Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

ircbot.gen!k, zaberg.

#1
ircbot.gen!k, zaberg.
Witam. Mam problem z komputerem. Otóż od jakiegoś czasu mam problem z usunięciem dwóch wirusów: "ircbot.gen!k" i "zaberg". Zaberga próbuję usunąć programem Malwarebytes Anti-Malware, ale bez skutków. Po każdym starcie systemu wyświetlają mi się właściwości tego oto "zaberga". Natomiast "wirusa 'ircbot.gen!k'" wykrywa Windows Defender jako potencjalnie szkodliwe oprogramowanie. Próbuje go usunąć Windows Defenderem ale też bez skutków. Cały czas mi go wykrywa i niby "usuwa".

PS. Nie wiem czy to ważne, ale co jakieś 2 minuty program Malwarebytes Anti-Malware blokuje dostęp do podejrzanej strony (zdj. w załączniku). I zdaję mi się że też przez to bardzo wolno chodzi mi internet.

Jakby co to Logi z OTL'a dodam w załączniku.
Proszę o pomoc, AndreWLD.
[attachment=36486][attachment=36487][attachment=36488]
 System operacyjny: windows_seven Przeglądarka: firefox
#2
RE: ircbot.gen!k, zaberg.
Uruchom AdwCleaner > Delete > pokaż log.
Podepnij wszystkie pendrive'wy do kompa - uruchom USBFix > Research > pokaż log.
Daj nowy zestaw logów: http://forum.pcformat.pl/WAZNE-Jak-zaloz...ec-WAZNE-t
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#3
RE: ircbot.gen!k, zaberg.
Log z AdwCleaner w załączniku. Natomiast z tym pendrive'em nie da rady bo mam tylko jeden i w dodatku jest u mojej siostryKwaśny
[attachment=36489]

EDIT: Podłączyłem telefon do komputera i przeskanowałem USBFix'em, log w załączniku.
[attachment=36490]
 System operacyjny: windows_seven Przeglądarka: firefox
#4
RE: ircbot.gen!k, zaberg.
To wykonaj program bez pen'a. Dla celów dezynsekcji nie jest konieczny, ale jak jest na nim jakiś szkodnik (a pewnie jest) - to sam rozumiesz, że trzeba będzie dopilnować usunięcia zanim znowu się zainstaluje w systemie.
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#5
RE: ircbot.gen!k, zaberg.
(10.05.2012, 22:31)broda99 napisał(a): To wykonaj program bez pen'a. Dla celów dezynsekcji nie jest konieczny, ale jak jest na nim jakiś szkodnik (a pewnie jest) - to sam rozumiesz, że trzeba będzie dopilnować usunięcia zanim znowu się zainstaluje w systemie.

Zrobiłem bez pen'aOczko Masz log powyżej.
 System operacyjny: windows_seven Przeglądarka: firefox
#6
RE: ircbot.gen!k, zaberg.
1. Masz 4 napędy CD?
2. Uruchom USBFix > Deletion > pokaż log.
3. W OTL, w pole Własne opcje skanowania / skrypt wklej (bez frazy "Kod:"):
Kod:
:OTL
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodsTlbr.dll (facemoods.com)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3389417483-1979645881-297844413-1000\..\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-F7ED0776FB27} - No CLSID value found.
O4 - HKLM..\Run: [facemoods] C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe (facemoods.com)
O4 - HKU\S-1-5-21-3389417483-1979645881-297844413-1000..\Run: [Facebook Update] C:\Users\Andre&Pepol\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKU\S-1-5-21-3389417483-1979645881-297844413-1000..\Run: [Media Finder] "C:\Program Files (x86)\Media Finder\MF.exe" /opentotray File not found
O4 - HKU\S-1-5-21-3389417483-1979645881-297844413-1000..\Run: [MetaBol] C:\Windows\shell.exe File not found
O4 - HKU\S-1-5-21-3389417483-1979645881-297844413-1000..\Run: [windows] C:\Windows\svchost.exe ()
O4 - HKU\S-1-5-21-3389417483-1979645881-297844413-1000..\Run: [zaber0] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe ()
O8:[b]64bit:[/b] - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
O8:[b]64bit:[/b] - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~4\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~4\Office12\EXCEL.EXE/3000 File not found
O33 - MountPoints2\{424ed69c-1d95-11e1-90a7-6cf049a5c2e3}\Shell - "" = AutoRun
O33 - MountPoints2\{424ed69c-1d95-11e1-90a7-6cf049a5c2e3}\Shell\AutoRun\command - "" = J:\AutoRunCardDetector.exe
O33 - MountPoints2\{ba57c30e-1cd9-11e1-9012-6cf049a5c2e3}\Shell - "" = AutoRun
O33 - MountPoints2\{ba57c30e-1cd9-11e1-9012-6cf049a5c2e3}\Shell\AutoRun\command - "" = I:\Autorun.exe
O33 - MountPoints2\J\Shell - "" = AutoRun
O33 - MountPoints2\J\Shell\AutoRun\command - "" = J:\AutoRunCardDetector.exe
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:63238B95
@Alternate Data Stream - 1021 bytes -> C:\Users\Andre&Pepol\AppData\Local\HUBrfR4daiI:erw51Q4NFkuCRq7W606Pr5Q5S
O20 - HKU\S-1-5-21-3389417483-1979645881-297844413-1000 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe ()


:Files
AUTORUN.INF /alldrives
$RECYCLE.BIN /alldrives
RECYCLER /alldrives
C:\Windows\svchost.exe
C:\Users\Andre&Pepol\AppData\Roaming\*.tmp

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]
Kliknij Wykonaj skrypt. Potwierdź restart kompa. Daj log po restarcie + nowy pełny zestaw logów (link - podpis > tu jeszcze jest dużo do zrobienia).
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#7
RE: ircbot.gen!k, zaberg.
Kolejno według punktów w powyższym poście:
1. Mam 1 napęd, a te 3 pozostałe to wirtualne napędy od Daemon Tools.
2. Po kliknięciu "Deletion" wyskakują mi 2/3 komunikaty klikam OK i wszystko znika z pulpitu (tak jakby zakończono proces "explorer.exe") i zawiesza się na 14% i dalej nie idzie.
3. Wkleiłem tak jak kazałeś i kliknąłem "wykonaj skrypt". Komputer się zrestartował. Oto log z OTL'a: [attachment=36491]
 System operacyjny: windows_seven Przeglądarka: firefox
#8
RE: ircbot.gen!k, zaberg.
Pokaż nowe logi OTL, RSIT.
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#9
RE: ircbot.gen!k, zaberg.
Oto nowe logi:
1. RSIT: [attachment=36504][attachment=36506]
2. OTL: [attachment=36505][attachment=36507]
 System operacyjny: windows_seven Przeglądarka: firefox
#10
RE: ircbot.gen!k, zaberg.
W OTL, w pole Własne opcje skanowania / skrypt wklej (bez frazy "Kod:"):
Kod:
:processes
C:\Users\Andre&Pepol\AppData\Roaming\4FC6.tmp

:OTL
IE - HKLM\..\URLSearchHook: {32b29df0-2237-4370-9a29-37cebb730e9b} - C:\Program Files (x86)\FreeSoundRecorder\prxtbFre0.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-3389417483-1979645881-297844413-1000\..\URLSearchHook: {32b29df0-2237-4370-9a29-37cebb730e9b} - C:\Program Files (x86)\FreeSoundRecorder\prxtbFre0.dll (Conduit Ltd.)
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_2_202_235.dll File not found
O2:[b]64bit:[/b] - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll File not found
O2 - BHO: (FreeSoundRecorder Toolbar) - {32b29df0-2237-4370-9a29-37cebb730e9b} - C:\Program Files (x86)\FreeSoundRecorder\prxtbFre0.dll (Conduit Ltd.)
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (FreeSoundRecorder Toolbar) - {32b29df0-2237-4370-9a29-37cebb730e9b} - C:\Program Files (x86)\FreeSoundRecorder\prxtbFre0.dll (Conduit Ltd.)
O3:[b]64bit:[/b] - HKU\S-1-5-21-3389417483-1979645881-297844413-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3 - HKU\S-1-5-21-3389417483-1979645881-297844413-1000\..\Toolbar\WebBrowser: (FreeSoundRecorder Toolbar) - {32B29DF0-2237-4370-9A29-37CEBB730E9B} - C:\Program Files (x86)\FreeSoundRecorder\prxtbFre0.dll (Conduit Ltd.)
O4 - HKU\S-1-5-21-3389417483-1979645881-297844413-1000..\Run: [zaber0] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe ()
O4 - HKU\S-1-5-21-3389417483-1979645881-297844413-1000..\Run: [Hlxwxd] C:\Users\Andre&Pepol\AppData\Roaming\Hlxwxd.exe (with the silence)
O4 - HKU\S-1-5-21-3389417483-1979645881-297844413-1000..\Run: [Mmxwxi] C:\Users\Andre&Pepol\AppData\Roaming\Hlxwxd.exe (with the silence)

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"RGSC"=-
"zaber0"=-
"Hlxwxd"=-
"Mmxwxi"=-

:Files
AUTORUN.INF /alldrives
$RECYCLE.BIN /alldrives
RECYCLER /alldrives
C:\Users\Andre&Pepol\AppData\Roaming\*.tmp
C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3389417483-1979645881-297844413-1000Core.job
C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3389417483-1979645881-297844413-1000UA.job

:Commands
[emptytemp]
[resethosts]
Kliknij Wykonaj skrypt. Potwierdź restart kompa. Pokaż log po restarcie.

Pliki:
C:\Windows\adirasx64.exe
C:\Windows\adiras.exe
Przeskanuj http://www.wirustotal.com > daj linki do wyników.

Napisz jaka sytuacja.
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: firefox
Programy: Polecane / Nowe / Inne



Użytkownicy forum szukali:
zaberg

Podobne wątki (ircbot.gen!k, zaberg.)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Win32:Malware-gen vader00x 1 5560 08.05.2018, 18:44
Ostatni post: morderca
  Wirus Win64:PUP-gen NoLife 16 12284 17.06.2017, 21:20
Ostatni post: NoLife
  VBS: Malware Gen KubaBubaa 1 4976 22.02.2017, 11:31
Ostatni post: broda99

Skocz do:


Wybrane wątki (ircbot.gen!k, zaberg.)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Niebezpieczny niebezpiecznik ptosz 4 4946 03.04.2019 19:24
Ostatni post: ptrick
  Samoistne otwieranie niechcianych stron Google Chrome Cloud 6 4692 03.04.2019 13:47
Ostatni post: Cloud
  Samoistne włączanie się wiersza poleceń po starcie systemu dipladoks.org Corristo 6 8060 02.04.2019 21:35
Ostatni post: morderca
  Samoistne otwieranie niechcianych stron Google Chrome ZooMM 10 10628 19.03.2019 13:11
Ostatni post: ZooMM
  Po starcie systemu włącza się strona z wirusem maciek11991 4 7894 12.03.2019 20:23
Ostatni post: morderca
  Problem z usunięciem Pup.optional i dziwne powiadomienia Java zee84 4 1255 11.03.2019 21:12
Ostatni post: zee84
  Samoczynnie wyłączające się programy - nowy laptop Purrek 0 5088 09.03.2019 20:01
Ostatni post: Purrek
  DuckDuckgo jako główna wyszukiwarka asik121 1 5179 03.03.2019 16:13
Ostatni post: morderca
  Wszystkie połączenia przechodzą przez jeden serwer w Hong Kongu Valath 6 6113 27.02.2019 00:51
Ostatni post: Juntao
  Dr web nie wyleczył pliku neah 3 5732 16.02.2019 06:31
Ostatni post: morderca
  saoistne włączanie się strony przy starcie systemu adams35wawa 2 5494 12.02.2019 12:51
Ostatni post: adams35wawa
  Samoczynne otwieranie się stron internetowych Ziemniak210994 1 4859 09.02.2019 23:15
Ostatni post: morderca
  Dziwne procesy PannaNatalka 1 7698 08.02.2019 20:44
Ostatni post: Juntao
  Przekierowania przeglądarki na niechciane strony. Goalkeper 8 5768 07.02.2019 12:38
Ostatni post: Goalkeper
  Komputer zwolnił. Pomoc w sprawdzeniu logów z FRST wojtekq2 3 5572 06.02.2019 03:08
Ostatni post: Illidan