MBAM wykrywa Trojan.FakeMS.ED - system zamula.

[Arturowski]

Witam,

mam problem z nawracajaca infekcja tego wirusa. MBAM wykrywa go w plikach systemowych.

Windows update nie pobira aktualizacji, jakby stanal w miejscu.

System zamula, strony dlugo sie laduja.

Prosze o pomoc.

GMER.txt

FRST.txt

Shortcut.txt

Addition.txt

Edytowane 10 Listopada 2016 przez Rucek

[jessica]

HKLM\...\Winlogon: [userinit] C:\Windows\system32\userinit.exe,C:\Program Files\iciufhri\qiahphbv.exe,

Czy te wykrycia MBAM dotyczą plików *.exe ?

Jeśli tak, to sprawa jest przegrana.

Nazwa wirusa wyleciała mi z głowy (chyba RAMNIT/NIMNUL), ale pamiętam, że najlepszym sposobem jest sformatowanie dysku.

To nie jest zalecenie - nie mam tu uprawnień do dawania takiego przykrego zalecenia.

 

EDIT:

Innym  sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze >https://www.fixitpc.pl/topic/102-plyty-startowe-ze-skanerami/ (np. Kaspersky Rescue Disc)

 

jessi

 

[Arturowski]

Tak, sa to pliki exe. Mialem juz do czynienia z Ramnitem i udalo sie go wykurzyc za pomoca wlasnie bootowalnej plytki. Teraz jednak problem jest taki, ze vista nie widzi w ogole napedu dvd. KVRT wywala blad ze nie jest prawidlowa aplikacja systemu. MBAM teraz juz w ogole nie wykrywa wirusa w pliku qiahphbv.exe

[jessica]

 KVRT wywala blad ze nie jest prawidlowa aplikacja systemu. MBAM teraz juz w ogole nie wykrywa wirusa w pliku qiahphbv.exe

KVRT pewnie został natychmiast zarażony.

MBAM pewnie też.

Czarno to widzę.

 

jessi

[Arturowski]

Udalo mi sie odpalic plyte z Kasperskym, pliki exe i dll wyleczyl, reszte usunalem. Dwa ostatnie skanowania nie wykryly juz wirusa, daje jednak nowe logi, zeby sie upewnic.

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

daje jednak nowe logi, zeby sie upewnic.

W logach nie będzie nigdy widać, czy pliki są zarażone, czy nie - musimy polegać na Kaspersky'm.

 

Otwórz Notatnik i wklej w nim:

 

 

HKLM\...\Winlogon: [userinit] C:\Windows\system32\userinit.exe,C:\Program Files\iciufhri\qiahphbv.exe,

Task: {58DE73AA-45E9-4421-89AE-1D86766C7681} - \Driver Booster SkipUAC (Artur) -> Brak pliku <==== UWAGA

Task: {F3A2F15E-4387-41C5-B4D4-D92ED12C6F83} - \Driver Booster Scheduler -> Brak pliku <==== UWAGA

RemoveDirectory: C:\Program Files\iciufhri

S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]

S3 IpInIp; system32\DRIVERS\ipinip.sys [X]

S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]

S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\More....lnk

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

jessi

[Arturowski]

Wyglada na to ze sytuacja opanowana, martwi mnie tylko MBAM ktory niby jest wlaczony, widnieje w procesach, jednak nie ma jego ikonki w trayu. W miedzy czasie wykonam jeszcze skan Dr.Web.

Fixlog.txt

FRST.txt

[jessica]

W nowym logu nie widzę już niczego podejrzanego.

 

wykonam jeszcze skan Dr.Web

 

To bardzo dobry pomysł.

 

jessi

[Arturowski]

Skan nic nie wykazal, dzieki za pomoc!