Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Wyszukaj w ofercie 200 tys. produktów TME
Europejski lider sprzedaży techniki i elektroniki.
Proszę, dodaj wyjątek elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Win32:Ramnit-G - infekcja

Kamo2k 11 Mar 2011 13:05 4551 12
  • #1 11 Mar 2011 13:05
    Kamo2k
    Poziom 14  

    Witam
    Dziś po odpaleniu komputera nic nie wskazywało na problemy, dopóki excel nie zaczął się włączać i wyłączać prosząc o jakieś dodatki. Prewencyjnie zapuściłem skan avastem. Wynalazł mi kilka infekcji Ramnitem G.

    Usunął niby wszystko gra ale niestety wirus sie rozprzestrzenia. Połowa programów na komputerze jest już bezużyteczna co chwila zapala sie stacja dyskietek i wyskakują komunikaty windowsa o uszkodzonych plikach i szlaczkach zamiast nazwy. System sie sypie a w tej chwili format to najgorsza z mozliwych opcji. Zapuszczane było combofix prócz avasta. Pousuwało troche plików jednak nic to nie dało. Zapuściłem również teraz malwarebytesa - nic ciekawego nie znalazl.

    Musze przyznać ze w tygodniu miałem 2 peny wkładane i możliwe ze to za ich sprawką to sie stało.

    Załączam logi z GMER i OTL. Proszę o pomoc.

    0 12
  • #3 11 Mar 2011 14:53
    Kamo2k
    Poziom 14  

    KVRT nie znalazł mi Ramnita w ogóle. Znalazł mi jeden plik który oznaczył jako nimnul i w sumie tyle. Raczej wątpię by miał on wiele wspólnego z tym skoro ten konkretny plik zgrałem juz po infekcji.

    0
  • #4 11 Mar 2011 15:22
    Acorus 20
    Spec od komputerów

    Log z OTL jest obcięty.Zrób nowy na tych ustawieniach:http://oldtimer.geekstogo.com/OTL.exe
    Zaznacz-Wszyscy użytkownicy.Wszystkie panele-Użyj filtrowania.Zaznacz-infekcja LOP iPurity.

    0
  • #5 12 Mar 2011 15:48
    Kamo2k
    Poziom 14  

    Witam
    Udało się szybciej wbić - w tej chwili jedyna oznaka wirusa są:
    - uszkodzony pakiet offica za każdym razem word i excel nie uruchamiają się chcą jakieś dodatki.
    - cały czas niemal pracująca stacja dyskietek
    - co jakiś czas zwis sytemu.

    Oto log OTL jak wyżej

    0
    Załączniki:
  • #6 12 Mar 2011 16:09
    Kolobos
    Spec od komputerów

    Chyba nie myslisz, ze ktos bedzie sprawdzal log, ktory ma 2MB z kawalkiem?

    Wykonaj skrypt w OTL:

    :OTL
    DRV - [2011-03-11 14:54:22 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ute3mjyw.sys -- (ute3mjyw)
    O20 - HKLM Winlogon: UserInit - (C:\Program Files\wcendywj\fisancga.exe) - C:\Program Files\wcendywj\fisancga.exe File not found
    [2011-03-10 13:36:37 | 000,000,000 | ---D | C] -- C:\Program Files\wcendywj

    :Files
    C:\Documents and Settings\Ksiegowy2\Menu Start\Programy\Autostart\fisancga.exe
    C:\Program Files\wcendywj\fisancga.exe

    :Commands
    [emptytemp]

    Po wykonaniu daj nowy log bez zaznacznia wszystkich plikow!
    Daj tez log z combofix, MbrCheck oraz TDSSKiller:
    http://ad13.geekstogo.com/MBRCheck.exe (nawet jak cos wykryje to nic nie usuwaj!)
    http://support.kaspersky.com/viruses/solutions?qid=208280684

    0
  • #7 12 Mar 2011 17:06
    Kamo2k
    Poziom 14  

    Oto logi:

    PO wykonaniu skryptu komputer sie zrestartowal.. Sytuacja nie uległa zmianie.

    Mbrcheck się wyłącza i nie potrafię zlokalizować jego loga.

    Dodam tez ze avast nie chce sie już włączać na starcie. Trzeba go włączać manualnie.

    0
  • #8 12 Mar 2011 18:39
    Kolobos
    Spec od komputerów

    Avast masz zepsuty i to zapewne on powoduje problem ze stacja, odinstaluj go na razie.

    Co do infekcji to dalej jest:
    c:\program files\wcendywj
    c:\documents and settings\Administrator\Menu Start\Programy\Autostart\fisancga.exe

    Sprobuj utworzyc CFScript.txt:

    File::
    c:\documents and settings\Administrator\Menu Start\Programy\Autostart\fisancga.exe

    Folder::
    c:\program files\wcendywj

    Zapisz i przeciagnij go na ikone combofix. Po wykonaniu daj log z combofix.

    0
  • #9 14 Mar 2011 07:17
    Kamo2k
    Poziom 14  

    Witam i przepraszam za zwłokę:

    Usunąłem avasta i rzeczywiście stacja przestała szaleć. Przeciągnąłem pliczek z posta wyżej i combofix popracował usuwając pliczek oraz dodatkowo z katalogu system32 usuwa plik midas.dll - muszę nadmienić, że plik ten jest ważny dla mnie do uruchomienia programu w którym rozliczam sie z NFZ. Bez tego pliku aplikacja nie chce się uruchomić.

    Oto log combofix oraz znaleziony plik z mbrcheck:

    0
  • #10 14 Mar 2011 09:31
    Kolobos
    Spec od komputerów

    Odinstaluj Kaspersky Virus Removal Tool

    midas przywroc z: c:\Qoobox\Quarantine\c\windows\system32\midas.dll

    0
  • #11 14 Mar 2011 10:17
    Kamo2k
    Poziom 14  

    Zrobione - w tej chwili nie widzę żadnych złych objawów jaki występowały wcześniej.

    Można spokojnie wrzucić antywira i poinstalować uszkodzone programy?

    0
  • Pomocny post
    #12 14 Mar 2011 11:27
    Kolobos
    Spec od komputerów

    Tak, nie widac juz sladu infekcji.

    0
  • #13 14 Mar 2011 12:25
    Kamo2k
    Poziom 14  

    W takim razie chciałbym stokrotnie podziekować za wszystko - komputer chodzi stabilnie bez problemu- ale chyba trzeba będzie zainwestować w noda.

    Rozwiązano.

    0
TME logo Szukaj w ofercie
Zamknij 
Wyszukaj w ofercie 200 tys. produktów TME
TME Logo