Avira ciągle wywala wirusy i nie uruchamiają się pliki *.exe

Witam.

Proszę o sprawdzenie loga z hijacka - mam poważny problem z notebookiem - Avira ciągle wywala miliony wirusów i nie uruchamiają mi się programy, np. pliki *.exe.

Dodatkowo notebook chodzi strasznie wolno i nie może uruchomić się w trybie awaryjnym.

Oczywiście anti-malware nie chce się uruchomić a avira wywala komunikaty o malware win32/ramnit.c.

Hijack:
http://www.wklej.eu/index.php?id=ceef24477b

Z góry dziekuję,
Pozdrawiam,
Paweł.

HijackThis się do niczego obecnie nie nadaje. Podaj logi z: OTL i GMER

Proszę oto logi z OTL:

OTL:
http://www.wklej.eu/index.php?id=19882735ce

EXTRAS:
http://www.wklej.eu/index.php?id=d974a60bdb

A gdzie log z GMER??? Proszę to uzupełnić.

Usuń resztki po Avaście tym narzędziem http://www.instalki.pl/programy/downloa ... ility.html

Z podłączonymi pamięciami przenośnymi użyj UsbFix z opcji Deletion i podaj utworzony log.

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\blueconnect\AssistantServices.exe -- (UI Assistant Service)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Option\GlobeTrotter Connect\GtDetectSc.exe -- (GtDetectSc)
SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe -- (FTRTSVC)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe -- (FirebirdGuardianDefaultInstance)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\P2k.sys -- (P2k)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\oreans32.sys -- (oreans32)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbfake.sys -- (hwusbfake)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\NECVER~1\USTAWI~1\Temp\cpuz134\cpuz134_x32.sys -- (cpuz134)
O4 - HKLM..\Run: [DataCardMonitor] C:\Program Files\blueconnect2\DataCardMonitor.exe File not found
O4 - HKLM..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe File not found
O4 - HKLM..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe File not found
O4 - HKLM..\Run: [QuickTime Task] C:\Program Files\QuickTime\qttask.exe File not found
O4 - HKLM..\Run: [Sony Ericsson PC Suite] C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe File not found
O4 - HKU\.DEFAULT..\Run: [MSConfig] File not found
O4 - HKU\.DEFAULT..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe File not found
O4 - HKU\S-1-5-18..\Run: [MSConfig] File not found
O4 - HKU\S-1-5-18..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe File not found
O4 - HKU\S-1-5-21-1409082233-776561741-725345543-1003..\Run: [MSConfig] File not found
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL File not found
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\System\OLE DB\msdaipp.dll File not found
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\System\OLE DB\msdaipp.dll File not found
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\System\OLE DB\msdaipp.dll File not found
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\System\OLE DB\msdaipp.dll File not found
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\System\OLE DB\msdaipp.dll File not found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\System\OLE DB\msdaipp.dll File not found
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Common Files\System\OLE DB\msdaipp.dll File not found
O20 - HKLM Winlogon: UserInit - (c:\program files\microsoft\watermark.exe) - c:\Program Files\Microsoft\WaterMark.exe ()
O27 - HKLM IFEO\a2guard.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\a2start.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\Ad-Aware.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\Ad-AwareAdmin.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\AvastSvc.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avastUI.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\AVK.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\AVKWctl.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\avshadow.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\ccSvcHst.exe : Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\CLPSLS.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\DefWatch.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\egui.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\GDSC.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\GDScan.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\guardxp.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\KAV32.exe : Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\livesrv.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mbam.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mbamservice.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\MRT.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\mrtstub.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\msascui.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\msmpeng.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\PREVX.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\Rtvscan.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\seccenter.exe: Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\symlcsvc.exe : Debugger - ntsd -d (Microsoft Corporation)
O27 - HKLM IFEO\virusutilities.exe: Debugger - ntsd -d (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - File not found
O32 - AutoRun File - [2010-11-22 11:02:24 | 000,000,044 | ---- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-22 16:30:44 | 000,010,120 | RHS- | M] () - F:\autorun.inf -- [ FAT ]
[2010-11-22 16:40:43 | 000,000,016 | ---- | M] () -- C:\WINDOWS\System32\dmlconf.dat
[2010-11-21 18:05:57 | 000,114,176 | RHS- | M] () -- C:\WINDOWS\System32\mgking0.dll
[2010-11-21 16:30:59 | 000,178,176 | RHS- | M] () -- C:\WINDOWS\System32\mgking.exe
[2010-11-21 16:17:44 | 000,000,016 | ---- | M] () -- C:\Documents and Settings\NEC Versa\Dane aplikacji\abpzlw.dat
[2010-11-18 16:40:11 | 000,000,004 | ---- | M] () -- C:\Documents and Settings\NEC Versa\Dane aplikacji\avdrn.dat
[2010-10-27 08:50:25 | 000,000,000 | ---- | M] () -- C:\WINDOWS\System32\drivers\uxuqkrlm.sys
[2010-10-27 09:50:13 | 000,040,128 | ---- | M] () -- C:\WINDOWS\System32\drivers\juggtagx.sys
[2009-09-29 10:26:02 | 000,019,602 | ---- | C] () -- C:\Documents and Settings\NEC Versa\Dane aplikacji\henibuvoky.dll
[2009-09-29 10:26:02 | 000,017,871 | ---- | C] () -- C:\Program Files\Common Files\yxiralo.dat
[2009-09-29 10:26:02 | 000,016,801 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ytugusan.scr
[2009-09-29 10:26:02 | 000,015,815 | ---- | C] () -- C:\Documents and Settings\NEC Versa\Ustawienia lokalne\Dane aplikacji\foxi.dl
[2009-09-29 10:26:02 | 000,015,384 | ---- | C] () -- C:\Program Files\Common Files\mihuzan.vbs
[2009-09-29 10:26:02 | 000,015,138 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ososevirig.vbs
[2009-09-29 10:26:02 | 000,013,252 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ehiryq.dll
[2009-09-29 10:26:02 | 000,011,198 | ---- | C] () -- C:\Documents and Settings\NEC Versa\Dane aplikacji\fyniwab.pif
[2009-09-29 10:26:02 | 000,011,184 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ewejucebo.lib
[2009-09-29 10:26:02 | 000,010,298 | ---- | C] () -- C:\Program Files\Common Files\bopijyvu.bat
[2009-09-29 10:26:02 | 000,010,028 | ---- | C] () -- C:\Documents and Settings\NEC Versa\Ustawienia lokalne\Dane aplikacji\kade.bin
@Alternate Data Stream - 615056 bytes C:\WINDOWS\Temp:temp
@Alternate Data Stream - 120 bytes C:\Documents and Settings\All Users\Dane aplikacji\TEMP:686C5FE4

:Services
uxuqkrlm
juggtagx

:Commands
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

GMER sie wywala.

Nie moge usunac avasta w pelni bo w trybie awaryjnym bluescreen.

Reszta ponizej:
UsbFix:
http://www.wklej.eu/index.php?id=b69a6a7b86

OTL log z usuwania:
http://www.wklej.eu/index.php?id=4d267e275a

OTL - nowe logi:
http://www.wklej.eu/index.php?id=101586dc40

Pozdrawiam i czekam na dalsze info.

Miałeś UsbFix uruchomić z opcji Deletion, a nie Research. Powtórz czynność.

EDIT:
To może wskazywać na infekcję plików wykonywalnych, więc wykonaj pełny skan KVRT http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/, wylecz/napraw co się da, resztę usuń i podaj raport.

Witam ponownie. Zaczynam skanowac i dam znac za pare min. Wirus to jakis malware w32/ramnit.c ale byly i w32/ramnit.i

Dobrze, tylko nie zapomnij o UsbFix.

Juz po skanowaniu. Program Kaspersky niby cos tam kasowal, leczyl itd. lecz zpo restarcie avira znowu pokazuje rozne ilosci wirusow. Raz 9, za chwile 14 i tak do okolo 100.

Oto LOGI:

UsbFix:
http://www.wklej.eu/index.php?id=7382ffda43

OTL:
http://www.wklej.eu/index.php?id=f77efb3cff

EXTRAS:
http://www.wklej.eu/index.php?id=d143903535

Juz nie mam sily do tego szrota, wiem ze format bylby najlepszy i najszybszy ale... zalezy mi na paru programach i wolalbym to jakims cudem usunac.

Pozdrawiam,
Pawel.

Ale nie podałeś najważniejszego, czyli raportu z KVRT. No nic, podaj raport z Aviry, chcę wiedzieć w jakich dokładnie plikach wykrywa te infekcje.

Na razie możemy sobie dać spokój z logami, gdyż przy infekcji na wykonywalnych trzeba wszystko wyleczyć skanerami. Skoro piszesz, że Kaspersky się nie do końca spisał, więc teraz wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik Zapisz Listę Raportu)

Juz nie mam sily do tego szrota, wiem ze format bylby najlepszy i najszybszy ale... zalezy mi na paru programach i wolalbym to jakims cudem usunac.

Jeśli format to wszystkich partycji, żadnych kopii plików wykonywalnych, czyli programów, instalek itp, gdyż są zainfekowane.

Witam.
Dzięki bardzo za pomoc przy tym uciążliwym wirusie.

Dałem sobie spokój z dalszym skanowaniem bo po wszelkich programach OTL, GMER, UsbFix, KVRT i Dr.Web CureIt nadal Avira wywalała różnie co chwilę inne ilości wirusów itd. i programy nadal nie dzialały a komp się mulił jak nie wiem co.

Zrobiłem format i wszystko jest OK - zgrałem tylko zdjęcia z tamtych partycji bo zawirusowane byly pliki *.dll i *.exe z tego co widziałem.

Jakiś typowo złośliwy ten w32/ramnit.c i w32/ramnit.i.

Pozdrawiam,
Paweł.

Jakiś typowo złośliwy ten w32/ramnit.c i w32/ramnit.i.

A no właśnie ten wirus infekuje pliki wykonywalne, o skutkach tego sam się niestety przekonałeś...