Witam, od jakiegoś tygodnia na moim komputerze pojawił się syf mgking0.dll oraz am.exe .
Mam zablokowany dostęp do ukrytych folderów. mgking0.dll infekuje się do procesów, ale daje rade go usunąć ręcznie. am.exe siedzi w ukrytym folderze i nie mogę się go pozbyć. Używam Comodo Internet Security PREMIUM.
Logi z OTL:
http://wklej.org/id/532141/
Logi Extras
http://wklej.org/id/532143/
Wklej w białe okienko OTL i naciśnij wykonaj skrypt:
:OTL IE - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - Reg Error: Key error. File not found FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2832599&SearchSource=3&q={searchTerms} ” FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2832599&q= ” [2011-04-08 21:01:30 | 000,000,000 | —D | M] (Conduit Engine) – C:\Documents and Settings\kr\Dane aplikacji\Mozilla\Firefox\Profiles\5inqq5ro.default\extensions\engine@conduit.com O2 - BHO: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found. O3 - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\Toolbar\ShellBrowser: (no name) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No CLSID value found. O4 - HKLM…\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\Run: [King_ar] File not found O4 - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () O32 - AutoRun File - [2011-05-19 13:37:39 | 000,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-05-19 13:37:39 | 000,000,051 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-05-19 13:37:39 | 000,000,051 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-05-19 13:37:42 | 000,000,051 | RHS- | M] () - G:\autorun.inf – [FAT32] O33 - MountPoints2{64ee2ebe-7e0a-11e0-8542-000feaf4b64a}\Shell\AutoRun\command - “” = G:\w9.exe – [2010-11-28 13:34:30 | 000,182,272 | RHS- | M] () O33 - MountPoints2{64ee2ebe-7e0a-11e0-8542-000feaf4b64a}\Shell\open\Command - “” = G:\w9.exe – [2010-11-28 13:34:30 | 000,182,272 | RHS- | M] () O33 - MountPoints2{7a45fec5-cd5a-11df-81ba-000feaf4b64a}\Shell\ArcaVirMenu\command - “” = G:\ArcaVirMenu.exe O33 - MountPoints2{7a45fec5-cd5a-11df-81ba-000feaf4b64a}\Shell\AutoRun\command - “” = G:\ArcaVirMenu.exe [2011-05-17 19:32:41 | 000,137,216 | RHS- | M] () – C:\WINDOWS\System32\arking1.dll [2011-05-16 22:46:16 | 000,136,704 | RHS- | M] () – C:\WINDOWS\System32\arking0.dll [2011-05-14 12:56:40 | 000,182,272 | RHS- | C] () – C:\w9.exe [2011-05-14 12:56:40 | 000,000,051 | RHS- | C] () – C:\autorun.inf [2011-05-14 11:26:37 | 000,182,272 | RHS- | C] () – C:\WINDOWS\System32\mgking.exe @Alternate Data Stream - 149 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
dajesz log z usuwania i nowe logi z OTL. Oraz z podłączonymi urządzeniami przenośnymi pokaż log z USbFix z opcji DELETION:
http://www.teamxscript.org/usbfixTelechargement.html
Leon1
(Leon$)
19 Maj 2011 14:20
#3
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL IE - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - Reg Error: Key error. File not found O2 - BHO: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {8664889D-ED18-4713-918F-E2BB69D8452B} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found. O3 - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\Toolbar\ShellBrowser: (no name) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No CLSID value found. O4 - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\Run: [King_ar] File not found O4 - HKU\S-1-5-21-1060284298-1078081533-839522115-1003…\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () O32 - AutoRun File - [2011-05-19 13:37:39 | 000,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-05-19 13:37:39 | 000,000,051 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-05-19 13:37:39 | 000,000,051 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-05-19 13:37:42 | 000,000,051 | RHS- | M] () - G:\autorun.inf – [FAT32] O33 - MountPoints2{64ee2ebe-7e0a-11e0-8542-000feaf4b64a}\Shell\AutoRun\command - “” = G:\w9.exe – [2010-11-28 13:34:30 | 000,182,272 | RHS- | M] () O33 - MountPoints2{64ee2ebe-7e0a-11e0-8542-000feaf4b64a}\Shell\open\Command - “” = G:\w9.exe – [2010-11-28 13:34:30 | 000,182,272 | RHS- | M] () O33 - MountPoints2{7a45fec5-cd5a-11df-81ba-000feaf4b64a}\Shell\ArcaVirMenu\command - “” = G:\ArcaVirMenu.exe O33 - MountPoints2{7a45fec5-cd5a-11df-81ba-000feaf4b64a}\Shell\AutoRun\command - “” = G:\ArcaVirMenu.exe [2011-05-19 13:37:39 | 000,000,051 | RHS- | M] () – C:\autorun.inf [2011-05-17 19:32:41 | 000,137,216 | RHS- | M] () – C:\WINDOWS\System32\arking1.dll [2011-05-16 22:46:16 | 000,136,704 | RHS- | M] () – C:\WINDOWS\System32\arking0.dll [2011-05-14 12:56:40 | 000,182,272 | RHS- | C] () – C:\w9.exe [2011-05-14 11:26:37 | 000,182,272 | RHS- | C] () – C:\WINDOWS\System32\mgking.exe :Files autorun.inf /alldrives arking1.dll /alldrives arking0.dll /alldrives C:\w9.exe /alldrives mgking.exe /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [CLEARALLRESTOREPOINTS] [emptytemp]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
użyj http://www.instalki.pl/programy/downloa … sbFix.html
z opcji Deletion
Logi z usuwania:
http://wklej.org/id/532174/
Logi z OTL:
http://wklej.org/id/532175/
Logi z Extras:
http://wklej.org/id/532176/
Logi z UsbFIX
http://wklej.org/id/532177/
Wygląda na to, że pomogło. Już widzę ukryte foldery, a COMODO nie upomina się o mgking0.dll i am.exe.
Dodatkowo mam pytanie. Jaki antyvirus zużywa mało zasobów komputera i nie usuwa plików bez pytania (oraz jest skuteczny)
W każdym bądź razie bardzo dziękuje
WKlej jeszcze w OTL te śmieci:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/ IE - HKU\S-1-5-21-1060284298-1078081533-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/ :Commands [emptytemp]
Po wykonaniu skryptu, naciśnij w OTL sprzątanie to go usunie.
Zaaktualizuj system do SP3. Co do antywirusa zainstaluj darmowego Avasta, jest leciutki i dobry
Już miałem kiedyś avasta i się na nim zawiodłem …
Czy wersja 6 jest lepsza i bardziej skuteczna?
Co do SP3 opłaca się instalować? Nie zamuli komputer? Do tego wszystko co na SP2 będzie działać bez zastrzeżeń ?
Avast 6 jest leciutki i w ogóle dobry Zainstaluj i sprawdz
A dlaczego uważasz że SP3 zamuli ci komputer??? Zawsze warto mieć zainstalowane wszystkie poprawki itp.
Wiele osób z którymi rozmawiałem sądziło, że te wszystkie poprawki to tylko komputer zaśmiecają, a czasem zamulają …
Zresztą ja mam bardzo cieniutki sprzęt, a szczególnie procesor 1.61 który odczuwa zużycie.