[OTL]Program am.exe, nie włączający sie firefox i itp

miras1309 · 22 Sierpień 2010 21:13

Witam!

Mam problem, otóż: Nie dawno siostra dostała lapka z pracy, Ja jako maniak gier i itp. powgrywałem sobie to i owo. Pewnego dnia podczas pracy na lapku chciałem włączyć “Pokazuj ukryte pliki” w opcjach folderów, po kliknięciu “Zastosuj” nic sie nie zmieniało dalej pliki były ukryte. Kilkanaście dni później miałem problem z am.exe

nie raz go miałem więc wrzucam logi… ale dosłownie jakieś 20 minut temu po uruchomieniu laptopa nie moge włączyć Firefoxa i Menedżera Zadań, tak samo jak gier na steam’ie, nie włącza sie jakieś 50% programów “Windowsowskich” (notatnik i itp…)

P.S: nie śmiać sie z nazwy konta bo lapek nie mój

Log OTL:

http://wklej.to/J3g4

Extras:

http://wklej.to/uFOi

_i_DAEMON · 22 Sierpień 2010 22:37

W Custom Scans/Fixes wklej:

:Processes

killallprocesses


:OTL

DRV - [2010-07-27 18:02:42 | 000,020,992 | ---- | M] () [Kernel | Auto | Running] -- C:\Program Files\Temporary\cpu.sys -- (cpudriver)

O4 - HKCU..\Run: [dso32] C:\Users\PRZEDS~1\AppData\Local\Temp\dsoqq.exe ()

O33 - MountPoints2\{4e0dc0e7-f160-11de-a417-000000000000}\Shell\AutoRun\command - "" = J:\qhbfqx.exe -- File not found

O33 - MountPoints2\{4e0dc0e7-f160-11de-a417-000000000000}\Shell\open\Command - "" = J:\qhbfqx.exe -- File not found

O33 - MountPoints2\{8d5fad4e-39d9-11df-be77-00245409ec76}\Shell\AutoRun\command - "" = 6ruaqx.exe

O33 - MountPoints2\{8d5fad4e-39d9-11df-be77-00245409ec76}\Shell\open\Command - "" = 6ruaqx.exe

O33 - MountPoints2\{9b8846fc-0b07-11df-a7d1-00245409ec76}\Shell\AutoRun\command - "" = I:\mk28sp.exe -- File not found

O33 - MountPoints2\{9b8846fc-0b07-11df-a7d1-00245409ec76}\Shell\open\Command - "" = I:\mk28sp.exe -- File not found

O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\krwyrv0d.exe -- File not found

O33 - MountPoints2\H\Shell\open\Command - "" = H:\krwyrv0d.exe -- File not found

O33 - MountPoints2\{125f82f0-72bb-11df-8aba-00245409ec76}\Shell\AutoRun\command - "" = xs6kpr0.exe

O33 - MountPoints2\{125f82f0-72bb-11df-8aba-00245409ec76}\Shell\open\Command - "" = xs6kpr0.exe

O33 - MountPoints2\{125f82f6-72bb-11df-8aba-00245409ec76}\Shell\AutoRun\command - "" = c2e.exe

O33 - MountPoints2\{125f82f6-72bb-11df-8aba-00245409ec76}\Shell\open\Command - "" = c2e.exe

O33 - MountPoints2\{13fbc94e-9583-11de-bbae-806e6f6e6963}\Shell - "" = AutoRun


:Commands

[emptytemp]

[reboot]

Następnie naciśnij Runfix/Wykonaj skrypt.

Podaj log z usuwania i nowy log z OTL.

Przeskanuj system programem MalwareBytes. Podaj z niego log na forum.

deFco247 · 23 Sierpień 2010 08:45

Nie stosować powyższego skryptu, gdyż jest niekompletny.

Tutaj jest infekcja rootkitowa + infekcje z pendrive, więc musisz koniecznie podać dodatkowe logi, aby wszystko usunąć od razu.

GMER

Nic nie zmieniasz w ustawieniach, po prostu uruchamiasz skanowanie. Po skanie kopiujesz log.

Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Z podłączonymi pendrive zaprezentuj raport ze skanowania UsbFix z opcji Listing.

miras1309 · 1 Wrzesień 2010 17:07

Sorki że nie odpowiadałem na temat ale wyjechałem i wczoraj wróciłem

Logi:

GMER: http://wklej.to/JDg2

USBFix:

Listing: http://wklej.to/ePWI

Reserach: http://wklej.to/8ejl

Jak coś jeszcze to piszcie

Kasar1 · 1 Wrzesień 2010 17:32

Found ! HKLM\Software\Classes\CLSID\MADOWN

Worm magania

Przeskanuj komputer mbamem.

deFco247 · 1 Wrzesień 2010 18:29

W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\cpu.sys – (cpu) O4 - HKCU…\Run: [dso32] C:\Users\PRZEDS~1\AppData\Local\Temp\dsoqq.exe () :Files C:\Users\Przedszkole\AppData\Local\Temp*.html /D C:\Program Files\Temporary D:\12gn6id2.exe D:\33r.exe D:\awb3ryk.exe D:\ca.exe D:\cgaqyi.exe D:\cobn8w3.exe D:\dqm.exe D:\i8ikdjwt.exe D:\iuvvl9f3.exe D:\krwyrv0d.exe D:\p9rs.exe D:\q0wfr.exe D:\qhbfqx.exe D:\r3fhr.exe D:\Recycled D:\rpw.exe D:\wkimt.exe D:\xjb3.exe J:$RECYCLE.BIN J:\1thes92p.exe J:\ctu8r.exe J:\g6jk.exe J:\ggb6w.exe J:\krwyrv0d.exe J:\p6xebrnt.exe J:\qhbfqx.exe J:\Recycled J:\RECYCLER J:\rpw.exe J:\s1.exe :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [emptyflash] [clearallrestorepoints] [resethosts]

Wykonaj skrypt i zatwierdź restart.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Skanuj.

miras1309 · 1 Wrzesień 2010 19:03

Log z usuwania: http://wklej.to/za7y

OTL.txt: http://wklej.to/coKQ

deFco247 · 2 Wrzesień 2010 11:39

Na czas uruchomienia skryptu należało zostawić podłączone wszystkie pendrive, gdyż skrypt zawierał komendy usunięcia plików infekcji z nich.

Wykonaj jeszcze nowy log z UsbFix, gdyż nie wiemy do końca jak teraz wygląda sytuacja.