Co uruchamia Firefoksa przy starcie systemu?

Witam!

Proszę o pomoc w usunięciu syfu z mojego komputera, bo walczę już drugi dzień i progres jest niewielki.

Chodzi o pozbycie się niejakiego Ramnit.A i Ramnit.H oraz trojana Kryptik.LKG.

Skanowałem już Malwarebytes’ Anti-Malware (ponad 150 zainfekowanych plików, zwłaszcza .HTML oraz .EXE), CCLeaner (śmieci w rejestrze), ręcznie edytowałem rejestr (proces Winlogon - wiersz 168 w logu OTL) ale bez większego powodzenia. ESET sobie w ogóle nie radzi, w ostateczności format i re-instal systemu bo przywracanie systemu nie odnajduje żadnych punktów przywracania przed atakiem.

Tuż po starcie systemu uruchamiane są trzy procesy Firefoksa, które są prawdopodobnie wywoływane przez to g#%@.

Za każdą podpowiedź będę wdzięczny.

Oto logi z OTL:

główny log: OTL.txt

a także log dodatkowy:Extras.txt.

Pozdrawiam, lucky

Przeskanuj progr.Dr.WEB CureIt.

http://podajdalej.pl/nakladkowa_naprawa … adnik-2542

Skan wykonany. Niestety bez rezultatów (nic nie znaleziono).

http://www.jelcyn.com/porady/trojan.htm

Dodane 08.03.2011 (Wt) 14:41

tym przeskanuj

http://www.dobreprogramy.pl/Trojan-Remo … 13140.html

Dodane 08.03.2011 (Wt) 14:43

jeszcze to

http://www.removefakesoftware.com/remov … ik.KG.html

Ramnit.A i Ramnit.H znajdują się na liście Kasperskiego. Skan proponuję wykonać za pomocą Kaspersky Rescude Disk ( opraz ISO-BOOT ). Pobrać można z http://support.kaspersky.com/pl/faq/?qid=208282170. Co do trojana Kryptik.LKG - jest na liście NOD32. Skan za pomocą w/w programu powinien rozwiązać problem.

Msconfig i Autostart były sprawdzone na samym początku, zaraz po tym jak zorientowałem się, że coś nie tak.

W Autostarcie siedział sobie właśnie Kryptik.LKG. Wywaliłem, restart, usunąłem katalog w którym siedział, ale niewiele to daje.

Za każdym restartem pojawia się na nowo w rejestrze wywołując proces Winlogon (patrz log z OTL-a) a po uruchomieniu systemu ESET wywala komunikat:

"Ochrona systemu plików w czasie rzeczywistym.

Plik: C:\Program Files\lshmqxcm\tyycbble.exe odmiana wirusa Win32/Kryptik.LKG koń trojański

wyleczony przez usunięcie - poddany kwarantannie.

Zdarzenie wystąpiło podczas tworzenia nowego pliku przez aplikację:

C:\Program Files\Firefox\firefox.exe"

Dodatkowo jakiś inny syf (Win32/Ramnit.A i Win32/Ramnit.H) po kolei infekuje wszystkie *.htm *.html *.exe i *.dll w katalogu Adobe Reader-a.

Oto drugi z komunikatów ESETA:

"Obiekt: C:\Program Files\Adobe\Reader 8.0\Reader\Legal\en_US\licence.html wirus Win32/Ramnit.A

błąd podczas leczenia.

Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację C:\Program Files\Firefox\firefox.exe"

Proszę nie sugerować się Mozillą, bo to samo występuje, gdy domyślną przeglądarką jest np. IE.

Pozdrawiam, lucky

Dodane 08.03.2011 (Wt) 15:18

ESET cały czas jest odpalony i wykrywa je oba, ale nie umie sobie z nimi poradzić:

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/System%20Repair/System%20Repair%20Engineer.html

przeskanuj daj log

:slight_smile:

RAMNIT/NIMNUL to paskudny wirus, zarażający wszystkie pliki *.exe i *.html,

Użyj KVRT http://www.dobreprogramy.pl/Kaspersky-V … 12768.html

lub z tego linka http://www.zshare.net/download/78865179ab5e60af/

Skanuj tyle razy aż skaner nic nie znajdzie.