Hej,
Od 24h Kaspersky walczy na moim kompie z “virusem win32.nimnul.a”. Wydaje mi sie niestety ze przegrywa i bedzie potrzebowal wsparcia.
Jak usunac ten virus? Od czego zaczac?
Pozdrawiam, Sky
ps. do admna- znam zasady postow na forum= ale niestety nie posiadam polskich znakow na moim laptopie.Prosze o wyrozumialosc :lol:
Na początek wstaw logi z OTL według instrukcji:
otl-gmer-rsit-dss-inne-instrukcje-t370405.html
Dzieki Kamil, Skan zrobiony, a raport zachowany tutaj.
http://wklej.to/uxlel
Jakies porady? ![-o<
Acorus
(Acorus)
6 Marzec 2011 18:49
#4
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL SRV - File not found [Disabled | Stopped] – -- (McSysmon) SRV - File not found [unknown | Stopped] – -- (McShield) IE - HKU\S-1-5-21-3181567601-1509288771-4092592688-1005…\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-3181567601-1509288771-4092592688-1005…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [Onet.pl AutoUpdate] File not found O4 - HKLM…\Run: [sunJavaUpdateSched] File not found O20 - HKLM Winlogon: UserInit - (C:\Program Files\xybybcqp\gfskadyw.exe) - C:\Program Files\xybybcqp\gfskadyw.exe File not found MsConfig - StartUpReg: ctfmon.exe - hkey= - key= - File not found MsConfig - StartUpReg: RealTray - hkey= - key= - File not found MsConfig - StartUpReg: SiteAdvisor - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: swg - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: Uniblue RegistryBooster 2 - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: UserFaultCheck - hkey= - key= - File not found [2011/03/05 23:37:30 | 000,000,000 | —D | C] – C:\Program Files\xybybcqp [2011/02/13 11:38:25 | 000,000,000 | —D | C] – C:\Documents and Settings\Karina\Local Settings\Application Data\AskToolbar [2011/02/12 21:54:06 | 000,000,000 | —D | C] – C:\Program Files\Ask.com [2011/03/06 17:01:01 | 000,000,236 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job :Commands [emptytemp]
Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Leon1
(Leon$)
6 Marzec 2011 18:50
#5
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL IE - HKU\S-1-5-21-3181567601-1509288771-4092592688-1005…\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-3181567601-1509288771-4092592688-1005…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [Onet.pl AutoUpdate] File not found O4 - HKLM…\Run: [sunJavaUpdateSched] File not found O4 - HKLM…\RunOnce: [AvgUninstallURL] C:\WINDOWS\System32\cmd.exe (Microsoft Corporation) O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} http://www.truprint.co.uk/TruprintActivia.cab (Reg Error: Key error.) O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} http://www.eset.eu/buxus/docs/OnlineScanner.cab (Reg Error: Key error.) O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} http://upload.facebook.com/controls/Fac … oader3.cab (Reg Error: Key error.) O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} http://upload.facebook.com/controls/Fac … loader.cab (Reg Error: Key error.) O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} http://download.divx.com/player/DivXBrowserPlugin.cab (Reg Error: Key error.) O16 - DPF: {82B56B47-90DC-4F58-9A7D-D27BA46D3C0F} http://andthisis.myphotoalbum.com/ImageUploader4.cab (Reg Error: Key error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl … rashim.cab (Reg Error: Key error.) O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} http://static.photobox.co.uk/sg/common/uploader_uni.cab (Reg Error: Key error.) O16 - DPF: {D6E7CFB5-C074-4D1C-B647-663D1A8D96BF} http://upload.facebook.com/controls/Fac … der4_5.cab (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O20 - HKLM Winlogon: UserInit - (C:\Program Files\xybybcqp\gfskadyw.exe) - C:\Program Files\xybybcqp\gfskadyw.exe File not found MsConfig - StartUpReg: Corel Photo Downloader - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: ctfmon.exe - hkey= - key= - File not found MsConfig - StartUpReg: MSKAGENTEXE - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: RealTray - hkey= - key= - File not found MsConfig - StartUpReg: SiteAdvisor - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: swg - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: Uniblue RegistryBooster 2 - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: UserFaultCheck - hkey= - key= - File not found [2011/02/13 11:38:25 | 000,000,000 | —D | C] – C:\Documents and Settings\Karina\Local Settings\Application Data\AskToolbar [2011/02/12 21:54:06 | 000,000,000 | —D | C] – C:\Program Files\Ask.com [2011/03/06 09:52:30 | 000,000,424 | -H-- | M] () – C:\WINDOWS\tasks\User_Feed_Synchronization-{5A98B218-16CF-4D13-BF09-50237CDE795F}.job [2006/10/17 18:57:01 | 000,000,088 | RHS- | C] () – C:\WINDOWS\System32\1C5A07C4CC.sys :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [clearallrestorepoints] [emptytemp] [start explorer] [Reboot]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
ok zaczynam od instrukcji Leon$.
– Dodane 06.03.2011 (N) 20:21 –
Ok, zrobione.
raport to pierwszym kroku - http://wklej.to/KZR6i
raport to zresetowaniu -http://wklej.to/umrJW
ps.jezeli chodzi o czas- u mnie -1h ( czas UK)
jakies pomysly co dalej? ![-o<
no dobra spokojnie, widze tu wieksza panike niz ja mam :lol:
robie wszytko co jest zalecane ale IT nie jestem wiec prosze o dokladniejsze info co dalej #-o
wklej jeszcze w OTL te resztki:
co mam wlaczyc? skan czy script?
wklejasz i naciskasz wykonaj skrypt, i tak jak poprzednio dajesz log z usuwania i nowy log
ok zrobione.
raport http://wklej.to/ZczPL Narazie wyglada wszytko bez zmian. Kaspersky nadal informuje o virusach.
ps. log z usuwania tez tutaj http://wklej.to/KfTXS
Mógłbys podać dokładą lokalizacje w jakiej Kaspersky znajduje wirusy?
wszytko jest na dysku C, w programach
No tak , ale kaspersky zapewne podaje pełna sciezke do pliku ktory podobno jest wirusem. Dodatkowo podaj log z TDSS killer:
http://support.kaspersky.com/downloads/ … killer.zip
Kliknij Start Scan, następnie po skanowaniu kliknij Report i pokaż raport na http://www.wklej.org
jessica
(jessica)
7 Marzec 2011 08:20
#15
Już sam tytuł tematu wskazuje z czym jest tu do czynienia.
NIMNUL/RAMNIT to wirus zarażający wszystkie pliki \ *.exe , wszystkie pliki \ *.dll , wszystkie pliki \ *.html .
W tej sytuacji zalecanie TDSSKiller nie ma zbyt wielkiego sensu (choć też nie zaszkodzi).
Tu potrzebne są skanery antiwirusowe.
KVRT (Kaspersky Virus Removal Tool) >http://support.kaspersky.com/viruses/avptool2010?level=2
http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >
>http://www.zshare.net/download/87243666d6323fb5/
Skany powtarzaj po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.
jessi
dzieki Jess, nie moglam nic pobrac bo virus totalnie opanowal internet explorer wiec uzylam zshare. i zachowalam na desktopie.
niestety po pierwszym szybkim skanie nic nie znalalzo robie pelen skan
WIRUS BLOKUJE INNE PRZEGLADARKI GOOGLE CHROME SIE NIE ODPALA :(((
explorer odpala wybrane strony.
CZY TO THE END ?
jeszcze jedno- windows nie zalapuje odrazu.po wpisaniu hasla, desktop sie nie pojawia,musze kliknac ctrl +alt+delete i w menadzeze wpisac explorer zeby go obudzic
HELPPPPPP ![-o<
system
(system)
14 Marzec 2011 12:20
#17
ZRÓB TAK
Pobierz i nagraj na płytkę na niezainfekowanym komputerze DR Web LiveCD.
Włóż płytkę do zainfekowanego komputera, zakładając, że wcześniej ustawiłeś w BIOS-ie na startowanie kompa z CD/DVD, więc po restarcie powinien się uruchomić się skaner.
Wykonujesz pełny skan, leczysz co się da, reszta do usunięcia.
Skanujesz tyle razy, aż skaner nic nie znajdzie.
Jeśli po usuwaniu system się nie uruchomi, wkładasz do komputera płytkę z systemem i wykonujesz instalację nakładkową Windows.
Po ewentualnej instalacji nakładkowej wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP/Vista.
Zrezygnować ze skanowania zainstalowanym skanerem - Kaspersky.
Na czystym PC przygotować na CD - Kaspersky Rescude Disk. Jest to obraz ISO Boot. Program można pobrać z http://www.dobreprogramy.pl/Kaspersky-R … 12771.html
Za pomocą tak przygotowanej CD uruchamiamy PC. Skan całego dysku z max heurystyka. Skanowanie wykonywać kilkakrotnie
hmmm ogolnie depresja bo skanuje wszytskim po kolei i caly czas cos sie znajduje
system
(system)
16 Marzec 2011 22:04
#20
Też to miałem, niestety. Opcja Krzycha może być dobra, bo jej nie sprawdzałem. Dałem sobie spokój. Ten wirus atakuje pliki .dll, .exe, .htm i .html. Dokładnie sprawdziłem skanerem antywirusowym oraz ręcznie czy na pozostałych partycjach nie ma żadnych plików tego typu, sformatowałem najpierw jedną (D), potem drugą partycję (E) przenosząc pliki z jednej na drugą, po czym zrobiłem format partycji systemowej ©. Wszystko czysto, nie ma śladu po wirusie