Ramnit.a

[bialykaszalot]

pobrałem jakiś plik i wdarł mi się wirus win32/ramnit.a na necie czytałem że szkodliwy ;x od razu załączyłem antywirusa. znalazło kilka zarażonych plików ale nie jestem pewny czy nadal tam nie siedzi. pomoże ktoś? logi otl w załączniku.

OTL.Txt

Extras.Txt

[picasso]

Zamiast pisać bezużyteczne posty podbijanki (usuwam) zainteresuj się zasadami działu, które definitywnie nie zostały przeczytane: KLIK. Tam jest na temat: cierpliwości (nikt tu nie siedzi 24/7 i pisanie postów o treści "błagam" nic nie przyśpieszy) oraz zestawu obowiązkowych raportów. W skład obowiązkowych raportów wchodzą FRST i GMER.

 

Ponadto, objaśnij w czym wykryty był ten Ramnit, w jakich plikach.

 

 

.

[bialykaszalot]

Został wykryty przez avg w plikach gry(metin2 prywatny serwer alien2). od razu po pobraniu chciałem wypakować ale avg wyświetlił mi komunikat że są tam wirusy ramnit.a więc sprawdziłem co to za wirus i się zaniepokoiłem. zaraz wrzucę logi.

 

/edit. FRST zrobiony.

FRST.txt

Addition.txt

[picasso]

Czekam jeszcze na GMER dla świętego spokoju, że wszystko zweryfikowane. Nie widzę tu jawnych oznak infekcji, ale raporty są bardzo wąskie i przy podejrzeniu wirusa w wykonywalnych (takim jest Ramnit) tylko skan antywirusowy może być dowodem. Z tego co rozumiem, to był skompresowany plik z grą, którego nie dało się wypakować, gdyż AVG zablokował? Toteż może rzeczywiście do niczego nie doszło.

 

1. Tę paczkę z grą przez SHIFT+DEL skasuj z dysku, skoro antywirus zgłasza zastrzenia. Nie warto ryzykować, bo gdyby doszło rzeczywiście do infekcji Ramnit, to się zwykle kończy radykalnym formatem dysku.

 

2. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

3. Drobne korekty wpisów pustych. Otwórz Notatnik i wklej w nim:

 

AppInit_DLLs: [ ] ()
SearchScopes: HKLM - DefaultScope value is missing.
S3 vtany; \??\C:\WINDOWS\vtany.sys [x]
S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [x]
C:\Documents and Settings\All Users\1f25bed819dd
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Ściągnij zawartość wideo FLV przez IDM" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

.

[bialykaszalot]

tzn. gdy chciałem wypakować klienta gry wyskoczyło mi okienko z avg w którym było napisane że folder jest zawirusowany wirusem win32/ramnit.a. zignorowałem to, wypakowałem i chciałem już włączyć grę gdy naglę wykryło mi 6-7 wirusów w folderze z grą od razu je usunąłem, pobrałem MBAM ale on nic nie wykrył.

GMER zaraz dam, przy pierwszej próbie skanu wyłączył się. 

 

/edit. GMER gotowy. zrobię teraz to z FRST

/edit. po użyciu tego programu "TFC - Temp Cleaner" strasznie zwolnił mi komputer. użycie procesora waha się od 10% do 20% sam komputer włączał się ok. 3-4 minut. :x

/edit. FRST gotowy.

GMER.txt

Fixlog.txt

[picasso]

Skrypt do FRST wykonany poprawnie.

 

tzn. gdy chciałem wypakować klienta gry wyskoczyło mi okienko z avg w którym było napisane że folder jest zawirusowany wirusem win32/ramnit.a. zignorowałem to, wypakowałem i chciałem już włączyć grę gdy naglę wykryło mi 6-7 wirusów w folderze z grą od razu je usunąłem, pobrałem MBAM ale on nic nie wykrył.

Skąd ta paczka pochodzi, jakieś nieoficjalne źródło? I do wykrywania wirusów jest antywirus, MBAM ma nieco inną orientację. Czyli tu pełny skan AVG należy dla pewności zrobić.

 

 

/edit. po użyciu tego programu "TFC - Temp Cleaner." strasznie zwolnił mi komputer. użycie procesora waha się od 10% do 20% sam komputer włączał się ok. 3-4 minut. :x

To nie po użyciu TFC, tylko po skanie GMER, a wyszło na jaw dopiero po restarcie wymuszanym przez TFC. GMER zdegradował transfer dysku z DMA do PIO. Do wdrożenia ustęp Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

 

 

.

[bialykaszalot]

klient gry pochodzi z forum o grach itd. wiele osób zostało zarażone tym wirusem. użytkownik który zrobił serwer niby podał skan plików ale zapewne były fałszywe. 

 

co do GMER'a. jeśli nie zrobię tego co jest tutaj napisane (klik.) to coś się zepsuję? czy jeśli to zrobię to mogę coś uszkodzić?

http://screenshu.com/static/uploads/temporary/gm/q3/4a/k0m3fg.jpeg tak to ma być ustawione? 

 

zatwierdziłem, zrestartowałem i nic :/ w pomocniczym kanale zmienił się bieżący tryb transferu z pio na ultra DMA tryb 4. na podstawowym się nie zmienił.

[picasso]

Nie mogę tego obrazka otworzyć.

 

 

co do GMER'a. jeśli nie zrobię tego co jest tutaj napisane to coś się zepsuję? czy jeśli to zrobię to mogę coś uszkodzić?

O co konkretnie pytasz? O który fragment instrukcji?

 

 

zatwierdziłem, zrestartowałem i nic :/ w pomocniczym kanale zmienił się bieżący tryb transferu z pio na ultra DMA tryb 4. na podstawowym się nie zmienił.

Czy odinstalowałeś także Podstawowy kanał IDE, na którym jak mówisz zmiany się nie dokonały? Każdy kanał musi być deinstalowany z osobna.

 

 

 

.

[bialykaszalot]

http://scr.hu/0for/0jw8f źle link podałem, przepraszam :/

 

Czy odinstalowałeś także Podstawowy kanał IDE, na którym jak mówisz zmiany się nie dokonały? Każdy kanał musi być deinstalowany z osobna

tzn. że muszę po kolei przestawiać te tryby? najpierw na pierwszym, zrestartować komputer a potem na drugim?

[picasso]

Wg obrazka należy odinstalować Podstawowy kanał IDE i zresetować system. Po restarcie zaś potwierdzić czy w linii "Bieżący tryb transferu" PIO zmieniło się w DMA.

 

 

.

[bialykaszalot]

trochę niekumaty jestem :/ chodzi ci o to aby kliknąć na podstawowy kanał IDE PPM i kliknąć odinstaluj? :x

[picasso]

Tak, przecież o tym cały czas mówimy.

[bialykaszalot]

dobra, udało się! dziękuję ci bardzo! :3 jeszcze mam do ciebie 1 pytanie. czy da się jakoś przeskanować dość duży plik "poza" komputerem? gość który wstawił tego wirusa do klienta gry niby go usunął. chciałbym jakoś zobaczyć czy aby na pewno.

[picasso]

Na zakończenie: przez SHIFT+DEL (omija Kosz) skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie.

 

czy da się jakoś przeskanować dość duży plik "poza" komputerem? gość który wstawił tego wirusa do klienta gry niby go usunął. chciałbym jakoś zobaczyć czy aby na pewno.

Nie rozumiem co to znaczy "poza komputerem": konkretny link chcesz skanować? A paczka w ogóle niepewna i ja bym już się tym nie interesowała. Nie warto ryzykować.

 

.