Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Natrętny RAMNIT/NIMNUL, zarażające się pliki *.exe

MrBartosz

Przez MrBartosz
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

MrBartosz

MrBartosz

Opublikowano
Opublikowano

Witam, mam poważny problem z PC. Dostała się do niego natrętna infekcja, która w żaden sposób nie chce zostać usunięta...

Wirus RAMNIT/NIMNUL zaraża mi pliki *.exe, niektóre programy typu "Gadu Gadu, Skype, uTorrent, foobar2000" nie otwierają się. + w menadżerze procesów widnieje wiele zasosobżernych procesów "IEXPLORE.EXE".

 

 

Za radą pewnego użytkownika innego forum używałem Kaspersky Remove Tool, Dr.Web, wykonywałem skrypty w OTLu oraz używałem nawet Kaspersky Rescue Disk, który o dziwo nic nie zdziałał (Tu może wina starej wersji, w najbliższym czasie przeskanuje nową). Piszę o pomoc do was ponieważ nie mam pojęcia co powinienem teraz zrobić. Pozdrawiam, Bartek.

 

3. Jeżeli gdzieś już prowadzono pomoc na innym forum, obowiązkowo proszę podać link do tematu.
:

Proszę bardzo: http://forum.idg.pl/...je-t211477.html

 

Log z OTL:

http://justpaste.it/pem

 

Extras z OTL:

http://justpaste.it/pen

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Zabrakło obowiązkowego raportu z GMER. Przed jego wykonaniem muszą być zdjęte sterowniki emulacji napędów wirtualnych:

 

DRV - [2012-01-29 20:04:10 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2012-01-28 19:16:50 | 000,218,688 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01)

 

Pytaniem podstawowym jest: jaka jest aktualna sytuacja, czy są znajdowane zainfekowane pliki? Wpis w raporcie z OTL jest "not found", toteż pytam o diagnozę skanera, gdyż niemożność korekty tego wpisu może mieć całkiem inną przyczyną:

 

O20 - HKLM Winlogon: UserInit - (C:\Program Files\vsojqaet\eygvbdnk.exe) -C:\Program Files\vsojqaet\eygvbdnk.exe File not found

 

Od Ramnit jest też conajmniej jeden plik z doklejonym do oryginału suffixem *mgr:

 

[2012-01-29 14:42:26 | 000,152,270 | ---- | C] (PhxTHfAC92HsZob) -- C:\WINDOWS\Explorermgr.exe

 

Widać też inne wady (ale to nie ma znaczenia przy infekcji w wykonywalnych): wątpliwej reputacji program SpyHunter (do deinstalacji) + obiekty adware QuickStoresToolbar (wynik instalacji Unlocker).

 

 

Za radą pewnego użytkownika innego forum używałem Kaspersky Remove Tool, Dr.Web, wykonywałem skrypty w OTLu oraz używałem nawet Kaspersky Rescue Disk (...). Piszę o pomoc do was ponieważ nie mam pojęcia co powinienem teraz zrobić.

 

To jest ten typ infekcji, przy którym bez zastanowienia robić format, gdy nie działają żadne metody leczenia, w tym skaner w środowisku izolowanym. Mówię to jako osoba, która ostatnie co poleca to format. Wykonanie formatu jest obwarowane zastrzeżeniami:

 

- Muszą zostać sformatowane wszystkie dyski, na których są pliki wykonywalne i HTML, nie tylko partycja z Windows. Spis dysków:

 

Drive C: | 19,53 Gb Total Space | 12,14 Gb Free Space | 62,16% Space Free | Partition Type: NTFS
Drive D: | 74,53 Gb Total Space | 10,19 Gb Free Space | 13,68% Space Free | Partition Type: NTFS
Drive E: | 54,99 Gb Total Space | 7,08 Gb Free Space | 12,87% Space Free | Partition Type: NTFS

 

- Z żadnego dysku nie wolno zrobić kopii zapasowej uwzględniającej ten typ plików, po formacie infekcja zostanie odtworzona z kopii zapasowej i wrócisz do punktu wyjścia.

 

 

Kaspersky Rescue Disk, który o dziwo nic nie zdziałał (Tu może wina starej wersji, w najbliższym czasie przeskanuje nową).

 

To jakąż to wersją się posługujesz? Treść sugeruje stary Kaspersky Rescue Disk 2008, w logu widać katalog Kaspersky Rescue Disk 10. A tu masz na forum spis płyt: KLIK.

 

A tu oto pokazowany temat: KLIK. Rozważania o formacie na miejscu.

 

 

 

PS. GrantPerms, Unlocker i podobne można sobie darować przy tej infekcji.

 

 

.

Odnośnik do komentarza
MrBartosz

MrBartosz

Opublikowano
  • Autor
Opublikowano

Pytaniem podstawowym jest: jaka jest aktualna sytuacja, czy są znajdowane zainfekowane pliki? Wpis w raporcie z OTL jest "not found", toteż pytam o diagnozę skanera, gdyż niemożność korekty tego wpisu może mieć całkiem inną przyczyną:

 

O20 - HKLM Winlogon: UserInit - (C:\Program Files\vsojqaet\eygvbdnk.exe) -C:\Program Files\vsojqaet\eygvbdnk.exe File not found

Bootowalna płyta z DrWeb Live CD z aktualną bazą wirusów znalazła mi 580 drobnych i większych infekcji, w tym usunęła to paskudztwo... Kilka godzin spokoju i nasz przyjaciel powrócił. A co do "not found" to zawsze tak było, pliczek był ukryty w tym folderze i nie dało się go zobaczyć.

 

 

- Muszą zostać sformatowane wszystkie dyski, na których są pliki wykonywalne i HTML, nie tylko partycja z Windows. Spis dysków:

 

Drive C: | 19,53 Gb Total Space | 12,14 Gb Free Space | 62,16% Space Free | Partition Type: NTFS

Drive D: | 74,53 Gb Total Space | 10,19 Gb Free Space | 13,68% Space Free | Partition Type: NTFS

Drive E: | 54,99 Gb Total Space | 7,08 Gb Free Space | 12,87% Space Free | Partition Type: NTFS

 

- Z żadnego dysku nie wolno zrobić kopii zapasowej uwzględniającej ten typ plików, po formacie infekcja zostanie odtworzona z kopii zapasowej i wrócisz do punktu wyjścia.

 

Planuje przerzucić pliki wideo oraz muzyki na partycję D(jest ona całym dyskiem fizycznym podczepionym jako drugi). A dysk mający partycję C(systemową) oraz E(pliki wykonywalne oraz html) w pełni sformatować.

 

 

To jakąż to wersją się posługujesz? Treść sugeruje stary Kaspersky Rescue Disk 2008, w logu widać katalog Kaspersky Rescue Disk 10. A tu masz na forum spis płyt: KLIK.

 

Skanowałem KRD 10, i dziwne bo nie znalazł mi tej infekcji.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Planuje przerzucić pliki wideo oraz muzyki na partycję D(jest ona całym dyskiem fizycznym podczepionym jako drugi). A dysk mający partycję C(systemową) oraz E(pliki wykonywalne oraz html) w pełni sformatować.

 

Przeszłabym do dzieła. Nie ma sensu męczyć się i skanować w sytuacji, gdy już tyle podejść było, jest to infekcja skali usprawiedliwiającej format i szczerze mówiąc nigdy tak naprawdę nie wiadomo czy system odzyskał 100% sprawności po dezynfekcji.

 

 

 

.

Odnośnik do komentarza
MrBartosz

MrBartosz

Opublikowano
  • Autor
Opublikowano (edytowane)

Jak mówiłaś tak uczyniłem, format zrobiony. Na razie jest zbyt wcześnie by potwierdzić usunięcie infekcji, ale wygląda obiecująco. PC jest czysty i nie ma ani jednego programu wykraczającego poza podstawowe Windowsa.

Edytowane przez picasso
13.02.2012 - Upłynęło trochę czasu, brak dodatkowych komentarzy, temat uznaję za ukończony. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...