Ciagle odnawiajacy sie plik na C i proces + logi

zeco0 · 17 Maj 2012 11:42

Witam,

Moj problem polega na tym ze próbuję wylaczyc cały czas jeden proces, po czym usuwam plik a on ciagle pojawia sie w tym samym miejscu na dysku a proces ponownie włacza. Plik znajduje sie na C:\Windows i nazywa sie joker.exe. Probowalem juz zabic go na wszystkie sposoby, unlocker, kilbox i kilka innych, skanowalem antywirusem i masa roznych skanerow anti-malware i nic… nie wiem czy to wirus czy co. prawdopodobnnie znalazl sie on ma moim kompie przez to ze moj młodszy brat pozyczył jakiemus koledze pendrive i stamtąd go potem zanistalowal… (z pendrive rowniez nie da sie go usunąc i tu tez prosze o pomoc).

Logi OTL + extras

OTL

http://wklej.org/id/754599/

EXTRAS

http://wklej.org/id/754601/

spandaupol · 17 Maj 2012 14:22

Proszę odinstalować

Masz problem z aktywacją? To jest oryginalny windows?

zeco0 · 17 Maj 2012 17:21

Okej odnistalowałem te tollbary, i co dalej?

A co do pytania o windows to tak, jest oryginalny, tylko przez pewien czas byl na aktywatorze i stąd te błedy.

Acorus · 17 Maj 2012 18:04

Użyj AdwCleaner http://general-changelog-team.fr/outils/289-adwcleaner z funkcji Delete(w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).

Pokaż nowe logi z OTL.

zeco0 · 17 Maj 2012 19:13

zrobilem tak jak radziłes Acorus.

log

http://wklej.org/id/754942/

Acorus · 17 Maj 2012 19:57

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKCU…\URLSearchHook: {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - No CLSID value found IE - HKCU…\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found IE - HKCU…\URLSearchHook: {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll (DeviceVM, Inc.) IE - HKCU…\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKCU…\SearchScopes{9FD47480-0F8D-4BC3-97CA-9C4C80A6A124}: “URL” = http://search.babylon.com/?q={searchTerms}&AF=100995&babsrc=SP_ss&mntrId=34f25d7c00000000000014dae99981cb O3 - HKCU…\Toolbar\WebBrowser: (no name) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM…\Run: [] File not found O8:64bit: - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found [2012-01-29 20:51:28 | 001,002,127 | ---- | C] () – C:\Windows\joker.exe [2012-01-26 22:15:51 | 000,037,888 | ---- | C] () – C:\Windows\instsrv.exe [2012-01-26 22:15:51 | 000,013,312 | ---- | C] () – C:\Windows\srvany.exe :Commands [emptytemp]

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

zeco0 · 17 Maj 2012 20:50

Zrobione.

Log OTL

http://wklej.org/id/755024/

raport

http://wklej.org/id/755026/

– Dodane 18.05.2012 (Pt) 20:32 –

i to juz wszystko? kurcze znowu pojawia sie ten proces. format moze by zalatwil sprawe ale kurcze no szkoda troche…

spandaupol · 19 Maj 2012 07:27

Nie to nie jest wszystko. Masz na dysku Malwarebytes wykonaj pełne skanowanie, jak coś znajdzie nic nie usuwaj tylko zgłoś się z wynikami na forum. Chyba że już to zrobiłeś?

zeco0 · 19 Maj 2012 13:49

Tak, robiłem juz skan Malwarebytes i nic nie wykrył, ale nie zaszkodzi jeszcze raz http://wklej.org/id/755861/

spandaupol · 19 Maj 2012 14:50

Proszę o raport Autoruns http://www.dobreprogramy.pl/AutoRuns,Pr … 13208.html Po zakończony skanie zapisz raport spakuj plik i wrzuć na jakiś hosting. Link do niego podajesz tutaj

zeco0 · 19 Maj 2012 16:18

Zrobione.

http://www24.zippyshare.com/v/22689364/file.html

Leon1 · 19 Maj 2012 18:11

uruchom Autoruns jako administrator

odznacz i usuń wpisy

restart komputera

potem nowy log OTL robiony opcją Run Scan (Skanuj)

zeco0 · 19 Maj 2012 18:42

Wpisy usuniete.

log z OTL http://wklej.org/id/756119/

Leon1 · 19 Maj 2012 19:57

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL MOD - [2012-05-19 20:30:12 | 000,323,584 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\winamp.lng MOD - [2012-05-19 20:30:12 | 000,161,792 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\vis_milk2.lng MOD - [2012-05-19 20:30:12 | 000,087,552 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\vis_avs.lng MOD - [2012-05-19 20:30:12 | 000,054,272 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_local.lng MOD - [2012-05-19 20:30:12 | 000,047,616 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_disc.lng MOD - [2012-05-19 20:30:12 | 000,046,592 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_pmp.lng MOD - [2012-05-19 20:30:12 | 000,041,984 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\pmp_wifi.lng MOD - [2012-05-19 20:30:12 | 000,036,864 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ombrowser.lng MOD - [2012-05-19 20:30:12 | 000,022,528 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_mp3.lng MOD - [2012-05-19 20:30:12 | 000,016,896 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\out_ds.lng MOD - [2012-05-19 20:30:12 | 000,014,848 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_wm.lng MOD - [2012-05-19 20:30:12 | 000,014,336 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_wire.lng MOD - [2012-05-19 20:30:12 | 000,014,336 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_online.lng MOD - [2012-05-19 20:30:12 | 000,013,312 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_playlists.lng MOD - [2012-05-19 20:30:12 | 000,012,800 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_plg.lng MOD - [2012-05-19 20:30:12 | 000,011,264 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_vorbis.lng MOD - [2012-05-19 20:30:12 | 000,011,264 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_nsv.lng MOD - [2012-05-19 20:30:12 | 000,010,752 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\pmp_usb.lng MOD - [2012-05-19 20:30:12 | 000,010,752 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\pmp_android.lng MOD - [2012-05-19 20:30:12 | 000,009,216 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_downloads.lng MOD - [2012-05-19 20:30:12 | 000,008,704 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_history.lng MOD - [2012-05-19 20:30:12 | 000,008,192 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_transcode.lng MOD - [2012-05-19 20:30:12 | 000,008,192 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_devices.lng MOD - [2012-05-19 20:30:12 | 000,007,680 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\vis_nsfs.lng MOD - [2012-05-19 20:30:12 | 000,007,168 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\out_wave.lng MOD - [2012-05-19 20:30:12 | 000,007,168 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_autotag.lng MOD - [2012-05-19 20:30:12 | 000,006,656 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\pmp_ipod.lng MOD - [2012-05-19 20:30:12 | 000,006,144 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\tagz.lng MOD - [2012-05-19 20:30:12 | 000,006,144 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\out_disk.lng MOD - [2012-05-19 20:30:12 | 000,005,632 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_rg.lng MOD - [2012-05-19 20:30:12 | 000,005,632 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_wave.lng MOD - [2012-05-19 20:30:12 | 000,005,120 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_impex.lng MOD - [2012-05-19 20:30:12 | 000,005,120 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_bookmarks.lng MOD - [2012-05-19 20:30:12 | 000,004,608 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\pmp_activesync.lng MOD - [2012-05-19 20:30:12 | 000,004,608 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_mp4.lng MOD - [2012-05-19 20:30:12 | 000,004,096 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\pmp_p4s.lng MOD - [2012-05-19 20:30:12 | 000,004,096 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_orb.lng MOD - [2012-05-19 20:30:12 | 000,003,584 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\winampa.lng MOD - [2012-05-19 20:30:12 | 000,003,584 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\pmp_njb.lng MOD - [2012-05-19 20:30:12 | 000,003,584 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_nowplaying.lng MOD - [2012-05-19 20:30:12 | 000,003,584 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\ml_addons.lng MOD - [2012-05-19 20:30:12 | 000,003,584 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_swf.lng MOD - [2012-05-19 20:30:12 | 000,003,072 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\playlist.lng MOD - [2012-05-19 20:30:11 | 000,066,560 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\burnlib.lng MOD - [2012-05-19 20:30:11 | 000,040,448 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\gen_jumpex.lng MOD - [2012-05-19 20:30:11 | 000,022,016 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\gen_ff.lng MOD - [2012-05-19 20:30:11 | 000,021,504 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\gen_ml.lng MOD - [2012-05-19 20:30:11 | 000,020,992 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_midi.lng MOD - [2012-05-19 20:30:11 | 000,018,432 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_mod.lng MOD - [2012-05-19 20:30:11 | 000,013,312 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_cdda.lng MOD - [2012-05-19 20:30:11 | 000,012,800 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\dsp_sps.lng MOD - [2012-05-19 20:30:11 | 000,011,264 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\gen_hotkeys.lng MOD - [2012-05-19 20:30:11 | 000,011,264 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\auth.lng MOD - [2012-05-19 20:30:11 | 000,007,680 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\gen_tray.lng MOD - [2012-05-19 20:30:11 | 000,007,168 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_dshow.lng MOD - [2012-05-19 20:30:11 | 000,007,168 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\gen_orgler.lng MOD - [2012-05-19 20:30:11 | 000,007,168 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\gen_crasher.lng MOD - [2012-05-19 20:30:11 | 000,006,656 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\enc_fhgaac.lng MOD - [2012-05-19 20:30:11 | 000,006,144 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_flac.lng MOD - [2012-05-19 20:30:11 | 000,006,144 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\enc_wma.lng MOD - [2012-05-19 20:30:11 | 000,005,632 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\enc_lame.lng MOD - [2012-05-19 20:30:11 | 000,005,120 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_avi.lng MOD - [2012-05-19 20:30:11 | 000,004,608 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_mkv.lng MOD - [2012-05-19 20:30:11 | 000,004,096 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\enc_wav.lng MOD - [2012-05-19 20:30:11 | 000,004,096 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\enc_flac.lng MOD - [2012-05-19 20:30:11 | 000,003,584 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_linein.lng MOD - [2012-05-19 20:30:11 | 000,003,584 | ---- | M] () – C:\Users\Admin\AppData\Local\Temp\WLZA469.tmp\in_flv.lng IE - HKLM…\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} [2012-05-19 20:39:00 | 000,000,930 | ---- | M] () – C:\Windows\tasks\Adobe Flash Player Updater.job [2012-05-19 20:29:00 | 000,001,046 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskMachineUA.job [2012-05-19 20:27:47 | 000,001,042 | ---- | M] () – C:\Windows\tasks\GoogleUpdateTaskMachineCore.job [2012-01-26 22:15:51 | 000,037,888 | ---- | C] () – C:\Windows\instsrv.exe [2012-01-26 22:15:51 | 000,013,312 | ---- | C] () – C:\Windows\srvany.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pokaż log z usuwania.

jeśli wszystko przebiegnie dobrze to sprawdź czy niechciane pliki zostały usunięte

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

W OTL kilknij CleanUp (Sprzątanie)

Wyłącz i włącz przywracanie systemu na wszystkich dyskach

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

zeco0 · 21 Maj 2012 22:16

wszystko zrobine wedlug instrukcji,

raport z usuwania w otl http://wklej.org/id/757686/

log po wykonaniu wszystkich podanych czynnosci

http://wklej.org/id/757689/

po przesnakowaniu programem DrWEb wykroło sporo plikow riskwere, ktore zostaly przeniesnione do kwarantanny. Co powinienem zrobic dalej?

Gutek · 21 Maj 2012 22:20

Jest późno, ale ja nic już nie widzę

zeco0 · 22 Maj 2012 04:15

czyli to juz wszystko tak, zebym mial 100% pewnosci ze wszystko co sie da jest zrobione i pomoglo. I jeszcze odnośnie mojego drugiego problemu, jak sie pozbyc tego pliku z pendrive,zeby mi sie z powrotem to nie rozprzestrzeniolo na kompie. Wyglda tak kiedy biore tradycyjnie PPM–>Usuń to fordel z tym plikiem pojawia sie i tam ciagle siedzi, gdy formatuje pendrive jest to samo. Jest to plik z rozszerzeniem exe i czy jak podepne poendrive to plik samoistnie juz zainfekuje komputer czy dopiero po dwukliku w owy plik.

Gutek · 22 Maj 2012 05:17

Użyj http://download.cnet.com/Panda-USB-Vacc … 09938.html

Po uruchomieniu narzędzia pojawi się nam okno i wybieramy napęd:
Wciskam Vaccinate , czekamy, aż soft skończy pracę.

zeco0 · 22 Maj 2012 12:47

uzyłem tego programu ale bez skutku. dalej ten wirus siedzi na pendrive…

Acorus · 22 Maj 2012 13:50

Przy podpiętym pendrivie użyj USBFix http://www.teamxscript.org/usbfixTelechargement.html http://www.speedyshare.com/files/30067579/UsbFix.exe

Kliknij w nim na przycisk “DELETION” (jeśli jakiś folder nazwałeś muza lub muzyka to zmień na inną przed użyciem USBFix.).

Daj raport z tego narzędzia.