Skocz do zawartości

Ramnit po raz trzeci


Rekomendowane odpowiedzi

Witam, znów złapałem ramnita. Zainfekowane są 2 pendrivy i karta micro sd w modemie. Problem jest o tyle poważny, że nie mam możliwości odpalenia bootowalnej płyty z Kasperskym (uszkodzony napęd), która ratowała mnie podczas wcześniejszych infekcji ramnit. Jeszcze raz, bardzo proszę o pomoc.

 

Edit:

KVRT nie poradził sobie z infekcją, prawdopodobnie sam został zarażony. U kolegi przygotowałem bootowalny pendrive z Kasperskym Rescue, niestety nie działa (nie bootuje). Spróbowałem na innym pendrivie, taki sam efekt.

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Raporty FRST nie nadają się do pełnej oceny stanu zainfekowania dysków wirusem Ramnit. One mogą tylko wykazać, czy jest wpis rozruchowy wirusa (w Twoim przypadku wydaję się, że jest*). Ramnit to okropna infekcja, której bez wsparcia bootowalnego narzędzia antywirusowego nie wyleczę. Mogę co prawda usuwać infekcję właściwą w całości, lecz jakikolwiek kontakt z uruchomieniem pliku wykonywalnego (czyli nawet przeglądarki!) zakończy się reinfekcją. 

 

Schemat dezynfekcji jest następujący:

  • Eliminacja infekcji Ramnit z poziomu bootowalnego.
  • Skanowanie wszystkich dysków i leczenie plików do wyniku zero infekcji.
  • Kontrola raportów, ewentualnie dalsze kroki.

To scenariusz niezalecany, nigdy nie uczono mnie by to próbować leczyć. Najlepszy na ten typ wirusa jest kompleksowy format wszystkich dostępnych dysków stałych (widoczne u Ciebie są 2) oraz przenośnych.

 

Napisz na co się decydujesz, czy na kompleksowy format dysków (zalecane), czy na dezynfekcję systemu (niezalecane). Oczywiście wszystkie pliki niewykonywalne będziesz mógł ze sobą zabrać - reszta do kasacji, ewentualnie leczenia. Piszesz, że to już trzeci raz - widzisz nie wszystko wyleczone, - jeden kontakt z plikiem wykonywalnym wystarczy.

 

P.S: Niektóre pliki mogły (raczej są takie u Ciebie) zostać poważnie uszkodzone i ja nie jestem w stanie ich naprawić - są do kasacji. 

Nawet ja nie trzymam nigdzie tych szczepów wirusa - to ryzykowane nawet na VM, raz przyszło mi to na system pomimo dobrej izolacji. Niestety, ale to z mojej nie uwagi kopia pliku wykonywalnego została uruchomiona na właściwym systemie. 

 


 

* - C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hyxebmrt.exe

 

Dla pewność (tzn. nie łudziłbym się o to, że to jednak nie to ścierwo :() jednak, że to Ramnit poproszę o analizę tego pliku w usłudze VirusTotal.com oraz Jotti. Po zakończonej procedurze z paska adresów URL skopiuj link i dołącz go do posta.  

Odnośnik do komentarza

Pliku hyxebmrt.exe nie ma już na C, po restarcie się nie odnowił. Laptop jakby odmulił, jednak wiem ze ten syf za chwile może wrócić, dlatego mam pytanie. Na laptopie jest ukryta partycja recovery, czy przywrócenie z niej systemu załatwi sprawę? Jak już wspomniałem, nie działa napęd dvd, tak więc wszelkie zabiegi typu live cd odpadają. Bardziej zastanawia mnie, czemu nie działa bootowanie z pendriva (wcześniej wszystko szlo sprawnie). Dodaje nowe logi po trzecim skanowaniu KVRT.

 

Edit:

 Udało mi się załatwić Dr Web Cureit na pendrivie. Wykonałem 3 skany, ostatni nie wykrył już żadnego zainfekowanego pliku ramnitem.

Proszę o sprawdzenie nowych logów.

gmer.txt

FRST.txt

Shortcut.txt

Addition.txt

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...