Nejdou mi (zničeho nic) otevřít aplikace a RARy

Antivirové programy, firewally, viry, spyware, aktuální hrozby

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Trejvis 9. 1. 2016 21:14

Dobrý večer,
někdy v neděli/pondělí jsem potřeboval stáhnout novější verzi programu a tak jsem začal stahovat. Očividně jsem to stáhl s nějakým virem (nevím přesně kterým) a nyní mi nejdou otevřít některé aplikace a soubory RAR. V internetovém prohlížeči mi to házelo takové ty webovky od virů. Jako např. Vítejte uživateli internetu právě jste byl vybrán do soutěže o nový iPhone 6s atd. Dokonce mi nefunguje AD Block jak by měl. Normálně vidím reklamy a to je AD block zaplý. Při otevírání RAR mi to hodí hlášku: "Systém Windows nemá přístup k určenému zařízení, cestě nebo souboru. K přístupu k položce pravděpodobně nemáte patřičná oprávnění." Což je blbost, protože jsem admin -_-....

Po spuštění systému se mi objeví malé okénko (dříve se to vůbec nezobrazovalo): Nepodporovaná 16bitová aplikace "Program nebo funkci\??\C:\Windows\system32\Icpmncnpvdvk.exe nelze spustit, protože není kompatibilní s 64bitovou verzí systému Windows. Zeptejte se dodavatele softwaru, zda je k dispozici verze kompatibilní s 64bitovým systémem Windows."

Zkoušel jsem stáhnout hned několik antivirů a všechny jsem pozapínal.

Microsoft security essentials.
Malwarebytes Anti-malware
adw cleaner
TFC
ATF cleaner


Efekt se jaksi nedostavil. Počítač jsem i obnovil do bodu obnovy cca do 3.1.2016

Jinak mám Windows 7 x64.

Předem děkuji za rady/tipy/pomoc. Už se v tom pár dní vrtám a nic. Už mi to zkazilo náladu a šediví mi z toho vlasy.
Trejvis
Junior
Uživatelský avatar





Odeslat příspěvekod Trejvis 12. 1. 2016 20:41

*UPDATE* Tak sice se viru zbavím, nicméně se po vypnutí a zapnutí zase objeví. Když použiju program na vyčištění ten combofix tak se vir/y odstraní a krom toho mi z plochy zmizí miniaplikace (mám tam monitory pingu CPU, GPU a jsem na to cca 2-3 roky zvyklý a celkem mě to znervózňuje že je tam najednou nemám). Po zapnutí pc se mi zobrazí okno s povolením Gigabyte Easytune zda tento program může ovlivňovat pc (toto se mi dříve !vůbec! neukazovalo). A pak mi vyskočí další okno cituji: Nepodporovaná 16bitová aplikace. Program nebo funkci \??\C:\Windows\system
3\Icpmncnpvdvk.exe nelze spustit, protože není kompatibilní s 64bitovou verzí systému Windows. Zeptejte se dodavatele softwaru, zda je k dispozici verze kompatibilní s 64bitovým systémem Windows.
To se taky neukazovalo.

Vir je dle mého amarérského názoru někde na základní desce, či někde hluboko na disku v souborech které se načítají hned po spuštění pc. Prostě se objevuje po zapnutí pc z vyplého stavu. Když pc vyčistím a pak uspím a následně vzbudím vše funguje jak má (krom těch miniaplikací na ploše grrr, ty mi zdá se odstranil ten combofix).

Nevíte někdo prosím co teď s tím?

Jinak Windows 7 x64
Základní deska Gigabyte GA-EP43-DS3
A mám 2 HDD disky. Na každém mám Windows 7 ale na jednom je x64 a na druhém asi x32
Trejvis
Junior
Uživatelský avatar

Odeslat příspěvekod mople71 12. 1. 2016 20:51

Administrátor fóra MobilMania.cz a moderátor fóra Živě.cz
Pokud neodpovím do dvou dní, připomeňte se.
mople71
Taťka moderátor
Uživatelský avatar

Odeslat příspěvekod Pytlík 13. 1. 2016 17:10

Předpokládám, že víš, že tyto ozdravné procedury je nutno provádět v nouzovém režimu...
Pytlík
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Trejvis 15. 1. 2016 19:19

http://pastebin.com/z7LXNtNG

Zde je log. Raději poprosím o pomoc někoho kdo tomu rozumí. Mé pokusy byly dost amatérské a neúčinné.
Trejvis
Junior
Uživatelský avatar

Odeslat příspěvekod mople71 15. 1. 2016 19:23

Ještě obsah Addition.txt prosím. ;)
Administrátor fóra MobilMania.cz a moderátor fóra Živě.cz
Pokud neodpovím do dvou dní, připomeňte se.
mople71
Taťka moderátor
Uživatelský avatar

Odeslat příspěvekod Trejvis 15. 1. 2016 21:46

Trejvis
Junior
Uživatelský avatar

Odeslat příspěvekod mople71 15. 1. 2016 22:58

Pfů, to ses měl dostavit hned a nezkoušet to ničit sám, takhle nevím, jestli Ti ten všechen binec dohledám... Všechny kroky provést na jeden zátah, bez jakéhokoli restartu OS! Restart OS můžete provést až po/v posledním kroku.


Krok #1:

Obrázek RKill:

  • Stáhněte si RKill (iExplore.exe).
  • Uložte jej na Plochu, klikněte na něj pravým tlačítkem a zvolte možnost: Obrázek Spustit jako správce.
  • Nechte RKill pracovat. Po dokončení procesu zobrazí log, jehož obsah prosím zkopírujte do následující příspěvku.


Krok #2:

Obrázek FRST - fix:

  • Otevřete Poznámkový blok.
  • Do něj vložte následující skript:
    Kód: Vybrat vše
    Start
    CreateRestorePoint:
    CloseProcesses:

    CustomCLSID: HKU\S-1-5-21-4029138801-3015654703-368071209-1005_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Chylovi\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
    CustomCLSID: HKU\S-1-5-21-4029138801-3015654703-368071209-1005_Classes\CLSID\{38216570-5DB1-45F8-A344-B0C4E252B14B}\InprocServer32 -> C:\Users\Chylovi\AppData\Local\Google\Update\1.3.26.7\psuser_64.dll => No File
    CustomCLSID: HKU\S-1-5-21-4029138801-3015654703-368071209-1005_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Chylovi\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File
    CustomCLSID: HKU\S-1-5-21-4029138801-3015654703-368071209-1005_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Chylovi\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File
    CustomCLSID: HKU\S-1-5-21-4029138801-3015654703-368071209-1005_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Chylovi\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File
    CustomCLSID: HKU\S-1-5-21-4029138801-3015654703-368071209-1005_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Chylovi\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
    Task: {D433BD8F-A51E-4CC7-A467-980AF5D3BC6C} - System32\Tasks\{CCC9FB89-0380-44E2-96CB-86E57528BB89} => Chrome.exe hxxp://ui.skype.com/ui/0/4.2.0.169.259/cs/go/help.faq.installer?LastError=1638
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option => "OptionValue"="1"

    HKLM-x32\...\Run: [] => [X]
    HKLM-x32\...\Run: [mnchvvhSrv] => C:\Windows\inf\mnchvvh.vbe
    HKLM-x32\...\Run: [msaygiSrv] => C:\Windows\SysWOW64\msaygi.vbe [583 2013-12-10] ()
    HKLM-x32\...\Run: [MSStp] => C:\Windows\inf\msstp.vbe
    HKLM-x32\...\Run: [mncnpvdvkSrv] => C:\Windows\SysWOW64\mncnpvdvk.vbe [7670 2014-03-05] ()
    ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} =>  No File
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    HKU\S-1-5-21-4029138801-3015654703-368071209-1005\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
    HKU\S-1-5-21-4029138801-3015654703-368071209-1005\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    URLSearchHook: HKU\S-1-5-21-4029138801-3015654703-368071209-1005 - (No Name) - {33CD02D0-8C93-4926-A2FE-2CE72CE7DF1A} - No File
    SearchScopes: HKU\S-1-5-21-4029138801-3015654703-368071209-1005 -> {8A244612-A1F7-11E0-95C0-E71F4824019B} URL = hxxp://badoo.com/startpage/?source=bsb&q={searchTerms}
    Toolbar: HKU\S-1-5-21-4029138801-3015654703-368071209-1005 -> No Name - {D5D47440-0750-463D-BAEF-A47D02414806} -  No File
    Handler: centrumcztoolbar - {61A97628-7C82-4315-957A-C74C2CDD85DF} -  No File
    FF DefaultSearchEngine,S:
    FF Plugin-x32: @divx.com/DivX Player Plugin,version=1.0.0 -> C:\Program Files (x86)\DivX\DivX Player\npDivxPlayerPlugin.dll [No File]
    FF Plugin-x32: @esn.me/esnsonar,version=0.70.0 -> C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.0\npesnsonar.dll [No File]
    FF Plugin-x32: @esn/esnlaunch,version=1.110.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.110.0\npesnlaunch.dll [No File]
    FF Plugin-x32: @esn/esnlaunch,version=1.118.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.118.0\npesnlaunch.dll [No File]
    FF Extension: BestSSaVeForYou - C:\Users\Chylovi\AppData\Roaming\Mozilla\Firefox\Profiles\75wzo4y6.default\Extensions\aioiagp@hlux-.org [2014-05-26] [not signed]
    FF HKLM-x32\...\Firefox\Extensions: [Cetrumcz@igeared] - C:\Program Files (x86)\CentrumczToolbar\Firefox\Cetrumcz@igeared => not found
    FF HKLM-x32\...\Firefox\Extensions: [k-yyei38i@yeyoiohhvcha.net] - C:\Users\Chylovi\AppData\Roaming\Mozilla\Firefox\Profiles\75wzo4y6.default\extensions\k-yyei38i@yeyoiohhvcha.net => not found
    FF HKLM-x32\...\Firefox\Extensions: [rjnev1mwe@euekt-ehk.org] - C:\Users\Chylovi\AppData\Roaming\Mozilla\Firefox\Profiles\75wzo4y6.default\extensions\rjnev1mwe@euekt-ehk.org => not found
    S3 atillk64; \??\C:\Users\Chylovi\Desktop\ati_winflash_2.0.1.14\atillk64.sys [X]
    S3 cpuz135; \??\C:\Users\Chylovi\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X]
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]

    2015-12-28 22:01 - 2015-12-28 22:07 - 00000016 _____ C:\Windows\system32\w3data.vss
    2015-12-28 22:01 - 2015-12-28 22:07 - 00000016 _____ C:\Windows\system32\msvcsv60.dll
    2015-12-28 18:40 - 2015-12-28 18:40 - 00000000 __HDC C:\ProgramData\{B7072B15-6E80-42FF-A9AE-4E62AF2B2418}
    2015-12-28 18:37 - 2015-12-28 18:37 - 00000000 __HDC C:\ProgramData\{B0CAD5CC-867E-473E-B55F-339F9635A45D}
    2015-12-28 18:35 - 2015-12-28 18:35 - 00000000 __HDC C:\ProgramData\{CB28D9D3-6B5D-4AFA-BA37-B4AFAAAF71B9}
    2015-12-28 18:34 - 2015-12-28 18:34 - 00000000 __HDC C:\ProgramData\{5A23829C-A66E-47B0-AD50-21A3FFE6C325}
    2015-12-28 18:34 - 2015-12-28 18:34 - 00000000 __HDC C:\ProgramData\{30FA7941-4170-4C83-A9A8-FDF01C431704}
    2015-12-28 18:33 - 2015-12-28 18:33 - 00000000 __HDC C:\ProgramData\{95B4F0ED-951F-4D36-B068-5EC1C4C19C14}
    2015-12-27 17:30 - 2015-12-28 18:31 - 00198961 _____ C:\Windows\icm32.exe
    2015-12-29 11:13 - 2015-12-05 13:24 - 00000016 _____ C:\Windows\msocreg32.dat
    2015-12-29 11:13 - 2015-12-05 13:24 - 00000016 _____ C:\ProgramData\autobk.inc
    2010-11-04 18:38 - 2010-08-24 17:48 - 0009747 _____ () C:\Program Files (x86)\skidrow.nfo
    2012-02-17 12:41 - 2012-02-17 12:41 - 0000037 ___SH () C:\Users\Chylovi\AppData\Local\1754111884ee9ab5277ca00.95260103
    2015-05-28 12:39 - 2015-05-28 12:39 - 0000095 _____ () C:\Users\Chylovi\AppData\Local\fusioncache.dat
    C:\Windows\system32\Drivers\kkwmpbkb.sys
    C:\Windows\inf\mnchvvh.vbe
    C:\Windows\SysWOW64\msaygi.vbe
    C:\Windows\inf\msstp.vbe
    C:\Windows\SysWOW64\mncnpvdvk.vbe

    EmptyTemp:
    REG: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
    REG: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
    RemoveProxy:
    CMD: bitsadmin /reset /allusers
    CMD: netsh advfirewall reset
    CMD: netsh advfirewall set allprofiles state ON
    CMD: ipconfig /flushdns
    CMD: netsh winsock reset catalog
    CMD: netsh int ip reset c:\resetlog.txt
    CMD: ipconfig /release
    CMD: ipconfig /renew
    CMD: netsh int ipv4 reset
    CMD: netsh int ipv6 reset
    CMD: winmgmt /verifyrepository
    End
  • Textový soubor uložte na Plochu pod názvem:
  • Ujistěte se, že FRST i fixlist jsou uloženy na Ploše (musí být ve stejném umístění).
    Obrázek
  • Klikněte na FRST na Ploše pravým tlačítkem a zvolte možnost: Obrázek Spustit jako správce.
  • V něm klikněte na tlačítko Obrázek
  • Vyčkejte, až FRST zpracuje požadovaný skript a odsouhlaste restart OS.
  • Po restartu se na Ploše vytvoří fixlog, jehož obsah prosím vložte do následujícího příspěvku.
Administrátor fóra MobilMania.cz a moderátor fóra Živě.cz
Pokud neodpovím do dvou dní, připomeňte se.
mople71
Taťka moderátor
Uživatelský avatar


Odeslat příspěvekod Trejvis 16. 1. 2016 13:34

Přeji hezké odpoledne,

tak už to vypadá jako dřív. Miniaplikace se zobrazily, nicméně nejdou mi stále otevřít RAR soubory. Nejde mi otevřít qTorrent a třeba Guitar rig 5. Nevíte co s tím?

Píše to zase: "Systém windows nemá přístup k určenému zařízení, cestě nebo souboru. K přístupu
k položce pravděpodobně nemáte patřičná oprávnění."

Tohle se mi přesně stalo chvíli po tom co jsem chytil vir. Nešly mi otevřít rary tak se mi to zdálo divné. Nyní problém stále zůstává. Mám zkusit použít ComboFix?

Zde jsou ještě logy:

http://pastebin.com/gQ4YEQcG

http://pastebin.com/MA0D18cH
Trejvis
Junior
Uživatelský avatar

Odeslat příspěvekod Milanr1 16. 1. 2016 14:00

Klient qTorrent obsahuje v sobě exploit.
Co s tím?
1) Obnov zdravý stav OS ze zálohy.
2) Nepoužívej torrenty.
3) Stahuj jen ověřený sw přímo od autora.

-- 16. 1. 2016 13:00 --

Klient qTorrent obsahuje v sobě exploit.
Co s tím?
1) Obnov zdravý stav OS ze zálohy.
2) Nepoužívej torrenty.
3) Stahuj jen ověřený sw přímo od autora.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Další stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků