system
(system)
10 Marzec 2011 12:06
#1
Witam. Mam Avira AntiVir. Dziś pokazał mi te dwa wirusy, nie da się nic z nimi zrobić, cały czas po kliknięciu “Deny Access” nadal wyskakują.
Probujac sciagac HiJacka pokazuje mi wirusa następnego: W32/Ramnit.C pokazując mi instalkę z Killboxa.
Daje loga z HiJacka, o ile coś pomoże:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:05:35, on 2011-03-10 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\ASUS\GamerOSD\GamerOSD.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Brother\ControlCenter3\brccMCtl.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\WINDOWS\ATKKBService.exe C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Documents and Settings\AA\Bluebirds\BlueBirds.exe c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Opera\opera.exe C:\Program Files\Opera\Opera.exe C:\Program Files\Opera\Opera.exe C:\Program Files\Opera\Opera.exe C:\Program Files\Microsoft Office\Office10\WINWORD.EXE C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE c:\program files\avira\antivir desktop\avcenter.exe C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE C:\Program Files\Avira\AntiVir Desktop\GUARDGUI.EXE C:\Documents and Settings\AA\Pulpit\HiJackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\truiifvv\cumusffj.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10_userdata\ggbho.2.dll (file missing) O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\winampa.exe” O4 - HKLM…\Run: [Remove AtiHotKey] “c:\program files\AtiHotKey\AtiHotKey.exe” O4 - HKLM…\Run: [sSBkgdUpdate] “C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe” -Embedding -boot O4 - HKLM…\Run: [PaperPort PTD] “C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe” O4 - HKLM…\Run: [indexSearch] “C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe” O4 - HKLM…\Run: [PPort11reminder] “C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe” -r “C:\Documents and Settings\All Users\Dane aplikacji\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini” O4 - HKLM…\Run: [brMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM…\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [avgnt] “C:\Program Files\Avira\AntiVir Desktop\avgnt.exe” /min O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [Adobe ARM] “C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe” O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe” O4 - HKCU…\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start O4 - HKCU…\Run: [ALLUpdate] “C:\Program Files\ALLPlayer\ALLUpdate.exe” “sleep” O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [bluebirds] C:\Documents and Settings\AA\Bluebirds\BlueBirds.exe O4 - HKCU…\Run: [Gadu-Gadu 10] “C:\Program Files\Gadu-Gadu 10\gg.exe” O4 - HKCU…\Run: [PC Suite Tray] “C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe” -onlytray O4 - HKCU…\Run: [Microsoft Firewall 2.9] C:\Documents and Settings\AA\Dane aplikacji\WMPRWISE.EXE O4 - HKCU…\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_Plugin.exe -update plugin O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe – End of file - 7844 bytes
Pobierz OTL >> http://www.dobreprogramy.pl/OTL,Program … 19450.html
ustaw go tak jak na tym obrazku >>
W białe okno poniżej wklej to:
kliknij skanuj podaj log wklejając je osobno na wklej.org
system
(system)
10 Marzec 2011 12:23
#3
Zrobione. W czasie skanowania Avira pokazywała mi wirusy, kt ore naciskałem “Dany access”.
OTL.txt -> http://wklej.org/id/490049/
Extras.txt -> http://wklej.org/id/490050/
na początek >>
zaktualizuj internet explorer do wersji 8 i
pobierz MBAM http://www.dobreprogramy.pl/Malwarebyte … 13117.html
zrób aktualizację i pełny skan
usuń co znalazł i wklej loga z tego programu na wklej.org
system
(system)
10 Marzec 2011 12:54
#5
Czy bez IE8 pełny skan w Malware jest nieważny? Właśnie IE8 nie udalo mi sie zainstalować, dodatkowo w połowie skanu wywalił mi Malware i zaczynam od nowa.
/edit. Nie zaczynam jeszcze od nowa, bo nie chce mi zamknąć Malware`a teraz… Przez aplikacje i procesy nie udało się zamknąć aplikacji.
ok ie może my zostawić
ale mbam musi być
uruchom komputer w trybie awaryjnym (klikaj cały czas F8 przed startem systemu i wybierz tryb awaryjny) i tam zrób skan
system
(system)
10 Marzec 2011 13:03
#7
Udało się zrobić resa. Malware już skanuje.
W pierwszym poście pisałem o wirusie -> W32/Ramnit.C
Teraz doszedł nowy -> TR/obfuscated
Oba wykryte przez Avire.
/edit.
Jest tragicznie. Avira nawala błędami W32/Ramnit.C nie dając spokoju. Wali w pliki exe i dll. CO chwile naciskam OK na Avirze, ale on chyba spowalnia pracę Malware```a. Google mówi, że ten wirus jest okropny
– Dodane 10.03.2011 (Cz) 14:50 –
Sory, że post pod postem, ale raczej ciężko będzie pójść dalej, jeśli nie poradzimy sobie z tym, że Avira nawala wirusami co chwile. Muli komputer nawaając, Malware niby na brak odpowiedzi, niby skanuje, bo czas leci, ale plik pokazuje niby ten sam. Na razie liczba zainfekowanych z tego co dobrze ujrzałem (bo bardzi ciezko zobaczyć) wynosi 1. Jedyna opcja żeby zobaczyć Malware, to naciskanie tak szybko OK w Avirze, żeby sie zmulił, nie zdązył pokazać wirusa. Pokazuje czas 48 minut 47 sekund.
postaraj sie wyłączyć avire
system
(system)
10 Marzec 2011 14:07
#9
No okej, zrobiłem tak, ale mam nadzieję, że to nie pogorszy sprawy
Jest tragicznie. Avira nawala błędami W32/Ramnit.C nie dając spokoju. Wali w pliki exe i dll. CO chwile naciskam OK na Avirze, ale on chyba spowalnia pracę Malware```a. Google mówi, że ten wirus jest okropny
No jest tragicznie, bo niektórzy na tym forum nie czytają postów Jak się ma do czynienia z taką infekcją http://www.spywareremove.com/removeW32Ramnit.html to jej usunięcie powinno się rozpocząć od zastosowania skanerów typu AV a nie Malwarebytes
Proszę pobrać KRTV http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Zaznacz opcje Mój komputer wykonaj pełny skan Lecz wszystko co znajdzie skaner Czego nie będzie można wyleczyć usuwasz. Skanuj do skutku aż skaner nic nie znajdzie Jeśli nie będziesz mógł pobrać z tego linku pisz to podam link zastępczy
system
(system)
10 Marzec 2011 14:56
#11
Wrocilem, Malware zakończył skanowanie, usunąłem co trzeba i daję loga:
http://wklej.org/id/490133/
Już pobieram ten program KRTV. Za 10 minut będzie na dysku u mnie.
– Dodane 10.03.2011 (Cz) 23:26 –
Cały czas skanuje. Tu trzeba każdą operację po kolei potwierdzać?
Jak KVRT nie pokazuje “Wylecz (zalecane)”, tylko “Kwarantanna”, to dawać Kwarantanna czy Usunąć?
Oprócz wspomnianych Ramnit (w KVRT jest to Nimrul) występują jeszcze: HEUR:Trojan-Dropper.Script.Generic. - które przenoszone są do Kwarantanny. Dobrze?
– Dodane 11.03.2011 (Pt) 18:43 –
Cały czas skanuje. Zamieszczam screena z KVRT, czy to normalne? Proszę spojrzeć szczególnie na 3 ostatnie pozycje. Mam wrażenie, że niektóre programy “.exe” ten program leczy dwukrotnie. Tak ma być czy co? Może DrWeb lepiej sobie z tym poradzi? Co robić?
– Dodane 11.03.2011 (Pt) 21:10 –
Heh. Niestety, skanuje niby pojawiają się jedynie 4 zdarzenia, wykrywa, że dany plik musi usunąć, ale dopiero po uruchomieniu komputera. Skanuje jeszcze w drugim oknie sam ten program i na koniec sam się restartuje. Skanuje na nowo po uruchomieniu komputera i wykrywa praktycznie te same zdarzenia, co wcześniej. Wcześniej leczył te plik i teraz również pokazuje, że “wyleczony”. Co robić? Pomożecie??