Złośliwe wirusy i zapewne "inne" smieci - mgking0, w9

anon39376062 · 2013-01-15 02:22:21 UTC

Witam. Od paru dni mam problem z wirusem mgking0, a razem z nim zawsze wplata się w9 i jakieś klucze rejestru blokując mi co niektóre opcje windowsa jak przeglądanie ukrytych plików i folderów czy też samo odpalanie dysku C nie jest możliwe normalnie. Wyskakuje bowiem opcja do wyboru programu, którym chcę to zrobić. By się dostać na ów dysk muszę wpisywać ścieżkę. Przez te wirusy mam też problemy z użytkowaniem innych programów gdyż występują niechciane błędy. Zazwyczaj jeśli już jakiś wirus dostawał się mi na laptopa, kasowałem go bezproblemowo za pomocą “mbam’a” - skrót raczej dobrze znany. To również program jest w stanie usunąć, ale z niewyjaśnionych mi przyczyn po jakimś czasie pojawia się na nowo. Poza pomocą w postaci skryptu, byłbym wdzięczny również za napisanie jakiejś porady co może powodować w ogóle wgrywanie się takowego wirusa. Podejrzewam, że może to być pendrive, którego ostatnio używałem/używam. Nie jest on mój, aczkolwiek są tam potrzebne mi rzeczy i jeśli rzeczywiście to ów pendrive wgrywa taki syf, jest jakaś możliwość inna niż sformatowanie go by uniknąć w przyszłości podobnych problemów? Słyszałem, że USBFix może to załatwić. Jeśli tak, to go użyję, tyle że lepiej to zrobić przed użyciem skryptu podanego przez was, czy to bez różnicy w której kolejności?

Poniżej są logi - raporty z OTL.

Extras - http://www.wklej.org/id/925502/

OTL - http://wklej.org/id/925504/

Z góry dzięki za pomoc.

Atis · 2013-01-15 09:05:19 UTC

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Usuń.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\HSF_CNXT.sys – (winachsf) SRV - File not found [Auto | Stopped] – C:\WINDOWS\system32\yuzclt.dll – (suqsbxzq) DRV - File not found [Kernel | Auto | Stopped] – system32\DRIVERS\mdmxsdk.sys – (mdmxsdk) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\HSFHWICH.sys – (HSFHWICH) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\HSF_DPV.sys – (HSF_DPV) DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\Mist\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys – (cpuz132) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Program Files\SystemRequirementsLab\cpudrv.sys – (cpudrv) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Game\SoftnyxGame2\GunBoundIS\apf001.sys – (apf001) [2012-09-19 14:49:45 | 000,002,513 | ---- | M] () – C:\Documents and Settings\Mist\Dane aplikacji\Mozilla\Firefox\Profiles\xw4ydyyl.default\searchplugins\Search_Results.xml [2012-11-15 15:20:05 | 000,000,000 | —D | M] (QuickStores-Toolbar) – C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de [2012-09-19 14:49:45 | 000,002,513 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml O3 - HKLM…\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-2052111302-1450960922-1417001333-1004…\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-2052111302-1450960922-1417001333-1004…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-2052111302-1450960922-1417001333-1004…\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () :Files C:\WINDOWS\System32\mgking0.dll C:\WINDOWS\System32\mgking.exe w9.exe /alldrives autorun.inf /alldrives EXPLORER.EXE /alldrives :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “2510:TCP”=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej do OTL i kliknij Skanuj :

Pokaż ten log.

Zabezpiecz się przed infekcją z USB (linki bezpośrednie): Panda USB Vaccine

Uruchom program i kliknij Vaccinate.

anon39376062 · 2013-01-15 12:38:01 UTC

Oto raporciki:

AdwCleaner - http://www.wklej.org/id/925729/

OTL raport z usuwania - http://www.wklej.org/id/925726/

OTL skan - http://www.wklej.org/id/925742/

USB już zabezpieczyłem podanym przez Ciebie programem. Dyski mogę przeglądać już normalnie, ukryte pliki oraz foldery również. Przy okazji laptop zaczął szybciej i sprawniej działać. Prawdopodobnie już wszystko jest w porządku, ale byłbym wdzięczny jakbyś swoim fachowym okiem jeszcze sam to ocenił.

Przeskanowałem komputer również Malwarebytes i znalazło tylko jednego robaka w rejestrze.

Wykrytych kluczy rejestru: 1

HKCR\CLSID\MADOWN (Worm.Magania) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

Nie podawałem całego logu ze skana bo tylko ów wirusa znalazło. Usunąłem go jak widać.

Atis · 2013-01-15 19:13:27 UTC

Wklej i kliknij Wykonaj skrypt:

:OTL NetSvcs: suqsbxzq - File not found IE - HKU\S-1-5-21-2052111302-1450960922-1417001333-1004…\SearchScopes{2183D91A-8DCC-4ABD-9B3E-D90341BEFF6B}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=6a16cfe2-a3a4-48c0-a699-43d3b828806f&apn_sauid=52D77B94-41EC-42C5-A948-E239CFA81904 FF - prefs.js…browser.search.defaultenginename: “Search Results” FF - prefs.js…browser.search.order.1: “Search Results” FF - prefs.js…keyword.URL: “http://dts.search-results.com/sr?src=ffb&appid=20&systemid=2&sr=0&q=” O16 - DPF: {8FEFF364-6A5F-4966-A917-A3AC28411659} http://download.sopcast.com/download/SOPCORE.CAB (Reg Error: Key error.) [2013-01-15 13:11:42 | 000,005,476 | ---- | M] () – C:\AdwCleaner[s1].txt [2011-03-05 18:25:25 | 000,000,138 | -H-- | C] () – C:\WINDOWS\Tasks\Microsoft_Hardware_Launch_setup_exe.job [2011-12-15 09:14:21 | 000,000,284 | ---- | C] () – C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-2052111302-1450960922-1417001333-1004.job [2011-12-15 09:14:22 | 000,000,276 | ---- | C] () – C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-2052111302-1450960922-1417001333-1004.job [2013-01-14 17:17:56 | 000,000,976 | ---- | C] () – C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-2052111302-1450960922-1417001333-1004Core.job [2013-01-14 17:17:57 | 000,000,998 | ---- | C] () – C:\WINDOWS\Tasks\FacebookUpdateTaskUserS-1-5-21-2052111302-1450960922-1417001333-1004UA.job

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj ESET Online Scanner