Olmarik - nie mogę usunąć, załączone logi.

[Bartes]

Witam,

od niedawna NOD wywala mi co rusz komunikat o trojanie Olmarik. Skanowanie nic nie daje, nawet ściągnąłem szczepionkę od ESETa dla tego wirusa i też nic. Próbowałem Spyware Doctor ale gryzie się z Windowsem 7 jakoś. Eset wyrzuca okienko co parę minut a czasem częściej, kończy komunikatem, ze nie można wykonać operacji usunięcia. Proszę tęgie głowy o pomoc.


Poniżej logi (wklej.org):

DDS
OTL
RSIT
Silent Runners

[rwid7kidj]

przeskanuj Malwarebytes i daj do tematu raport ze skanu

Dodano Dzisiaj, 10:07:
przeprowadz full skanowanie

[wojtas]

w jakim pliku Ci wykrywa ?


Daj loga z combofixa ale zainstaluj wraz z nim konsolę odzyskiwania ( instrukcja programu )

[Bartes]

Konsoli nie mogę zainstalować na Win7 niestety. Robak sieci w pliku C:\Windows\System32\atapi.sys

Logi:
ComboFix
Malwarebytes

Log z Malware wydaje się być czysty, ale... Olmarik jak wyskakiwał tak wyskakuje. Combofix stwierdził w trakcie, że musi się zaktualizować, wcześniej nic mi się takiego nie przydarzało - czy to normalne? Na dysku D utworzył mi się katalog .Trash-999 którego nie mogę usunąć... nigdy wcześniej nie widziałem czegoś takiego:/

[NieWiem]

ComboFixa na razie nie używaj więcej. On nie jest jeszcze w pełni kompatybilny z Twoim systemem i musimy pozbywać się świństw innymi metodami.

Czy jesteś pewien tego pliku, gdzie siedzi robak??

Bo według mnie to on powinien być w lokalizacji

c:\windwows\system32\drivers\atapi.sys

lub ewentualnie

c:\windwows\system32\dllcache\atapi.sys

a ty napisałeś jeszcze inną ścieżkę dostępu.

Pliki

c:\windwows\system32\drivers\atapi.sys
c:\windwows\system32\drivers\iastor.sys

przeskanuj na stronie http://www.virscan.org i pokaż wyniki.

Ewentualnie możesz też pokazać loga z Gmera:

• Pobierz Gmer na pulpit. Będzie nazwany jako losowa kombinacja cyfr i liter.
• Kliknij dwukrotnie na ikonę, aby uruchomić program (użytkownicy systemów Vista oraz Se7en => prawoklik oraz wybrać opcję Uruchom jako Administrator).
• Upewnij się, że wszystkie pozostałe okna są zamknięte i pozwól mu pracować bez zakłóceń - ten typ skanów może dawać wiele fałszywych odczytów, dlatego tak ważne jest, aby system pracował bez żadnych ingerencji.
• Uwaga dla użytkowników systemów Vista oraz Se7en - podczas skanowania może wystąpić bluescreen. Nie należy się tym przejmować, po prostu Gmer na tych systemach nie czuje się dobrze. W takim przypadku proszę o tym napisać w poście na forum.
• Gdy pojawi się okno, poczekaj chwile, aż zakończy się wstępne skanowanie.
• Jeśli pojawi się komunikat, że znaleziono działalność rootkitów, proszę nie podejmować samemu żadnych działań, tylko wytworzyć loga i pokazać go do analizy!
• Kliknij Szukaj. Nie zmieniaj żadnych ustawień. Skanowanie może trwać długo.
• Kiedy skanowanie się skończy, kliknij Kopiuj.
• Udaj się na stronę http://wklej.org/ i wklej zawartość schowka (PPM -> Wklej), a na forum wklej tylko link do loga.

[Bartes]

Witam,

Zgada się, moja pomyłka co do miejsca usadowienia robaka - pisałem ścieżkę z pamięci. Robal siedzi właśnie tutaj:

c:\windwows\system32\drivers\atapi.sys

Co prawda na szybko nie umiem tego sprawdzić, a eset raczy mnie tylko takim komunikatem:



ale wcześniej zgłaszał ciut inny komunikat. Mianowicie mówił o Olmarik.SJ i wtedy wskazywał właśnie w/w lokalizację.

Niestety nie dam rady dokonać skanu Gmer'em - po chwili komputer sypie bsodami. Próbowałem uruchomić program również w trybie zgodności z WinXP - bez rezultatu

Virscanem przeskanowałem plik atapi.sys ale nie wykrył absolutnie nic. Nie ma na stronce opcji skanu całego komputera. Tutaj pojawia się pytanie... czy może to fałszywy alarm? Używam Eset Smart Security w najnowszej wersji 4.2.22.0 beta. Przy instalacji co prawda poleciłem mu, żeby nie identyfikował potencjalnie zainfekowanych elementów, ale być może to po prostu błąd? Byś może wirus był (wcześniej przecież ESS wskazywał konkretny plik), a teraz już go nie ma?

Nie wiem czy się przyda, ale tak wygląda log ESS z ostatnich kilkunastu dni:

log - ESET

[NieWiem]

No to mamy zgryza. Ostatnio jest straszna plaga trojanów zarażających właśnie pliki tych kontrolerów i nigdy nie wiadomo czego można się spodziewać. Niby virscan nic nie wykrył (jak mówisz) - ale w końcu ESET się pluje...

Ja bym optował za poszukaniem innych kopii tego pliku u Ciebie i podstawieniem tego, o którym ESET ma złe zdanie. Najlepiej by było wyekstraktować ten plik bezpośrednio z płyty instalacyjnej (o ile ją masz) i po prostu podmienić.

Jak nie, to możemy spróbować inaczej. Ja bym nie ryzykował zostawiania tego.

[Bartes]

Jak mówiłeś tak zrobiłem. Wyciągnąłem z płytki instalacyjnej plik atapi.sys i zgrałem go bezpośrednio na pendrive (czy mógł się w tym czasie zarazić?). Odpaliłem potem ubuntu z płyty i zastąpiłem zainfekowany plik świeżą kopią. Przez ostatnie parę minut nic się nie wydarzyło, ale tutaj nie ma reguły... muszę popracować kilka godzin. Wieczorem napiszę, czy operacja odniosła skutek;)

Dodano Dzisiaj, 23:45:
Wygląda na to, że pomogło... kilka godzin przy komputerze i jeszcze nic się nie pojawiło. Wielkie dzięki za pomoc i wskazówki, problem rozwiązany

[aneczkaz]

Ja mam podobną prośbę, wyświetla mi się taki sam komunikat:

Obiekt: C:\Windows\system32\drivers\atapi.sys
Zagrożenie: Win32/Olmarik.SJ wirus
Informacje: nie można wyleczyć

Korzystam z programu ESET Smart Security.

Tylko proszę Was, żebyście powiedzieli mniej więcej krok po kroku co zrobić, bo nie znam się dobrze na komputerach, jak to dziewczyny mają
Przeskanowałam system i pokazuje mi, że nie można usunąć tego pliku.

Z góry dzięki za pomoc! ;*

[wojtas]

aneczkaz, Proszę zastosować się do zasad wstawiania logów i założyć swój temat..

[aneczkaz]

yhy, dzięki, dobrze wiedzieć, jak wstawić logi:D