Как да премахна този зловреден код

nikikocho · Декември 30, 2009

Здравейте! Мисля че имам зловреден код с името ukewfwkarkongxzu.exe . Качил съм и един logfile който е направен с ESET SysInspector. Този лог-файл представлява следното: Когато започна да инсталирам програма или да влизам например в замунда и да тегля от там някак си този код ми кара компютъра да ме изхвърля от тези процеси. Опитах да инсталирам MBAM но самия зловреден код не ми позволява просто ме изхвърля от процеса на инсталация. Опитах и с Autoruns и Process Explorer 11.33 но и там кода не ми позволява да отворя програмите за да го премахна. Благодаря предварително!

SysInspector-KRIMADIN-FA541B-091230-1504.zip

B-boy/StyLe/ · Декември 30, 2009

Хм...пробвай да преименуваш Autoruns и Process Explorer и опитай пак.

Ако не стане пробвай да дадеш един лог от това.

Изтегли OTL.exe и го запази на десктопа.

Преименувай файла на nikikocho.exe

Стартирай файла http://billy-oneal.com/forums/Canned%20Speeches/speechimages/OTL/otlDesktopIcon.png с двукратен клик на мишката.

Направи следните настройки:

http://i47.tinypic.com/f1a78i.jpg

Натисни Run Scan.

Като приключи проверката публикувай двата лог файла - OTL.Txt и Extras.Txt.

nikikocho · Декември 30, 2009

Заповядай!

OTL.Txt

Extras.Txt

B-boy/StyLe/ · Декември 30, 2009

1.Стартирайте програмата OTL.exe

2.В празното поле под "Custom Scans/Fixes" въведете този скрипт:

:OTL
PRC - [2009/12/30 14:54:51 | 00,577,536 | RHS- | M] () -- C:\Documents and Settings\KRIMADINI\Local Settings\Temp\ukewfwkarkongxzu.exe
PRC - [2009/12/30 12:07:41 | 00,720,896 | ---- | M] () -- C:\Documents and Settings\KRIMADINI\Local Settings\Temp\xclsq.exe
O4 - HKLM..\Run: [kcysdwmexsyzunrohg] C:\Documents and Settings\KRIMADINI\Local Settings\Temp\icawjewqliqtqlrqlmbq.exe ()
O4 - HKLM..\Run: [myochueqdssn] C:\WINDOWS\System32\kcysdwmexsyzunrohg.exe ()
O4 - HKCU..\Run: [myochueqdssn] C:\Documents and Settings\KRIMADINI\Local Settings\Temp\kcysdwmexsyzunrohg.exe ()
O4 - HKCU..\Run: [pexowmzoewzxpfg] C:\WINDOWS\System32\kcysdwmexsyzunrohg.exe ()
O4 - HKLM..\RunOnce: [bsngqixogaffzruqi] C:\Documents and Settings\KRIMADINI\Local Settings\Temp\ukewfwkarkongxzu.exe ()
O4 - HKLM..\RunOnce: [lypekyjwkabxn] C:\WINDOWS\System32\kcysdwmexsyzunrohg.exe ()
O4 - HKCU..\RunOnce: [lypekyjwkabxn] C:\Documents and Settings\KRIMADINI\Local Settings\Temp\kcysdwmexsyzunrohg.exe ()
O4 - HKCU..\RunOnce: [ukewfwkarkongxzu] C:\WINDOWS\System32\icawjewqliqtqlrqlmbq.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: masipeqetkmjap = bsngqixogaffzruqi.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: papcgsbmyml = C:\DOCUME~1\KRIMAD~1\LOCALS~1\Temp\kcysdwmexsyzunrohg.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O32 - AutoRun File - [2009/12/27 15:12:22 | 00,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2009/12/30 14:55:45 | 00,000,798 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009/12/30 14:55:46 | 00,000,780 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009/12/30 14:55:49 | 00,000,826 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009/12/30 14:55:52 | 00,000,826 | RHS- | M] () - G:\autorun.inf -- [ FAT32 ]
O33 - MountPoints2\{4e5d200f-f52f-11de-ac48-0016e61be727}\Shell\AutoRun\command - "" = G:\uesehsakvi.bat -- [2009/12/30 14:55:52 | 00,577,536 | RHS- | M] ()
O33 - MountPoints2\{4e5d200f-f52f-11de-ac48-0016e61be727}\Shell\explore\Command - "" = G:\masipeqetkmjap.bat -- [2009/05/19 08:19:48 | 00,577,536 | RHS- | M] ()
O33 - MountPoints2\{4e5d200f-f52f-11de-ac48-0016e61be727}\Shell\open\Command - "" = G:\myochueqdssn.bat -- [2009/03/17 12:47:34 | 00,577,536 | RHS- | M] ()
O33 - MountPoints2\{c7f4d425-f2f6-11de-ad24-806d6172696f}\Shell\AutoRun\command - "" = D:\uesehsakvi.bat -- [2009/04/16 05:48:47 | 00,577,536 | RHS- | M] ()
O33 - MountPoints2\{c7f4d425-f2f6-11de-ad24-806d6172696f}\Shell\explore\Command - "" = D:\masipeqetkmjap.bat -- [2009/04/19 08:24:30 | 00,577,536 | RHS- | M] ()
O33 - MountPoints2\{c7f4d425-f2f6-11de-ad24-806d6172696f}\Shell\open\Command - "" = D:\myochueqdssn.bat -- [2009/12/30 14:55:46 | 00,577,536 | RHS- | M] ()
O33 - MountPoints2\{c7f4d426-f2f6-11de-ad24-806d6172696f}\Shell\AutoRun\command - "" = E:\uesehsakvi.bat -- [2009/02/16 09:19:03 | 00,577,536 | RHS- | M] ()
O33 - MountPoints2\{c7f4d426-f2f6-11de-ad24-806d6172696f}\Shell\explore\Command - "" = E:\masipeqetkmjap.bat -- [2009/07/10 10:16:55 | 00,577,536 | RHS- | M] ()
O33 - MountPoints2\{c7f4d426-f2f6-11de-ad24-806d6172696f}\Shell\open\Command - "" = E:\myochueqdssn.bat -- [2009/04/13 08:02:29 | 00,577,536 | RHS- | M] ()
O33 - MountPoints2\{c7f4d428-f2f6-11de-ad24-806d6172696f}\Shell\AutoRun\command - "" = C:\uesehsakvi.bat -- [2009/06/10 07:26:24 | 00,577,536 | RHS- | M] ()
O33 - MountPoints2\{c7f4d428-f2f6-11de-ad24-806d6172696f}\Shell\explore\Command - "" = C:\masipeqetkmjap.bat -- [2009/05/12 07:14:21 | 00,577,536 | RHS- | M] ()
O33 - MountPoints2\{c7f4d428-f2f6-11de-ad24-806d6172696f}\Shell\open\Command - "" = C:\myochueqdssn.bat -- [2009/04/07 05:46:31 | 00,577,536 | RHS- | M] ()
[2009/12/30 16:00:34 | 00,000,280 | -H-- | M] () -- C:\WINDOWS\hkrwswxaekbntxmuyigeetsea.hot
[2009/12/30 16:00:34 | 00,000,280 | -H-- | M] () -- C:\Program Files\hkrwswxaekbntxmuyigeetsea.hot
[2009/12/30 16:00:34 | 00,000,280 | -H-- | M] () -- C:\Documents and Settings\KRIMADINI\Local Settings\Application Data\hkrwswxaekbntxmuyigeetsea.hot
[2009/12/30 16:00:33 | 00,002,408 | -H-- | M] () -- C:\WINDOWS\lypekyjwkabxnbasgaiqaziekylcrxlwjxn.kao
[2009/12/30 16:00:33 | 00,002,408 | -H-- | M] () -- C:\Program Files\lypekyjwkabxnbasgaiqaziekylcrxlwjxn.kao
[2009/12/30 16:00:33 | 00,002,408 | -H-- | M] () -- C:\Documents and Settings\KRIMADINI\Local Settings\Application Data\lypekyjwkabxnbasgaiqaziekylcrxlwjxn.kao
[2009/12/30 16:00:26 | 00,000,316 | -H-- | M] () -- C:\WINDOWS\ukewfwkarkongxzulitertfeneuogpgukbuyxq.jev
[2009/12/30 16:00:26 | 00,000,316 | -H-- | M] () -- C:\WINDOWS\System32\ukewfwkarkongxzulitertfeneuogpgukbuyxq.jev
[2009/12/30 16:00:26 | 00,000,316 | -H-- | M] () -- C:\Program Files\ukewfwkarkongxzulitertfeneuogpgukbuyxq.jev
[2009/12/30 16:00:26 | 00,000,316 | -H-- | M] () -- C:\Documents and Settings\KRIMADINI\Local Settings\Application Data\ukewfwkarkongxzulitertfeneuogpgukbuyxq.jev
[2009/12/30 16:00:12 | 00,002,408 | -H-- | M] () -- C:\WINDOWS\System32\lypekyjwkabxnbasgaiqaziekylcrxlwjxn.kao
[2009/12/30 15:59:52 | 00,000,280 | -H-- | M] () -- C:\WINDOWS\System32\hkrwswxaekbntxmuyigeetsea.hot
[2009/12/30 15:58:56 | 00,917,504 | RHS- | M] () -- C:\WINDOWS\xsrocyrmigptrnuuqsiyq.exe
[2009/12/30 15:58:56 | 00,917,504 | RHS- | M] () -- C:\WINDOWS\okkixuokhgqvurzaxaribj.exe
[2009/12/30 15:58:56 | 00,917,504 | RHS- | M] () -- C:\WINDOWS\icawjewqliqtqlrqlmbq.exe
[2009/12/30 15:58:55 | 00,917,504 | RHS- | M] () -- C:\WINDOWS\volgsmdwqmtvrlqoiiw.exe
[2009/12/30 15:58:55 | 00,917,504 | RHS- | M] () -- C:\WINDOWS\ukewfwkarkongxzu.exe
[2009/12/30 15:58:55 | 00,917,504 | RHS- | M] () -- C:\WINDOWS\kcysdwmexsyzunrohg.exe
[2009/12/30 15:58:55 | 00,917,504 | RHS- | M] () -- C:\WINDOWS\bsngqixogaffzruqi.exe
[2009/12/30 14:55:04 | 00,577,536 | RHS- | M] () -- C:\WINDOWS\System32\xsrocyrmigptrnuuqsiyq.exe
[2009/12/30 14:55:04 | 00,577,536 | RHS- | M] () -- C:\WINDOWS\System32\okkixuokhgqvurzaxaribj.exe
[2009/12/30 14:55:04 | 00,577,536 | RHS- | M] () -- C:\WINDOWS\System32\icawjewqliqtqlrqlmbq.exe
[2009/12/30 14:55:03 | 00,577,536 | RHS- | M] () -- C:\WINDOWS\System32\volgsmdwqmtvrlqoiiw.exe
[2009/12/30 14:55:03 | 00,577,536 | RHS- | M] () -- C:\WINDOWS\System32\kcysdwmexsyzunrohg.exe
[2009/12/30 14:55:03 | 00,577,536 | RHS- | M] () -- C:\WINDOWS\System32\bsngqixogaffzruqi.exe
[2009/12/30 14:40:11 | 00,001,503 | -H-- | M] () -- C:\WINDOWS\System32\bsngqixogaffzruqigsesviiskbwpzrgxpjooia.zrp
[2009/12/30 14:40:11 | 00,001,503 | -H-- | M] () -- C:\WINDOWS\bsngqixogaffzruqigsesviiskbwpzrgxpjooia.zrp
[2009/12/30 14:40:11 | 00,001,503 | -H-- | M] () -- C:\Program Files\bsngqixogaffzruqigsesviiskbwpzrgxpjooia.zrp
[2009/12/30 14:40:08 | 00,001,503 | -H-- | M] () -- C:\Documents and Settings\KRIMADINI\Local Settings\Application Data\bsngqixogaffzruqigsesviiskbwpzrgxpjooia.zrp
[2009/12/30 12:07:31 | 00,577,536 | RHS- | M] () -- C:\WINDOWS\System32\ukewfwkarkongxzu.exe
[2009/12/27 15:22:58 | 00,004,248 | -H-- | M] () -- C:\WINDOWS\System32\masipeqetkmjappixsbkvvfcjymeubqcqfwy.mbb
[2009/12/27 15:22:58 | 00,004,248 | -H-- | M] () -- C:\WINDOWS\masipeqetkmjappixsbkvvfcjymeubqcqfwy.mbb
[2009/12/27 15:22:58 | 00,004,248 | -H-- | M] () -- C:\Program Files\masipeqetkmjappixsbkvvfcjymeubqcqfwy.mbb
[2009/12/27 15:22:58 | 00,004,248 | -H-- | M] () -- C:\Documents and Settings\KRIMADINI\Local Settings\Application Data\masipeqetkmjappixsbkvvfcjymeubqcqfwy.mbb
:files
C:\Documents and Settings\KRIMADINI\Local Settings\Temp\ukewfwkarkongxzu.exe
C:\Documents and Settings\KRIMADINI\Local Settings\Temp\xclsq.exe
C:\WINDOWS\*.tmp
C:\WINDOWS\System32\*.tmp
C:\Documents and Settings\KRIMADINI\*.tmp
:Commands
[purity]
[emptytemp]
[resethosts]
[start explorer]
[Reboot]

3. Сега вече натиснете червения бутон - Run Fix

nikikocho · Декември 31, 2009

Направих тази операция но файлът зловредния код не се премахна и пак си ме изхвърля от горе изброените процеси. Какво да направя сега?

B-boy/StyLe/ · Декември 31, 2009

Моля, публикувайте лог файла, които поисках след изпълнението на скрипта !

След това направете нова проверка с OTL.exe и публикувайте резултатите.

Също така:

СТЪПКА 1

Изтеглете => FixPolicies

Запазете го някъде на декстопа.Кликнете два пъти върху файла и изберете Install.Ще се създаде папка с името FixPolicies на десктопа.Отворете я и стартирайте файла Fix_policies.cmd.

СТЪПКА 2

Изтеглете SafeBootKeyRepair.exe и го стартирайте.

Следвайте инструкциите.

СТЪПКА 3

Изтеглете Malwarebytes' Anti-Malware

Кликнете два пъти върху mbam-setup.exe за да инсталирате програмата.

* Уверете се, че има отметки на Update Malwarebytes' Anti-Malware и Launch Malwarebytes' Anti-Malware, след това кликнете на Finish.
* Ако има намерени по-нови обновления, тя ще ги изтегли и инсталира.
* Стартирайте програмата и изберете "Perform Full Scan", след това кликнете на Scan.
* Сканирането ще отнеме малко време, затова моля бъдете търпеливи.
* Когато сканирането завърши, кликнете на OK, след това Show Results, за да видите резултата.
* Уверете се, че на всички редове има отметки, и кликнете Remove Selected.
* Когато всичко бъде премахнато, логът ще бъде отворен в Notepad. Копирайте лога и го публикувайте в следващия си коментар в темата.

Бележка: Ако MalwareBytes' Anti-Malware се затрудни в премахването на откритите вируси/заплахи, той ще поиска да рестартира компютъра Ви и по време на рестартирането да премахне проблемните вируси/заплахи. Ако бъдете попитани, потвърдете че желаете вашия компютър да бъде рестартиран.

Влез

Как да премахна този зловреден код

Препоръчан пост

nikikocho

Link to comment

Сподели другаде

B-boy/StyLe/

Link to comment

Сподели другаде

nikikocho

Link to comment

Сподели другаде

B-boy/StyLe/

Link to comment

Сподели другаде

nikikocho

Link to comment

Сподели другаде

B-boy/StyLe/

Link to comment

Сподели другаде

Join the conversation

Разгледай

Какво ново?