Witam
Mam problem i nie wiem czy to wirus czy moze maszyne trzeba oddac do serwisu. Zaczelo sie od tego, ze nie mogłem otwozyc drugiej partycji a potem uruchamiać niektórych aplikacji Subedita lub Office 2003. Przeinstalowałem system XP SP3 na XP SP2( niestety nie ma mnie w domu i nie mam dostępu do innego) i dalej jest ogromny problem. Nie mogę odpalić instalatorów sterowników audio, Firefoxa, Mobilnego internetu itd.W procesach widać aplikacje ale nie ma okien, okna rozpakowywania przy instalacji zawieszają się. Przeskanowałem System od razu po przeinstalowaniu:
1.McAfee - nic;
2.Malwarbytes - AntiMalware - wykrywa wpis w rejestrze Hijack.System.Hidden - usówam go ale dalej jest
3.Reboot do safe mode
Usówam wszystko ATF Cleanerem
SUPERAnti spyware - wykrywa 1 wpis do rejestru - “disabled folders options” (co podejrzewam jest Hijack.System.Hidden) + ‘Adware WhenU’ w 2 plikach w katalogu WINDOWS Swiezo zainstalowanym + Trojan Agent/Gen tryptik. Usuwa je ale daj jest to samo z instalatorami.
Czy to jest wina Service Packa 3. Co robic?
Dodam, ze zawiesza mi sie przy ComboFixie a ten wirus dalej jest. Nie wiem jak sobie z tym poradzic. Moglbym uwierzyc , ze na Lenovo G550 z Service Pack 2 nie moge zainstalowac sterownikow karty dzwiekowej ale nie moge uwierzyc, ze Offica 2003. Czy moze to byc wina tego Hijack.System.Hidden od razu po przeinstalowaniu systemu. Dzieki
Cedar
(Cedar)
17 Listopad 2010 10:29
#3
zrób skan tym http://www.dobreprogramy.pl/Malwarebyte … 13117.html
usuń wszystko
i wklej loga po usunięciu wszystkiego
Leon1
(Leon$)
17 Listopad 2010 16:22
#6
OTL w oknie Custom Scans-Fixes wklej następujący skrypt:
:OTL MOD - [2010/11/17 13:48:14 | 000,101,888 | RHS- | M] () – C:\Documents and Settings\luke\Local Settings\Temp\mgking1.dll O4 - HKU\S-1-5-21-796845957-2139871995-839522115-1003…\Run: [king_mg] C:\Documents and Settings\luke\Local Settings\Temp\mgking.exe () O32 - AutoRun File - [2010/11/17 13:49:06 | 000,000,059 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010/11/17 13:49:06 | 000,000,059 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010/11/17 13:49:08 | 000,000,059 | RHS- | M] () - F:\autorun.inf – [FAT32] O33 - MountPoints2{0c138d3b-f294-11df-9974-eeb569063cd3}\Shell\AutoRun\command - “” = F:\9keibj.exe – [2010/11/01 08:45:12 | 000,153,088 | RHS- | M] () O33 - MountPoints2{0c138d3b-f294-11df-9974-eeb569063cd3}\Shell\open\Command - “” = F:\9keibj.exe – [2010/11/01 08:45:12 | 000,153,088 | RHS- | M] () O33 - MountPoints2{c9063ebc-f24d-11df-8482-806d6172696f}\Shell - “” = AutoRun O33 - MountPoints2{c9063ebc-f24d-11df-8482-806d6172696f}\Shell\AutoRun - “” = Auto&Play O33 - MountPoints2{c9063ebc-f24d-11df-8482-806d6172696f}\Shell\AutoRun\command - “” = E:\SETUP.EXE – [2007/07/27 04:00:00 | 001,314,816 | R— | M] (Microsoft Corporation) O33 - MountPoints2{c9063ebe-f24d-11df-8482-806d6172696f}\Shell\AutoRun\command - “” = D:\9keibj.exe – [2010/11/01 08:45:12 | 000,153,088 | RHS- | M] () O33 - MountPoints2{c9063ebe-f24d-11df-8482-806d6172696f}\Shell\open\Command - “” = D:\9keibj.exe – [2010/11/01 08:45:12 | 000,153,088 | RHS- | M] () :Files C:\9keibj.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
zainstaluj - przeskanuj http://free.avg.com/pl-pl/strona-glowna
potem nowy log OTL robiony opcją Run Scan (Skanuj)
Agaton
(Agatonster)
17 Listopad 2010 17:21
#7
mlodywilk44 ,
Proszę zapoznać się z tematem TYTUŁOWANIE TEMATÓW DOTYCZĄCYCH LOGÓW i poprawić tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj przy poście otwierającym ten temat.
Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.
Dzieki wielkie dla Leon$
Chyba sie udalo. To sa logi z OTL
http://www.wklejto.pl/81747
Extras
http://www.wklejto.pl/81746
Na razie udalo mi sie zainstalowac Firefoxa czyli chyba jest na najlepszej drodze. Ale mam jeszcze pytanie, zeby zapytac o porade musialem uzyc MemorySticka i innego komputera i ten drugi juz jest zainfekowany. Czy moge uzyc tego postu do naprawy tego drugiego? I czy jak wloze modem internetu na karte Sim z tego zainfekowanego to moge przeniesc wirusa? Dzieki jeszcze raz pozdrawiam
– Dodane 17.11.2010 (Śr) 21:23 –
To jest OTL log z tego drugiego komputera
http://www.wklejto.pl/81749
Prosze o pomoc jeszcze z tym
Leon1
(Leon$)
17 Listopad 2010 20:24
#9
Log wygląda na czysty
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
W OTL kilknij CleanUp (Sprzątanie)
Wyłącz i włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724
nie scrypt pisze się po analizie loga z podanego komputera
tak w tym celu masz uruchomić Flash Disinfectora aby uchronić się przed infekcją
przeskanuj otlem drugi komp i pokaż logi
To jest log OTL z drugiego kompa
http://www.wklejto.pl/81749
Leon1
(Leon$)
17 Listopad 2010 20:59
#11
Treść scryptu
:OT MOD - [2010-11-17 20:03:01 | 000,101,888 | RHS- | M] () – C:\Documents and Settings\Bosun\Local Settings\Temp\mgking1.dll O4 - HKU\S-1-5-21-790525478-2146831963-725345543-1003…\Run: [king_mg] C:\Documents and Settings\Bosun\Local Settings\Temp\mgking.exe () O32 - AutoRun File - [2010-11-17 21:18:50 | 000,000,059 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-11-17 21:18:50 | 000,000,059 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-11-17 21:18:52 | 000,000,059 | RHS- | M] () - I:\autorun.inf – [FAT32] O33 - MountPoints2{50d96df5-f0d5-11df-8800-001617372517}\Shell - “” = AutoRun O33 - MountPoints2{50d96df5-f0d5-11df-8800-001617372517}\Shell\AutoRun - “” = Auto&Play O33 - MountPoints2{50d96df5-f0d5-11df-8800-001617372517}\Shell\AutoRun\command - “” = F:\Autorun.exe – [2010-02-09 18:11:34 | 000,084,288 | R— | M] (Birdstep) O33 - MountPoints2{50d96df7-f0d5-11df-8800-001617372517}\Shell\AutoRun\command - “” = H:\9keibj.exe – File not found O33 - MountPoints2{50d96df7-f0d5-11df-8800-001617372517}\Shell\open\Command - “” = H:\9keibj.exe – File not found O33 - MountPoints2{50d96df8-f0d5-11df-8800-001617372517}\Shell\AutoRun\command - “” = I:\9keibj.exe – [2010-11-01 08:45:12 | 000,153,088 | RHS- | M] () O33 - MountPoints2{50d96df8-f0d5-11df-8800-001617372517}\Shell\open\Command - “” = I:\9keibj.exe – [2010-11-01 08:45:12 | 000,153,088 | RHS- | M] () O33 - MountPoints2{69372dd0-d46a-11df-87df-001617372517}\Shell\AutoRun\command - “” = F:\hx.exe – File not found O33 - MountPoints2{69372dd0-d46a-11df-87df-001617372517}\Shell\open\Command - “” = F:\hx.exe – File not found O33 - MountPoints2{be054e2b-6cb1-47e0-9bcc-4e80cb02f296}\Shell\AutoRun\command - “” = E:\hx.exe – [2009-08-25 19:29:38 | 000,114,124 | RHS- | M] () O33 - MountPoints2{be054e2b-6cb1-47e0-9bcc-4e80cb02f296}\Shell\open\Command - “” = E:\hx.exe – [2009-08-25 19:29:38 | 000,114,124 | RHS- | M] () O33 - MountPoints2{da0a8a4c-f1c8-11df-8805-001617372517}\Shell\AutoRun\command - “” = H:\9keibj.exe – File not found O33 - MountPoints2{da0a8a4c-f1c8-11df-8805-001617372517}\Shell\open\Command - “” = H:\9keibj.exe – File not found O33 - MountPoints2{fd1b9849-cef6-11df-a6d1-806d6172696f}\Shell\AutoRun\command - “” = C:\hx.exe – [2009-08-25 19:29:38 | 000,114,124 | RHS- | M] () O33 - MountPoints2{fd1b9849-cef6-11df-a6d1-806d6172696f}\Shell\open\Command - “” = C:\hx.exe – [2009-08-25 19:29:38 | 000,114,124 | RHS- | M] () :Files C:\9keibj.exe E:\9keibj.exe F:\9keibj.exe I:\9keibj.exe C:\hx.exe E:\hx.exe F:\hx.exe I:\hx.exe C:\Documents and Settings\Bosun\Local Settings\Temp\mgking1.dll C:\Documents and Settings\Bosun\Local Settings\Temp\mgking.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]
wykonać jak wyżej
przeskanuj Flash Disinfector
potem nowy log OTLrobiony opcją Run Scan(Skanuj)
Juz poszlo. Dzieki jeszcze raz i mam nadzieje, ze to juz koniec
http://www.wklejto.pl/81753
Leon1
(Leon$)
18 Listopad 2010 13:58
#13
OTL w oknie Custom Scans-Fixes wklej następujący skrypt:
:OTL O4 - HKU\S-1-5-21-790525478-2146831963-725345543-1003…\Run: [king_mg] C:\DOCUME~1\Bosun\LOCALS~1\Temp\mgking.exe File not found O32 - AutoRun File - [2010-11-17 22:05:06 | 000,000,059 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-11-17 22:05:06 | 000,000,059 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-11-17 22:05:08 | 000,000,059 | RHS- | M] () - I:\autorun.inf – [FAT32] [2010-11-17 22:05:06 | 000,000,059 | RHS- | M] () – C:\autorun.inf :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724 koniecznie
potem nowy log OTL robiony opcją Run Scan (Skanuj)
Zrobilem co kazales i to jest log z OTLa
http://www.wklejto.pl/81827
Uzylem Flashdisinfectora
Dziekiwielkie jeszcze raz. Zrobilem to wszystko jeszcze na drugim kompie ale przy Flashdisinfector wykrywa mi trojana. Po drugie wykrywa mi co jakis czas AVG te same wirusy. Czy moznaby jeszcze rzucic okiem na ostatni log?
http://www.wklejto.pl/81832
Leon1
(Leon$)
18 Listopad 2010 19:13
#17
log czysty
usuń OTL opcją Sprzątanie
Flashdisinfector wykrywa mi trojana.to pomyłka
zastosuj http://www.instalki.pl/programy/downloa … sbFix.html
opcja - * Deletion