Avira ciągle wywala wirusy i nie uruchamiają się pliki *.exe

[Pawko23]

Witam.

Proszę o sprawdzenie loga z hijacka - mam poważny problem z notebookiem - Avira ciągle wywala miliony wirusów i nie uruchamiają mi się programy, np. pliki *.exe.

Dodatkowo notebook chodzi strasznie wolno i nie może uruchomić się w trybie awaryjnym.

Oczywiście anti-malware nie chce się uruchomić a avira wywala komunikaty o malware win32/ramnit.c.

Hijack:
http://www.wklej.eu/index.php?id=ceef24477b

Z góry dziekuję,
Pozdrawiam,
Paweł.

[mateo8898]

HijackThis się do niczego obecnie nie nadaje. Podaj logi z: OTL i GMER

[Pawko23]

Proszę oto logi z OTL:

OTL:
http://www.wklej.eu/index.php?id=19882735ce

EXTRAS:
http://www.wklej.eu/index.php?id=d974a60bdb

[mateo8898]

A gdzie log z GMER??? Proszę to uzupełnić.

Usuń resztki po Avaście tym narzędziem http://www.instalki.pl/programy/downloa ... ility.html

Z podłączonymi pamięciami przenośnymi użyj UsbFix z opcji Deletion i podaj utworzony log.

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\blueconnect\AssistantServices.exe -- (UI Assistant Service)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Option\GlobeTrotter Connect\GtDetectSc.exe -- (GtDetectSc)
SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe -- (FTRTSVC)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe -- (FirebirdGuardianDefaultInstance)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\P2k.sys -- (P2k)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\oreans32.sys -- (oreans32)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbfake.sys -- (hwusbfake)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\NECVER~1\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys -- (cpuz134)
O4 - HKLM..\Run: [DataCardMonitor] C:\Program Files\blueconnect2\DataCardMonitor.exe File not found
O4 - HKLM..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe File not found
O4 - HKLM..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe File not found
O4 - HKLM..\Run: [QuickTime Task] C:\Program Files\QuickTime\qttask.exe File not found
O4 - HKLM..\Run: [Sony Ericsson PC Suite] C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe File not found
O4 - HKU\.DEFAULT..\Run: [MSConfig] File not found
O4 - HKU\.DEFAULT..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe File not found
O4 - HKU\S-1-5-18..\Run: [MSConfig] File not found
O4 - HKU\S-1-5-18..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe File not found
O4 - HKU\S-1-5-21-1409082233-776561741-725345543-1003..\Run: [MSConfig] File not found
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL File not found
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\System\OLE DB\msdaipp.dll File not found
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\System\OLE DB\msdaipp.dll File not found
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\System\OLE DB\msdaipp.dll File not found
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\System\OLE DB\msdaipp.dll File not found
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\System\OLE DB\msdaipp.dll File not found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\System\OLE DB\msdaipp.dll File not found
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\System\OLE DB\msdaipp.dll File not found
O20 - HKLM Winlogon: UserInit - (c:\program files\microsoft\watermark.exe) - c:\Program Files\Microsoft\WaterMark.exe ()
O27 - HKLM IFEO\a2guard.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\a2start.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\Ad-Aware.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\Ad-AwareAdmin.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\AvastSvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avastUI.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\AVK.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\AVKWctl.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avshadow.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ccSvcHst.exe : Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\CLPSLS.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\DefWatch.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\egui.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\GDSC.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\GDScan.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\guardxp.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\KAV32.exe : Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\livesrv.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mbam.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mbamservice.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\MRT.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mrtstub.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\msascui.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\msmpeng.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\PREVX.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\Rtvscan.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\seccenter.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\symlcsvc.exe : Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\virusutilities.exe: Debugger - ntsd -d (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - File not found
O32 - AutoRun File - [2010-11-22 11:02:24 | 000,000,044 | ---- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-22 16:30:44 | 000,010,120 | RHS- | M] () - F:\autorun.inf -- [ FAT ]
[2010-11-22 16:40:43 | 000,000,016 | ---- | M] () -- C:\WINDOWS\System32\dmlconf.dat
[2010-11-21 18:05:57 | 000,114,176 | RHS- | M] () -- C:\WINDOWS\System32\mgking0.dll
[2010-11-21 16:30:59 | 000,178,176 | RHS- | M] () -- C:\WINDOWS\System32\mgking.exe
[2010-11-21 16:17:44 | 000,000,016 | ---- | M] () -- C:\Documents and Settings\NEC Versa\Dane aplikacji\abpzlw.dat
[2010-11-18 16:40:11 | 000,000,004 | ---- | M] () -- C:\Documents and Settings\NEC Versa\Dane aplikacji\avdrn.dat
[2010-10-27 08:50:25 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\uxuqkrlm.sys
[2010-10-27 09:50:13 | 000,040,128 | ---- | M] () -- C:\WINDOWS\System32\drivers\juggtagx.sys
[2009-09-29 10:26:02 | 000,019,602 | ---- | C] () -- C:\Documents and Settings\NEC Versa\Dane aplikacji\henibuvoky.dll
[2009-09-29 10:26:02 | 000,017,871 | ---- | C] () -- C:\Program Files\Common Files\yxiralo.dat
[2009-09-29 10:26:02 | 000,016,801 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ytugusan.scr
[2009-09-29 10:26:02 | 000,015,815 | ---- | C] () -- C:\Documents and Settings\NEC Versa\Ustawienia lokalne\Dane aplikacji\foxi.dl
[2009-09-29 10:26:02 | 000,015,384 | ---- | C] () -- C:\Program Files\Common Files\mihuzan.vbs
[2009-09-29 10:26:02 | 000,015,138 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ososevirig.vbs
[2009-09-29 10:26:02 | 000,013,252 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ehiryq.dll
[2009-09-29 10:26:02 | 000,011,198 | ---- | C] () -- C:\Documents and Settings\NEC Versa\Dane aplikacji\fyniwab.pif
[2009-09-29 10:26:02 | 000,011,184 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ewejucebo.lib
[2009-09-29 10:26:02 | 000,010,298 | ---- | C] () -- C:\Program Files\Common Files\bopijyvu.bat
[2009-09-29 10:26:02 | 000,010,028 | ---- | C] () -- C:\Documents and Settings\NEC Versa\Ustawienia lokalne\Dane aplikacji\kade.bin
@Alternate Data Stream - 615056 bytes C:\WINDOWS\Temp:temp
@Alternate Data Stream - 120 bytes C:\Documents and Settings\All Users\Dane aplikacji\TEMP:686C5FE4

:Services
uxuqkrlm
juggtagx

:Commands
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[Pawko23]

GMER sie wywala.

Nie moge usunac avasta w pelni bo w trybie awaryjnym bluescreen.

Reszta ponizej:
UsbFix:
http://www.wklej.eu/index.php?id=b69a6a7b86

OTL log z usuwania:
http://www.wklej.eu/index.php?id=4d267e275a

OTL - nowe logi:
http://www.wklej.eu/index.php?id=101586dc40

Pozdrawiam i czekam na dalsze info.

[mateo8898]

Miałeś UsbFix uruchomić z opcji Deletion, a nie Research. Powtórz czynność.

EDIT:
To może wskazywać na infekcję plików wykonywalnych, więc wykonaj pełny skan KVRT http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/, wylecz/napraw co się da, resztę usuń i podaj raport.

[Pawko23]

Witam ponownie. Zaczynam skanowac i dam znac za pare min. Wirus to jakis malware w32/ramnit.c ale byly i w32/ramnit.i

[mateo8898]

Dobrze, tylko nie zapomnij o UsbFix.

[Pawko23]

Juz po skanowaniu. Program Kaspersky niby cos tam kasowal, leczyl itd. lecz zpo restarcie avira znowu pokazuje rozne ilosci wirusow. Raz 9, za chwile 14 i tak do okolo 100.

Oto LOGI:

UsbFix:
http://www.wklej.eu/index.php?id=7382ffda43

OTL:
http://www.wklej.eu/index.php?id=f77efb3cff

EXTRAS:
http://www.wklej.eu/index.php?id=d143903535

Juz nie mam sily do tego szrota, wiem ze format bylby najlepszy i najszybszy ale... zalezy mi na paru programach i wolalbym to jakims cudem usunac.

Pozdrawiam,
Pawel.

[mateo8898]

Ale nie podałeś najważniejszego, czyli raportu z KVRT. No nic, podaj raport z Aviry, chcę wiedzieć w jakich dokładnie plikach wykrywa te infekcje.

Na razie możemy sobie dać spokój z logami, gdyż przy infekcji na wykonywalnych trzeba wszystko wyleczyć skanerami. Skoro piszesz, że Kaspersky się nie do końca spisał, więc teraz wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik Zapisz Listę Raportu)

Juz nie mam sily do tego szrota, wiem ze format bylby najlepszy i najszybszy ale... zalezy mi na paru programach i wolalbym to jakims cudem usunac.

Jeśli format to wszystkich partycji, żadnych kopii plików wykonywalnych, czyli programów, instalek itp, gdyż są zainfekowane.

[Pawko23]

Witam.
Dzięki bardzo za pomoc przy tym uciążliwym wirusie.

Dałem sobie spokój z dalszym skanowaniem bo po wszelkich programach OTL, GMER, UsbFix, KVRT i Dr.Web CureIt nadal Avira wywalała różnie co chwilę inne ilości wirusów itd. i programy nadal nie dzialały a komp się mulił jak nie wiem co.

Zrobiłem format i wszystko jest OK - zgrałem tylko zdjęcia z tamtych partycji bo zawirusowane byly pliki *.dll i *.exe z tego co widziałem.

Jakiś typowo złośliwy ten w32/ramnit.c i w32/ramnit.i.

Pozdrawiam,
Paweł.

[mateo8898]

Jakiś typowo złośliwy ten w32/ramnit.c i w32/ramnit.i.

A no właśnie ten wirus infekuje pliki wykonywalne, o skutkach tego sam się niestety przekonałeś...