Wirus Ramnit - Brak dostępu do pendrive

[przemo22]

Witam. Wiedziałem, ze mam zawirusowanego pendrive'a, ponieważ u znajomego Avast wykrył parę rzeczy (autorun.inf itd.). Kiedy zgrał mi coś na swojego pendrive'a, od razu pojawił się na nim owy plik oraz folder RECYCLER - jako iż, wolę naprawić coś sam, amatorsko, ale na własną rękę, odpaliłem MBAM'a i przeskanowałem pendrive. Wykrył parę rzeczy, usunął itp. Po tym zabiegu nie mam dostępu do pendrive. Ogólnie, w całym systemie wykrył dużo "ramnit'ów", ale już nie chciałem ich usuwać, bo uznałem że znowu popsuję więcej niż naprawię. Załączam logi z FRST i jeden z MBAM'a (ten, który utworzył się po skanowaniu pendrive).

 

P.S Ten MBAM jest w miarę ok - czy to zwykły syf, który dużo robi - a naprawdę nic? Bo co chwilę wykrywa mi w co drugiej aplikacji tego ramnit'a + przy skanowaniu zabiera 98 zużycia procesora. Jaką aplikację mogłabyś polecić w tym stylu - najlepiej, żeby nie było go czuć, że w ogóle pracuje w tle?

 

@edit

Musialem cofnac dzialanie MBAM'a bo mi nie dzialal np. WINRAR :|

1mb.txt

Shortcut.txt

Addition.txt

FRST.txt

[picasso]

P.S Ten MBAM jest w miarę ok - czy to zwykły syf, który dużo robi - a naprawdę nic? Bo co chwilę wykrywa mi w co drugiej aplikacji tego ramnit'a + przy skanowaniu zabiera 98 zużycia procesora. Jaką aplikację mogłabyś polecić w tym stylu - najlepiej, żeby nie było go czuć, że w ogóle pracuje w tle?

(...)

Musialem cofnac dzialanie MBAM'a bo mi nie dzialal np. WINRAR :|

MBAM jest jak najbardziej OK, choć akurat pod zadanie tutaj mniej pasuje, bo nie jest programem stricte antywirusowym. Problemem nie jest tu jednak program skanujący tylko okropna infekcja grasująca w systemie. Pendrive załatwił system i to w takim stopniu, że będzie ciężko się z tego wykaraskać. Ramnit to wirus plików wykonywalnych - atakuje wszystkie pliki tego rodzaju na wszystkich dyskach. Ten niedziałający WinRAR dlatego, bo WinRAR jest już zniszczony / zawirusowany (podobnie jak inne programy) i MBAM musiał usunąć plik z wirusem. Użycie Przywracania systemu było tu niezasadne, bo przywróciłeś zawirusowane pliki, to zresztą jest zupełnie nieskuteczne i nie pomoże zlikwidować wirusa. Ta infekcja ma kierunek na kompleksowy format dysku. Jest tu sporo partycji, wszystkie są pod radarem infekcji:

 

==================== Drives ================================
 

Drive c: () (Fixed) (Total:29.29 GB) (Free:3.5 GB) NTFS

Drive e: () (Fixed) (Total:97.65 GB) (Free:3.66 GB) NTFS

Drive f: () (Fixed) (Total:19.53 GB) (Free:0.34 GB) NTFS ==>[Drive with boot components (Windows XP)]

Drive g: () (Fixed) (Total:86.33 GB) (Free:9.19 GB) NTFS

 

Infekcja jest bardzo uporczywa i trudno ją zatrzymać spod działającego Windows. Jeśli podejmujesz walkę, to zrób skan wszystkich partycji po kolei z poziomu środowiska zewnętrznego Kaspersky Rescue Disk. Wszelkie zainfekowane pliki leczyć, a gdy się nie uda wyrzucać. Nie wolno zostawić ani jednego pliku z genem Ramnit, gdyż jego przypadkowe uruchomienie rozpocznie cykl infekcji na nowo. Po operacji mogą pozostać uszkodzone programy i pliki Windows, programy trzeba będzie reinstalować na nowo ze świeżych instalotorów, z plikami Windows gorzej. Nie wiadomo jak szeroki jest tu zakres infekcji, ani czy Kaspersky pomoże. Poza tym, w przypadku infekcji wykonywalnych i tak zawsze jest sugerowany format, nawet jeśli uda się infekcję zatrzymać. Powód jest następujący: zakres szkód w plikach jest niemożliwy do oceny, mogą pozostać uszkodzenia, które wyjdą na jaw dopiero w późniejszym terminie.

[przemo22]

I chyba zostanę przy formacie, a nawet miałem w zamiarach kupować nowy dysk twardy, więc nie będę się musiał bawić. Pytanie, czy po podłączeniu dwóch dysków do komputera - ten wirus nie zarazi plików na drugim dysku? Bo chciałbym poprzenosić chociaż zdjęcia z tamtego dysku.

[picasso]

Jest niebezpieczeństwo, że wirus "przeskoczy" na kolejny podpięty dysk, jeśli są na nim jakiekolwiek pliki wykonywalne. Najbezpieczniej byłoby zrobić przerzut danych typu zdjęcia, gdy Windows nie jest załadowany. Tzn. wyłączasz komputer, podpinasz dyski, bootujesz płytę Kaspersky Rescue Disk (nie uruchamiasz zainfekowanego Windows!), za pomocą menedżera plików Kasperskiego kopiujesz dane na te dyski, wyłączasz kompa i odpinasz dyski.

 

Oczywiście nie zapomnij sformatować pendrive...

[przemo22]

To pewnie tak zrobię, ale narazie muszę kupić ten dysk, a teraz męczyć się z tym zawirusowanym systemem. A co z takimi rzeczami jak Konta Bankowe - można spokojnie wchodzić?

[picasso]

Nie, nie jest bezpieczne wykonywać czynności związane z czułymi danymi, ani logować się - Ramnit jest zdolny wykradać hasła (poświadczenia logowania w bankach, serwisach społecznościowych, FTP, etc.) oraz robić zrzuty ekranu. Poza tym, skoro zakup dysku się odciąga, to jednak nie zwlekaj ani chwili dłużej i natychmiast zrób skan z płyty Kasperskiego (wszystkie partycje!), gdyż im dłużej działa Windows, tym większe szkody.

 

Zapomniałam napisać: nie wolno Ci przekopiować także plików HTM / HTML - to również pliki infekowane przez Ramnit.

[przemo22]

W porządku. Kupię płytę, nagram to .iso i przeskanuje. Chyba, ze jest jakas opcja bez płyty?

Aha - nie używałem Przywracania systemu tylko w MBAM opcję Restore.

[picasso]

Kaspersky może także bootować z USB: KLIK.

[przemo22]

Okej. To wrzucę to na pendrive i odpalę.

 

@edit

Albo i nie wrzucę, bo "M: Odmowa dostępy".

[picasso]

Ten pendrive, który jest zainfekowany, nie może być wykorzystany do operacji w stanie obecnym.

[przemo22]

W porzadku, kupilem juz plyte i wlasnie jestem w trakcie skanowania - Kaspersky ma przegladarke wbudowana, to chociaz moge napisac post (tyle ze bez polskich znakow). Do jutra chyba zejdzie z tym skanowaniem ;\ Co chwile wykrywa jakiegos wirusa - od Trojan-Dropper do win32-nimus czy cos tam. Skonczy sie skanowanie, to zamieszcza log (o ile sie wytworzy, bo nie wiem).

[picasso]

Co chwile wykrywa jakiegos wirusa - od Trojan-Dropper do win32-nimus czy cos tam.

Nimnul to kolejna nazwa kodowa na elementy Ramnit.

[przemo22]

O wlasnie, Nimnul. W wiekszosci wykrywa wlasnie te. Juz doszlo do 21h, masakra.. to bedzie na prawde tak dlugo skanowac? Wykrylo juz prawie 3000 syfu..

 

A, i na poczatku mialem do wyboru dwa systemy operacyjne. Musze przeskanowac osobno oba? Wgralem kiedy jeden w celu naprawy przez przypadek bez formatowania partycji, a w ogole wgral sie na inna, to nie usuwalem. A po ten co nie dzialal zaczal dzialac..

[picasso]

Niestety skan będzie trwał długo, a ilość wykrytych elementów idąca już w tysiące nie wróży dobrze. Wykaż cierpliwość, bo z tego zawirusowanego systemu i tak nie możesz korzystać.

 

Jeśli chodzi o więcej niż jeden "system operacyjny", to Kasperskiemu jest to potrzebne do skanu rejestru (montowanie gałęzi wykrytych systemów). Interesuje Cię tylko system bieżący, a wszystkie partycje dysku i tak trzeba przeskanować.

[przemo22]

Z tego co dostrzeglem, to wiekszosc zarazonych plikow to .exe i .dll roznych aplikacji, raczej zadnych zmian bezposrednio w plikach systemowych. Inne pliki to jak pisalas html i htm. Po "wyjsciu" skanera z dysku systemowego, ilosc zarazonych plikow praktycznie nie rosnie. A, i czas spadl do 4 godzin - na szczescie.

A, i co z tymi pendrive'ami - bo mam 2, ktore sa zarazone, jeden moj, jeden kumpla (ktory podlaczyl go do swojego komputera, ale avast wykryl wirusa, wiec go odlaczyl - byla szansa na zarazenie?), i inna osoba rowniez podlaczal swojego pendrive do mojego komputera, to juz jej dalem znac zeby nie podlaczala tego do swojego komputera.

[picasso]

Pendrive też podepnij podczas pobytu w środowisku Kasperskiego - jeśli wykryje urządzenie, wskaż je w skanerze Kasperskiego.

[przemo22]

A jesli chodzi o znajomego, mogla przejsc na niego infekcja?

[picasso]

Nie wiem czy Avast zareagował dostatecznie wcześnie.

[przemo22]

A wiec, sa jakies widoczne objawy infekcji? W moim wypadku nie bylo widac, zeby cokolwiek sie dzialo, moze lekkie zwolnione dzialanie systemu, ale raczej nie zauwazalne.

 

@edit

Moge pozgrywac pare plikow z pendrive? Bo mam tam kilka waznych prezentacji.

[picasso]

A wiec, sa jakies widoczne objawy infekcji? W moim wypadku nie bylo widac, zeby cokolwiek sie dzialo, moze lekkie zwolnione dzialanie systemu, ale raczej nie zauwazalne.

Znajomy powinien na wszelki wypadek wykonać pełny skan antywirusowy.

 

 

Moge pozgrywac pare plikow z pendrive? Bo mam tam kilka waznych prezentacji.

Możesz, o ile nie są to pliki wykonywalne i HTML.

[przemo22]

Okej. Po zakonczeniu skanowania i finalizacji dzialania Kaspersky'ego moge normalnie wlaczyc system?

[picasso]

Na pewno przeskanowałeś wszystkie partycje oraz pendrive? Czy wszystkie wykrycia zostały zniwelowane? Czy zabezpieczyłeś dane, które chciałeś kopiować? Jeśli wszystkie warunki spełnione, to uruchom Windows i zrób nowy zestaw logów FRST (wszyskie trzy) oraz GMER.

[przemo22]

Czy zabezpieczyłeś dane, które chciałeś kopiować?

 

W jaki sposob? Kaspersky nie skonczyl jeszcze pracowac, ale juz jest ostatni etap.

[picasso]

Chodzi mi o ich przekopiowanie z poziomu płyty Kaspersky na jakiś zewnętrzny nośnik zanim uruchomisz Windows. Wspominałeś wcześniej o podpinaniu drugiego dysku, potem wyszło na jaw, że zakupy dopiero "w toku", to czy masz w ogóle gdzie nagrać dane (może jakać płyta DVD)?

[przemo22]

A wchodzi w gre wgranie tych plikow na pendrive po przeskanowaniu i wyczyszczeniu go? Bo innej opcji nie posiadam raczej.. moze jakas plyta by sie znalazla ostatecznie,

Jesli chodzi o zdjecia na komputerze, to nie zmiescilby sie na jednej plycie - potrzebowalbym ich chyba z 3-4.