Wirus Ramnit - Brak dostępu do pendrive

[picasso]

Z poziomu płyty Kasperskiego całkowicie opróżnij ten pendrive i przekopiuj nań co ważne, urządzenie odepnij zanim uruchomisz Windows.

[przemo22]

Dobrze. I jesli chodzi o pliki na pendrive'ie - ppt i pptx w wiekszosci to moge je pierw zgrac, tak?

 

@edit

Juz pytalem, fakt.

 

Nie wiem ile bd to trwalo jeszcze; zostawie kompa na noc i jutro dam logi.

[przemo22]

Nie mam mozliwosci inaczej wrzucic logu, bo w zalaczniku sie nie miesci (wazy 6,6MB), a na pastebin tez jest limit, takze musialem wrzucic na hosting jakis, mam nadzieje, ze to nie problem. Po wejsciu na link widac ze to jest plik .txt.

Z mojego punktu widzenia nie wszystkie wirusy sie usunely, szczegolnie, ze chyba z 3 razy (nie pamietam, bo budzilem sie co jakis czas w nocy i wtedy sprawdzalem co z kompem, takze moj poziom swiadomosci byl niski ) musialem kliknac SKIP, bo inna opcja byla niedostepna, dlatego nie uruchamialem jeszcze Windows'a.

 

http://www57.zippyshare.com/v/8l6D74qT/file.html

 

@edit

Przeskanowalem jednego pendrive, i nagle po zakonczeniu zaczaly mi wyskakiwac powiadomienia "Quarantined file is clean. You are advised to restore it". Same pliki html i htm. Wiec chyba cos tam sie ponaprawialo. Co mam robic dalej?

 

@edit2

Zakupilem nowy dysk. Jutro powinienem go miec. Takze sprawa polowicznie rozwiazana, lecz nie wiem co zrobic z tamtym. Chce zgrac kilka plikow wiec musze uzyc srodowiska kasperskyego, jesli dobrze rozumiem, choc wolalbym po prostu pozbyc sie tamtej infekcji aby moc korzystac z obu dyskow bez formatowania.

[picasso]

@edit2

Zakupilem nowy dysk. Jutro powinienem go miec. Takze sprawa polowicznie rozwiazana, lecz nie wiem co zrobic z tamtym. Chce zgrac kilka plikow wiec musze uzyc srodowiska kasperskyego, jesli dobrze rozumiem, choc wolalbym po prostu pozbyc sie tamtej infekcji aby moc korzystac z obu dyskow bez formatowania.

Nie jestem pewna czy skan Kasperskiego gwarantuje 100% bezpieczeństwa, ani czy leczenie z wirusa plików wykonywanych nie uszkodziło leczonych programów (wymagałyby i tak reinstalacji, dołożona robota). Raport Kasperskiego niby sugeruje, że wszystko się udało, był także wyrzucany plik infekcji moplousq.exe z Autostartu. To może spróbujmy, skoro chcesz uniknąć formatu, uruchom Windows i zrób nowe raporty z FRST i GMER.

[przemo22]

Gdy wlaczam rescue diska wyrzuca powiadomienie ze istnieje jakies zagrozenie. W zakladce report mam 29 plikow ktorych nie da sie wyleczyc ani usunac.

[picasso]

Pokaż te wyniki - zapisz tę część raportu do pliku lub podaj zdjęcie ekranu pokazujące ścieżki dostępu (tak, by było je dobrze widać).

[przemo22]

Przy okazji odkrylem cos smiesznego na dysku - co mnie mam pojecia skad sie w ogole wzielo xd 29 plikow zarazonych. To te, ktorych nie dalo sie ani usunal ani wyleczyc. W ogole za kazdym kolejnym wlaczeniem tego rescue dysk nastepne trwaja dluzej, i czasami nie zalapuje za 1-szym razem lub sie zacina. Chyba plyta jakas lipna.

[picasso]

Skoro skaner nie umie tego usunąć, spóbuj ręcznie z poziomu menedżera plików Kasperskiego (na desktopie płyty jest do niego skrót).

[przemo22]

Taki wlasnie mialem pomysl, ale nie chcialem nic robic na wlasna reke. Usunalem wszystko recznie SHITF+DEL.

 

@edit

Uruchomiłem Windows'a - zrobiłem skan FRST. Chciałem zrobić GMER'em, ale nie rusza. Odinstalowałem sterowinki SPDF i nadal nic. Nie mam pojęcia dlaczego. Także umieszczam póki co logi z FRST.

Shortcut.txt

Addition.txt

FRST.txt

[picasso]

GMER w awaryjnym też nie przechodzi? Jeśli chodzi o to co widać w raportach FRST, to do czyszczenia tylko drobnostki (szczątki infekcji w mapowaniu MountPoints2 i puste skróty zgłoszone w Shortcut).

 

Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S3 ESEADriver2; \??\C:\DOCUME~1\Przemek\USTAWI~1\Temp\ESEADriver2.sys [X]
S3 RivaTuner32; \??\C:\Program Files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner32.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F9FE453B-C190-4756-B966-A4909821B45F}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{AB9F473D-749A-45CF-9AC6-2DC91DA2B928}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8DFDDDFC-9549-4A96-9AF1-58E0DE4E5CB9}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{5F1ED611-A061-4007-BF6C-C1989264D4A1}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{59F7B6C3-E094-45C9-A3C1-CFFEF07D4DA2}
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{30F6A86B-7CCB-4FC8-9055-E3D30D05B532}
C:\Documents and Settings\All Users\Menu Start\Programs\Accessories\Media Center\Media Center Programs\Crysis.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Football Manager 2014.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Codemasters\GRID\Readme.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\HD Tune\HD Tune Manual.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\K-Lite Codec Pack\Help\Frequently Asked Questions.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\League of Legends
C:\Documents and Settings\All Users\Menu Start\Programy\Sony\Vegas Movie Studio Platinum 9.0\Vegas Movie Studio Platinum 9.0 Readme.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Sony\Vegas Movie Studio Platinum 9.0\Video Capture 6.0 Readme.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\This War of Mine
C:\Documents and Settings\All Users\Menu Start\Programy\Ulead VideoStudio 11\CzytajTo.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Warner Bros. Interactive Entertainment\LEGO® Przygoda - Gra Wideo DEMO\Pierwsza pomoc.lnk
C:\Documents and Settings\All Users\Pulpit\Play League of Legends.lnk
C:\Documents and Settings\All Users\Pulpit\This War of Mine.lnk
C:\Documents and Settings\Przemek\xxpoof.exe
C:\Documents and Settings\Przemek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox (*).lnk
C:\Documents and Settings\Przemek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Skype*.lnk
C:\Documents and Settings\Przemek\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WoTBooster.exe.lnk
C:\Documents and Settings\Przemek\Dane aplikacji\Microsoft\PowerPoint\Moje biblioteki slajdów\Pobieranie na C.lnk
C:\Documents and Settings\Przemek\Menu Start\Programy\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition
C:\Documents and Settings\Przemek\Menu Start\Programy\The long Dark ENG 1.36
C:\Documents and Settings\Przemek\Menu Start\Programs\THQ
C:\Documents and Settings\Przemek\Menu Start\Programy\VirtualDJ
C:\Documents and Settings\Przemek\Pulpit\VirtualDJ Home FREE.lnk
C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\GameExplorer\{50C78784-5DFA-46ED-A267-05DBED178AA2}
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

[przemo22]

Wykonane. Zrobiłem log GMER'em w awaryjnym. Podczas robienia logu wyskoczyło mi jakieś powiadomienie z błędem "XXX... brak dysku". Do wyboru miałem anuluj, ponów próbę i kontynuuj. Ponów próbę nie działało, kontynuuj zadziałało po 10 razie. Zamieszczam logi.

 

Jak zamieszczam na forum "gmer.log" to wyskakuje, iż nie mam uprawnień do zamieszczenia tego pliku. Dałem .txt.

gmer.txt

Fixlog.txt

[picasso]

Podczas robienia logu wyskoczyło mi jakieś powiadomienie z błędem "XXX... brak dysku". Do wyboru miałem anuluj, ponów próbę i kontynuuj. Ponów próbę nie działało, kontynuuj zadziałało po 10 razie.

GMER natknął się na nieistniejącą ścieżkę dysku w którymś miejscu rejestru. Jest kilka możliwości. Podobne tematy: KLIK, KLIK. Nie ma się czym przejmować i można sobie odpuścić korekty. W niektórych przypadkach są one nawet niepożądane.

 

 

Jak zamieszczam na forum "gmer.log" to wyskakuje, iż nie mam uprawnień do zamieszczenia tego pliku. Dałem .txt.

Tak, w załącznikach dopuszczam tylko TXT. W instrukcji raportu GMER jest rozmyślnie dobrana opcja Kopiuj a nie bezpośredniego zapisu.

 

 

 

Fix FRST wykonany. Teraz:

 

1. W GMER jest jakiś ukryty moduł "no name". Sprawdź co powie Kaspersky TDSSKiller.

 

2. Jeśli TDSSKiller nic nie wykryje, zastosuj DelFix.

 

3. Na wszelki wypadek przeskanowałabym ponownie dyski jakimś antywirusem.

 

4. W związku z tym, iż Ramnit może wyciągać dane z systemu, prewencyjnie pozmieniaj wszędzie loginy.

[przemo22]

14:18:51.0625 0x0938  Scan finished
14:18:51.0625 0x0938  ============================================================
14:18:51.0625 0x0770  Detected object count: 0
14:18:51.0625 0x0770  Actual detected object count: 0

Przeskanowałem - bez memory coś tam - tak jak w poradniku - i czysto.

Nie mam raczej specjalnie ważnych haseł oprócz FB i bankowości. W bankowości podczas logowań wpisuję tylko kilka liczb z hasła, nie wszystkie - więc chyba jest okej. Co do haseł, to w zasadzie wszystkie mam zapamiętane, żadnych nie wpisywałem.

[picasso]

Myślę, że możemy już kończyć, ale sugeruję jednak przeskanować wszystkie dyski jeszcze raz jakimś antywirusem.

[przemo22]

Jak będę miał wolną chwilę to to zrobię. W takim razie dziękuję za pomoc. Zastosuje jeszcze DelFix'a. Przeskanuje kompa - jak coś wyjdzie, to poproszę o otwarcie tematu. Dziękuje raz jeszcze