Mgking0.dll oraz am.exe

papryka500 · 19 Maj 2011 13:58

Witam, od jakiegoś tygodnia na moim komputerze pojawił się syf mgking0.dll oraz am.exe .

Mam zablokowany dostęp do ukrytych folderów. mgking0.dll infekuje się do procesów, ale daje rade go usunąć ręcznie. am.exe siedzi w ukrytym folderze i nie mogę się go pozbyć. Używam Comodo Internet Security PREMIUM.

Logi z OTL:

http://wklej.org/id/532141/

Logi Extras

http://wklej.org/id/532143/

djkamil09061991 · 19 Maj 2011 14:11

Wklej w białe okienko OTL i naciśnij wykonaj skrypt:

:OTL IE - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - Reg Error: Key error. File not found FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2832599&SearchSource=3&q={searchTerms}” FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2832599&q=” [2011-04-08 21:01:30 | 000,000,000 | —D | M] (Conduit Engine) – C:\Documents and Settings\kr\Dane aplikacji\Mozilla\Firefox\Profiles\5inqq5ro.default\extensions\engine@conduit.com O2 - BHO: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found. O3 - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\Toolbar\ShellBrowser: (no name) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No CLSID value found. O4 - HKLM…\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\Run: [King_ar] File not found O4 - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () O32 - AutoRun File - [2011-05-19 13:37:39 | 000,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-05-19 13:37:39 | 000,000,051 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-05-19 13:37:39 | 000,000,051 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-05-19 13:37:42 | 000,000,051 | RHS- | M] () - G:\autorun.inf – [FAT32] O33 - MountPoints2{64ee2ebe-7e0a-11e0-8542-000feaf4b64a}\Shell\AutoRun\command - “” = G:\w9.exe – [2010-11-28 13:34:30 | 000,182,272 | RHS- | M] () O33 - MountPoints2{64ee2ebe-7e0a-11e0-8542-000feaf4b64a}\Shell\open\Command - “” = G:\w9.exe – [2010-11-28 13:34:30 | 000,182,272 | RHS- | M] () O33 - MountPoints2{7a45fec5-cd5a-11df-81ba-000feaf4b64a}\Shell\ArcaVirMenu\command - “” = G:\ArcaVirMenu.exe O33 - MountPoints2{7a45fec5-cd5a-11df-81ba-000feaf4b64a}\Shell\AutoRun\command - “” = G:\ArcaVirMenu.exe [2011-05-17 19:32:41 | 000,137,216 | RHS- | M] () – C:\WINDOWS\System32\arking1.dll [2011-05-16 22:46:16 | 000,136,704 | RHS- | M] () – C:\WINDOWS\System32\arking0.dll [2011-05-14 12:56:40 | 000,182,272 | RHS- | C] () – C:\w9.exe [2011-05-14 12:56:40 | 000,000,051 | RHS- | C] () – C:\autorun.inf [2011-05-14 11:26:37 | 000,182,272 | RHS- | C] () – C:\WINDOWS\System32\mgking.exe @Alternate Data Stream - 149 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

dajesz log z usuwania i nowe logi z OTL. Oraz z podłączonymi urządzeniami przenośnymi pokaż log z USbFix z opcji DELETION:

http://www.teamxscript.org/usbfixTelechargement.html

Leon1 · 19 Maj 2011 14:20

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL IE - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - Reg Error: Key error. File not found O2 - BHO: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found. O3 - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\Toolbar\ShellBrowser: (no name) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No CLSID value found. O4 - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\Run: [King_ar] File not found O4 - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () O32 - AutoRun File - [2011-05-19 13:37:39 | 000,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-05-19 13:37:39 | 000,000,051 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-05-19 13:37:39 | 000,000,051 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-05-19 13:37:42 | 000,000,051 | RHS- | M] () - G:\autorun.inf – [FAT32] O33 - MountPoints2{64ee2ebe-7e0a-11e0-8542-000feaf4b64a}\Shell\AutoRun\command - “” = G:\w9.exe – [2010-11-28 13:34:30 | 000,182,272 | RHS- | M] () O33 - MountPoints2{64ee2ebe-7e0a-11e0-8542-000feaf4b64a}\Shell\open\Command - “” = G:\w9.exe – [2010-11-28 13:34:30 | 000,182,272 | RHS- | M] () O33 - MountPoints2{7a45fec5-cd5a-11df-81ba-000feaf4b64a}\Shell\ArcaVirMenu\command - “” = G:\ArcaVirMenu.exe O33 - MountPoints2{7a45fec5-cd5a-11df-81ba-000feaf4b64a}\Shell\AutoRun\command - “” = G:\ArcaVirMenu.exe [2011-05-19 13:37:39 | 000,000,051 | RHS- | M] () – C:\autorun.inf [2011-05-17 19:32:41 | 000,137,216 | RHS- | M] () – C:\WINDOWS\System32\arking1.dll [2011-05-16 22:46:16 | 000,136,704 | RHS- | M] () – C:\WINDOWS\System32\arking0.dll [2011-05-14 12:56:40 | 000,182,272 | RHS- | C] () – C:\w9.exe [2011-05-14 11:26:37 | 000,182,272 | RHS- | C] () – C:\WINDOWS\System32\mgking.exe :Files autorun.inf /alldrives arking1.dll /alldrives arking0.dll /alldrives C:\w9.exe /alldrives mgking.exe /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [CLEARALLRESTOREPOINTS] [emptytemp]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

użyj http://www.instalki.pl/programy/downloa … sbFix.html

z opcji Deletion

papryka500 · 19 Maj 2011 14:55

Logi z usuwania:

http://wklej.org/id/532174/

Logi z OTL:

http://wklej.org/id/532175/

Logi z Extras:

http://wklej.org/id/532176/

Logi z UsbFIX

http://wklej.org/id/532177/

Wygląda na to, że pomogło. Już widzę ukryte foldery, a COMODO nie upomina się o mgking0.dll i am.exe.

Dodatkowo mam pytanie. Jaki antyvirus zużywa mało zasobów komputera i nie usuwa plików bez pytania (oraz jest skuteczny)

W każdym bądź razie bardzo dziękuje

djkamil09061991 · 19 Maj 2011 15:05

WKlej jeszcze w OTL te śmieci:

Po wykonaniu skryptu, naciśnij w OTL sprzątanie to go usunie.

Zaaktualizuj system do SP3. Co do antywirusa zainstaluj darmowego Avasta, jest leciutki i dobry

papryka500 · 19 Maj 2011 15:22

Już miałem kiedyś avasta i się na nim zawiodłem …

Czy wersja 6 jest lepsza i bardziej skuteczna?

Co do SP3 opłaca się instalować? Nie zamuli komputer? Do tego wszystko co na SP2 będzie działać bez zastrzeżeń ?

djkamil09061991 · 19 Maj 2011 15:31

Avast 6 jest leciutki i w ogóle dobry Zainstaluj i sprawdz

A dlaczego uważasz że SP3 zamuli ci komputer??? Zawsze warto mieć zainstalowane wszystkie poprawki itp.

papryka500 · 19 Maj 2011 15:50

Wiele osób z którymi rozmawiałem sądziło, że te wszystkie poprawki to tylko komputer zaśmiecają, a czasem zamulają …

Zresztą ja mam bardzo cieniutki sprzęt, a szczególnie procesor 1.61 który odczuwa zużycie.