Avast wykrywa vbs:exedropper-gen i ramnit-f

olaboo · 16 Listopad 2010 01:02

Dostaję ostrzeżenie ,pojawia sie cały czas.co trzeba zrobic aby sie tego pozbyć.Czytałem poradnik zakładania tematów ale jest dośc stary.Z jakich programów wkleić logi…daję printscreen i log z OTL.Proszę o uwagi i wskazówki dotyczace posta(to mój pierwszy i pewnie coś spieprzę)

OTL log

http://wklej.to/9IXd

Dziąkuję.

jessica · 16 Listopad 2010 07:43

OTL zrobił dwa logi - gdzie jest drugi?

RAMNIT/NIMNUL to paskudny wirus, zarażający wszystkie pliki \ *.exe i \ *.html ,

Użyj KVRT >http://www.dobreprogramy.pl/Kaspersky-Virus-Removal-Tool,Program,Windows,12768.html

Jeśli wirus zablokował oficjalną stronę, to pobierzesz z linku zapasowego >http://www.zshare.net/download/78865179ab5e60af/

Skan KVRT trwa wiele godzin (nawet do 40!), i na dodatek będziesz musiał te skany powtarzać wielokrotnie, dotąd, aż nic nie będzie wykrywał.

Jeśli zostanie choćby jeden zarażony plik, to infekcja odrodzi się .

.

olaboo · 16 Listopad 2010 12:17

Dobra daję 2 logi z OTL

http://wklej.to/7toU

przeskanowałem system z KVRT cos tam usunął ale dalej mi wykrywa exe droppera i ramnita.

Aha-jesli skanuję Kasperskim to przy starcie mam opcje “ukryte obiekty startowe”+“pamięć systemowa”+“sektory startowe dysków”

Czy mam zaznaczyć coś jeszcze? np mój komputer,moje dokumenty itp?

Sorry za lamerskie pytania ale nie mam pojecia o tym.

jessica · 16 Listopad 2010 13:05

Nie mam w tej chwili zainstalowanego KVRT, i nie pamiętam, co tam trzeba zaznaczyć, więc trudno mi odpowiedzieć w tej chwili na to pytanie.

Masz kilka róznych infekcji.

Być może wszystkie je usunie KVRT, ale w przerwie między skanami zrób to:

Start > Uruchom > wybierz (lub wpisz) regedit i w kluczu:

w okienku po prawej zaznacz: Startup >prawoklik >Modyfikuj> w okienku, które wyskoczy wklej:

Zatwierdź.

Uwaga: Jeśli jest tam taki sam wpis, to nie musisz wklejać tego powyższego, a możesz od razu przejść do punktu nr 3.

Zrestartuj komputer.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL SRV - [2010-01-07 23:51:02 | 000,380,928 | ---- | M] (Spigot, Inc.) [Auto | Running] – C:\Program Files\Application Updater\ApplicationUpdater.exe – (Application Updater) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Documents and Settings\MasterAdmin\cpuxp.sys – (cpuxp) DRV - [2010-11-16 11:38:30 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\utm3mtq4.sys – (utm3mtq4) DRV - [2010-08-16 14:31:26 | 000,016,472 | ---- | M] () [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\pwdrvio.sys – (pwdrvio) DRV - [2010-08-16 14:31:22 | 000,011,104 | ---- | M] () [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\pwdspio.sys – (pwdspio) IE - HKU\S-1-5-21-1801674531-412668190-2147013945-500…\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\SearchSettings.dll (Spigot, Inc.) O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - No CLSID value found. O2 - BHO: (SearchSettings Class) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\SearchSettings.dll (Spigot, Inc.) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found. O3 - HKU\S-1-5-21-1801674531-412668190-2147013945-500…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKLM…\Run: [searchSettings] C:\Program Files\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKU\S-1-5-21-1801674531-412668190-2147013945-500…\Run: [{14BBF6C1-02F9-796B-3FBE-343470F7D530}] C:\Documents and Settings\MasterAdmin\Dane aplikacji\Ovgiab\octio.exe File not found O4 - HKU\S-1-5-21-1801674531-412668190-2147013945-500…\Run: [{C64CCBF9-94F1-82F5-C44B-AD2B29ACDC68}] C:\Documents and Settings\MasterAdmin\Dane aplikacji\Adsiez\byaf.exe (AIMP DevTeam) O4 - HKU\S-1-5-21-1801674531-412668190-2147013945-500…\Run: [ccleaner] C:\Program Files\CCleaner\ccleaner.exe (Piriform Ltd) O4 - HKU\S-1-5-21-1801674531-412668190-2147013945-500…\Run: [Yraregobeyey] C:\WINDOWS\sintalcl.DLL File not found O4 - Startup: C:\Documents and Settings\All Users\My applications\setup_9.0.0.722_16.11.2010_10-15.lnk = C:\Documents and Settings\MasterAdmin\Pulpit\Virus Removal Tool\setup_9.0.0.722_16.11.2010_10-15\startup.exe () O4 - Startup: C:\Documents and Settings\All Users\My applications\sishzm32.exe () O4 - Startup: C:\Documents and Settings\All Users\My applications\winword.exe.lnk = C:\WINDOWS\System32\winword.exe File not found O33 - MountPoints2{f9a67e06-efbb-11dd-888b-001d7dd2a8a0}\Shell\AutoRun\command - “” = D:\hdbifxd.exe – File not found O33 - MountPoints2{f9a67e06-efbb-11dd-888b-001d7dd2a8a0}\Shell\explore\Command - “” = D:\hdbifxd.exe – File not found O33 - MountPoints2{f9a67e06-efbb-11dd-888b-001d7dd2a8a0}\Shell\open\Command - “” = D:\hdbifxd.exe – File not found O20 - HKLM Winlogon: UserInit - (c:\program files\microsoft\watermark.exe) - c:\Program Files\Microsoft\WaterMark.exe () MsConfig - StartUpFolder: C:^Documents and Settings^All Users^My applications^nero.bat.lnk - - File not found MsConfig - StartUpReg: GrooveMonitor - hkey= - key= - C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe File not found MsConfig - StartUpReg: IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - hkey= - key= - C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe File not found MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found MsConfig - StartUpReg: NvMediaCenter - hkey= - key= - File not found MsConfig - StartUpReg: nwiz - hkey= - key= - File not found MsConfig - StartUpReg: RayV - hkey= - key= - C:\Program Files\RayV\RayV\RayV.exe File not found MsConfig - StartUpReg: Software Informer - hkey= - key= - C:\Program Files\Software Informer\softinfo.exe File not found MsConfig - StartUpReg: TkBellExe - hkey= - key= - File not found MsConfig - StartUpReg: TomTomHOME.exe - hkey= - key= - C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe File not found [2010-11-16 12:04:44 | 000,000,016 | ---- | M] () – C:\WINDOWS\System32\dmlconf.dat [2010-11-16 10:07:10 | 000,000,120 | ---- | M] () – C:\WINDOWS\Ntuzoxihuvuwox.dat [2010-11-16 07:20:36 | 000,000,000 | ---- | M] () – C:\WINDOWS\Xteyafiyac.bin [2010-11-16 07:20:35 | 000,000,012 | ---- | M] () – C:\WINDOWS\System32\complete.dat [2010-11-15 23:50:21 | 000,000,004 | ---- | M] () – C:\Documents and Settings\MasterAdmin\Dane aplikacji\avdrn.dat :Files C:\Program Files\Search Settings C:\Program Files\DAEMON Tools Toolbar :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,” [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

jessi

olaboo · 16 Listopad 2010 13:09

“regedit nie jest prawidłową aplikacją systemu Win32”…nie moge urochomic tego polecenia

W sumie nie mogę już odpalić wielu aplikacji.Będę walczył ,ale póki mam neta chciałbym wiedzieć czy w przypadku potrzeby reinstalacji systemu potrzebuje sformatowac partycję C czy inne tez.Mam trochę plików zdjec ,itp(na osobnych partycjach) i chciałbym je zachowac.

jessica · 16 Listopad 2010 13:29

Jeszcze tego brakowało …

Spróbujemy podmienić plik:

Ściągnij >http://www.speedyshare.com/files/25219488/regedit.exe, i w staw go bezpośrenio na dysk C:\
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:Files C:\Windows\regedit.exe|C:\regedit.exe /replace C:\Program Files\Search Settings C:\Program Files\DAEMON Tools Toolbar :OTL SRV - [2010-01-07 23:51:02 | 000,380,928 | ---- | M] (Spigot, Inc.) [Auto | Running] – C:\Program Files\Application Updater\ApplicationUpdater.exe – (Application Updater) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Documents and Settings\MasterAdmin\cpuxp.sys – (cpuxp) DRV - [2010-11-16 11:38:30 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\utm3mtq4.sys – (utm3mtq4) DRV - [2010-08-16 14:31:26 | 000,016,472 | ---- | M] () [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\pwdrvio.sys – (pwdrvio) DRV - [2010-08-16 14:31:22 | 000,011,104 | ---- | M] () [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\pwdspio.sys – (pwdspio) IE - HKU\S-1-5-21-1801674531-412668190-2147013945-500…\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\SearchSettings.dll (Spigot, Inc.) O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - No CLSID value found. O2 - BHO: (SearchSettings Class) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\SearchSettings.dll (Spigot, Inc.) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found. O3 - HKU\S-1-5-21-1801674531-412668190-2147013945-500…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKLM…\Run: [searchSettings] C:\Program Files\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKU\S-1-5-21-1801674531-412668190-2147013945-500…\Run: [{14BBF6C1-02F9-796B-3FBE-343470F7D530}] C:\Documents and Settings\MasterAdmin\Dane aplikacji\Ovgiab\octio.exe File not found O4 - HKU\S-1-5-21-1801674531-412668190-2147013945-500…\Run: [{C64CCBF9-94F1-82F5-C44B-AD2B29ACDC68}] C:\Documents and Settings\MasterAdmin\Dane aplikacji\Adsiez\byaf.exe (AIMP DevTeam) O4 - HKU\S-1-5-21-1801674531-412668190-2147013945-500…\Run: [ccleaner] C:\Program Files\CCleaner\ccleaner.exe (Piriform Ltd) O4 - HKU\S-1-5-21-1801674531-412668190-2147013945-500…\Run: [Yraregobeyey] C:\WINDOWS\sintalcl.DLL File not found O4 - Startup: C:\Documents and Settings\All Users\My applications\setup_9.0.0.722_16.11.2010_10-15.lnk = C:\Documents and Settings\MasterAdmin\Pulpit\Virus Removal Tool\setup_9.0.0.722_16.11.2010_10-15\startup.exe () O4 - Startup: C:\Documents and Settings\All Users\My applications\sishzm32.exe () O4 - Startup: C:\Documents and Settings\All Users\My applications\winword.exe.lnk = C:\WINDOWS\System32\winword.exe File not found O33 - MountPoints2{f9a67e06-efbb-11dd-888b-001d7dd2a8a0}\Shell\AutoRun\command - “” = D:\hdbifxd.exe – File not found O33 - MountPoints2{f9a67e06-efbb-11dd-888b-001d7dd2a8a0}\Shell\explore\Command - “” = D:\hdbifxd.exe – File not found O33 - MountPoints2{f9a67e06-efbb-11dd-888b-001d7dd2a8a0}\Shell\open\Command - “” = D:\hdbifxd.exe – File not found O20 - HKLM Winlogon: UserInit - (c:\program files\microsoft\watermark.exe) - c:\Program Files\Microsoft\WaterMark.exe () MsConfig - StartUpFolder: C:^Documents and Settings^All Users^My applications^nero.bat.lnk - - File not found MsConfig - StartUpReg: GrooveMonitor - hkey= - key= - C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe File not found MsConfig - StartUpReg: IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - hkey= - key= - C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe File not found MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found MsConfig - StartUpReg: NvMediaCenter - hkey= - key= - File not found MsConfig - StartUpReg: nwiz - hkey= - key= - File not found MsConfig - StartUpReg: RayV - hkey= - key= - C:\Program Files\RayV\RayV\RayV.exe File not found MsConfig - StartUpReg: Software Informer - hkey= - key= - C:\Program Files\Software Informer\softinfo.exe File not found MsConfig - StartUpReg: TkBellExe - hkey= - key= - File not found MsConfig - StartUpReg: TomTomHOME.exe - hkey= - key= - C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe File not found [2010-11-16 12:04:44 | 000,000,016 | ---- | M] () – C:\WINDOWS\System32\dmlconf.dat [2010-11-16 10:07:10 | 000,000,120 | ---- | M] () – C:\WINDOWS\Ntuzoxihuvuwox.dat [2010-11-16 07:20:36 | 000,000,000 | ---- | M] () – C:\WINDOWS\Xteyafiyac.bin [2010-11-16 07:20:35 | 000,000,012 | ---- | M] () – C:\WINDOWS\System32\complete.dat [2010-11-15 23:50:21 | 000,000,004 | ---- | M] () – C:\Documents and Settings\MasterAdmin\Dane aplikacji\avdrn.dat :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,” [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

EDIT:

Jeśli byłoby konieczne sformatowanie, to całego dysku, a nie jednej partycji.

Zdjęcia i dokumenty możesz przedtem przenieść na CD, tylko uważaj, by wśród przenoszonych plików nie było \ *.exe oraz \ *.html

Ale miejmy nadzieję, że nie będzie potrzeby formatowania.

jessi

olaboo · 16 Listopad 2010 13:36

nie mogę tego pobrać niestety “aplikacja nie jest poprawnym obrazem NT…”

jessica · 16 Listopad 2010 13:38

Bzdura, mój plik jest na 100% dobry.

Trudno, w takim razie pozostaje tylko skanowanie przy pomocy KVRT.

Aż do skutku.

jessi

olaboo · 17 Listopad 2010 09:50

Jessi,po paru skanach KVRT mam dostęp do wiersza poleceń.Po wykonaniu skryptu w OTL komp się zawiesza,po ok 30 min nie wytrzymałem-(ctrl+alt+ del-OTL brak odp )i zrestartowałem go.Spróbowałem 2 raz-to samo.

Dalej skanować?

jessica · 17 Listopad 2010 09:54

Czy w ostatnim skanie Ramnit juz nie był wykrywany?
Czy “regedit.exe” jest teraz "dobry?
pokaż nowy log z OTL

Ale oprócz normalnych ustawień, dodaj jeszcze jedno:

W pole Własne opcje skanowania/Scrypt wklej:

i dopiero wtedy kliknij Skanuj.

jessi

olaboo · 17 Listopad 2010 11:30

1.Po ostatnim uruchomieniu kompa avast milczy jak na razie

2.Zmieniałem wpis w rejestrze z start/uruchom/regedit tak jak napisałaś w 1 poscie.

3.log OTL http://www.wklejto.pl/81705 (dał mi tylko jeden log)

jessica · 17 Listopad 2010 11:51

Jest prawie OK.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

olaboo · 17 Listopad 2010 12:59

raport po wykonaniu skryptu

http://www.wklejto.pl/81713

skan OTL po restarcie

http://www.wklejto.pl/81715

jessica · 17 Listopad 2010 13:04

Wg mnie - jest OK.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

jessi

olaboo · 17 Listopad 2010 13:19

Bardzo Ci dziękuję jessi.

Dobrze że są fachowcy na tym świecie… :lol:

pozdrawiam.