT & start notepad C:\LOG.TXT
i podajesz tutaj zawartość C:\LOG.TXT
Jeśli posiadasz inne pamięci przenośne, zrób dla każdej z nich osobny raport.
Re: wirus w9.exe i blokowane antyvirusy
28 Lis 2010, 20:22
Avasta usunąłem. Użyłem Flash Disinfector
zawartość C:/log.txt http://www.wklej.eu/index.php?id=d6bd4653cb
problem w tym że pożyczyłem drugiego pendriva koledze;/ i teraz nie moge dodać loga.
co teraz?
zawartość C:/log.txt http://www.wklej.eu/index.php?id=d6bd4653cb
problem w tym że pożyczyłem drugiego pendriva koledze;/ i teraz nie moge dodać loga.
co teraz?
Re: wirus w9.exe i blokowane antyvirusy
28 Lis 2010, 21:05
problem w tym że pożyczyłem drugiego pendriva koledze;/ i teraz nie moge dodać loga.
W takim razie kiedy będziesz go miał to się zgłoś na forum z raportem, użyj wtedy także Flash Disinfectora.
Na razie wyczyśćmy tego pena, niedużo tu zostało, niech będzie podpięty na czas usuwania.
Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::OTL
:Files
H:\RECYCLER
H:\autorun.inf
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"=-
"Adobe Reader Speed Launcher"=-
"AdobeCS4ServiceManager"=-
"ISUSPM Startup"=-
"ISUSScheduler"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"E:\PES.2010-KaOs\pes2010.exe"=-
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
Re: wirus w9.exe i blokowane antyvirusy
28 Lis 2010, 21:20
ok niedługo dam logi z drugiego pena
log z usuwania http://www.wklej.eu/index.php?id=7690d5fbe0
log OTL http://www.wklej.eu/index.php?id=e4a6513b39
log OTL Extras http://www.wklej.eu/index.php?id=29c7fbceaf
a co z systemem? bo czasem nieźle zamula;/ jak wchodzę na strony to często jest awaria wtyczki adobe, często wyskakuje jakiś problem z dźwiękiem i zamiast dźwięków alertu komp pipczy (wiecie o co chodzi
) Ale po chwili jest ok. Ogólnie cały system mi sie sypie. Co teraz?
log z usuwania http://www.wklej.eu/index.php?id=7690d5fbe0
log OTL http://www.wklej.eu/index.php?id=e4a6513b39
log OTL Extras http://www.wklej.eu/index.php?id=29c7fbceaf
a co z systemem? bo czasem nieźle zamula;/ jak wchodzę na strony to często jest awaria wtyczki adobe, często wyskakuje jakiś problem z dźwiękiem i zamiast dźwięków alertu komp pipczy (wiecie o co chodzi
) Ale po chwili jest ok. Ogólnie cały system mi sie sypie. Co teraz?
Re: wirus w9.exe i blokowane antyvirusy
28 Lis 2010, 21:34
Zostało trochę pozostałości po Avaście, usuń je tym narzędziem http://www.instalki.pl/programy/downloa ... ility.html
Poza tym wszystko się ładnie usunęło, tylko jeszcze jeden pusty wpis.
W OTL wklej:
Klikasz Wykonaj skrypt. Następnie:
W OTL kliknij Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
Zainstaluj SP3 http://www.instalki.pl/programy/downloa ... ack_3.html
Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html
Przeinstaluj Flash Playera. Co do dźwięku, przeinstaluj sterowniki od karty dźwiękowej.
Wykonaj wszystkie powyższe kroki. Jeśli po ich wykonaniu będą jeszcze jakieś problemy, pisz.
http://www.instalki.pl/programy/downloa ... ility.htmlPoza tym wszystko się ładnie usunęło, tylko jeszcze jeden pusty wpis.
W OTL wklej:
:OTL
O4 - HKLM..\RunOnce: [] File not found
:Commands
[clearallrestorepoints]
Klikasz Wykonaj skrypt. Następnie:
W OTL kliknij Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
Zainstaluj SP3
http://www.instalki.pl/programy/downloa ... ack_3.htmlZaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz)
http://www.instalki.pl/programy/downloa ... _8_XP.htmljak wchodzę na strony to często jest awaria wtyczki adobe, często wyskakuje jakiś problem z dźwiękiem i zamiast dźwięków alertu komp pipczy (wiecie o co chodzi
Przeinstaluj Flash Playera. Co do dźwięku, przeinstaluj sterowniki od karty dźwiękowej.
a co z systemem? bo czasem nieźle zamula;/
Wykonaj wszystkie powyższe kroki. Jeśli po ich wykonaniu będą jeszcze jakieś problemy, pisz.
Re: wirus w9.exe i blokowane antyvirusy
28 Lis 2010, 22:05
naprawde wielkie dzięki, komputer "odżył";D co do dźwięków i wtyczek to nic nie robiłem bo samo się naprawiło. Jak zeskanuje Malwarebytes i coś będzie to dam raport. Ale mam jeszcze jedno pytanie. Jak odzyskam pendriva to użyć Flash Disinfector i poprzednie polecenie w cmd i dać loga?
Re: wirus w9.exe i blokowane antyvirusy
28 Lis 2010, 22:07
Jak odzyskam pendriva to użyć Flash Disinfector i poprzednie polecenie w cmd i dać loga?
Tak.
Re: wirus w9.exe i blokowane antyvirusy
28 Lis 2010, 22:49
log ze skanu Mal A-M http://www.wklej.eu/index.php?id=9a9296997e
Re: wirus w9.exe i blokowane antyvirusy
28 Lis 2010, 23:15
Not selected for removal.
Nie usunąłeś tego co znalazł, ale:
Wersja bazy: 4052
Baza definicji jest przestarzała. Zaktualizuj program i dopiero wtedy wykonaj skan.
Re: wirus w9.exe i blokowane antyvirusy
29 Lis 2010, 19:03
log z drugiego pendriva http://www.wklej.eu/index.php?id=7d14166568
Zaktualizowałem Malwarebytes A-M i już się skanuje.
Zaktualizowałem Malwarebytes A-M i już się skanuje.
Re: wirus w9.exe i blokowane antyvirusy
29 Lis 2010, 19:17
Jest syf. Pobierz nowego OTL. Pendrive oczywiście na czas usuwania ma być podpięty. Wklej do niego ten skrypt:
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
:OTL
:Files
H:\yveqsh93.exe
H:\autorun.inf
H:\i00dvoym.exe
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
Re: wirus w9.exe i blokowane antyvirusy
29 Lis 2010, 19:49
log z usuwania http://www.wklej.eu/index.php?id=038701719e
myśle że sie usuneło. tylko podczas usuwania przez OTL avast wykrył te same wirusy na C:\_OTL\MovedFiles\...i dał do kwarantanny (nie wiem czy ma to znaczenie). aha i jednak zmieniłem antyvirusa na avasta bo w nodzie licencja mi się skończyła.
Log OTL http://www.wklej.eu/index.php?id=7a638f84df
Log OTL Extras http://www.wklej.eu/index.php?id=8838d9fe89
zrobiłem też skan Malwarebytes anti-malware
log ze skanu http://www.wklej.eu/index.php?id=d5e19d4bdf
myśle że sie usuneło. tylko podczas usuwania przez OTL avast wykrył te same wirusy na C:\_OTL\MovedFiles\...i dał do kwarantanny (nie wiem czy ma to znaczenie). aha i jednak zmieniłem antyvirusa na avasta bo w nodzie licencja mi się skończyła.
Log OTL http://www.wklej.eu/index.php?id=7a638f84df
Log OTL Extras http://www.wklej.eu/index.php?id=8838d9fe89
zrobiłem też skan Malwarebytes anti-malware
log ze skanu http://www.wklej.eu/index.php?id=d5e19d4bdf