Dziwne zachowanie komputera i komunikaty od emsisofta

**Posty:** 261 · przez **AdamPL234** 02 Mar 2016, 15:27

Witam, dzisiaj dziwnie sie zachowuje mój komputer bo w połowie gier Emsisoft wykrzykuje trojana Win32.Ramnit.B oraz Trojan Zbot.IPC B. Czy ktoś wie o co chodzi? Dodam że jakiś pliczek Desktoplayer.exe pojawia sie w folderze Microsoft domyślnie: C:/Program files x86/Microsoft/Desktoplayer.exe. Daje logi z FRST. Licze na pomoc.

FRST: http://wklej.org/id/2028028/
Addition: http://wklej.org/id/2028031/
Shortcut: http://wklej.org/id/2028033/

To nie wszystko. Bo jak włączam np: Metina to tworzy sie plik LanerisBezPatcherasrv.exe i Emsisoft go wykrywa jako trojan i usuwa go. Boże, prosze was pomóżcie mi z tym bo mi sie wydaje że komputer jest zainfekowany.

**Posty:** 4765 · przez **ordynat** 02 Mar 2016, 16:31

W logach nie widzę tego Desktoplayer.exe, ale jeśli rzeczywiście był, to byłaby to fatalna wiadomość, bo to plik wirusa RAMNIT/NIMNUL, który zaraża wszystkie pliki *.exe, *.htm, *.html

Na wszelki wypadek to sprawdzimy:
Użyj KVRT http://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry173216
Napisz, czy wykrył RAMNIT?

**Posty:** 261 · przez **AdamPL234** 02 Mar 2016, 16:35

Tak, wykrył był on w dwóch aplikacjach: MaxPayne3.exe oraz RelicDownloader.exe w lokalizacji COH TOV, ale infekcja chyba nadal jest aktywna.

Dodano Dzisiaj, 16:36:
Akcje dałem: Spróbuj wyleczyć bez restartu systemu, i niestety tylko MaxPayne3.exe wyleczył bez restartu.

Dodano Dzisiaj, 16:42:
Wykonałem najpierw skan Kaspersky Virus Removal Tool i wykrył te opisane elementy jako Ramnit powyżej. Przygotowałem sie troche i teraz używam narzędzia od Nortona który podobnie ma usunąć infekcje Ramnit. Co do Desktoplayer.exe to Emsisoft go przeniósł do kwarantanny. I niestety KVRT nie wykrył mi więcej śladów po Ramnit, ale nadal jak włączam lanerisa to robi sie taka sama aplikacja ale przy końcu ma dopisek: srv albo src. Ten niedorzeczny trojan zainfekował mi nawet pliki html steamu, gier oraz kilka gier na dysku twardym D. Ta infekcja to jest naprawde trudna. Ordynat, mam nadzieje że dasz rade mi jeszcze pomóc w pozbyciu sie tego trojana?

**Posty:** 4765 · przez **ordynat** 02 Mar 2016, 16:42

Takie leczenie jest bezcelowe, bo wyleczony plik i tak jest natychmiast zarażany.
Są tylko dwa wyjścia:
1) całkowite sformatowanie dysku i wgranie Systemu od nowa.
2) próba leczenia przy pomocy Kaspersky Rescue Disk http://www.fixitpc.pl/topic/102-p%C5%82yty-startowe-ze-skanerami/
.

**Posty:** 261 · przez **AdamPL234** 02 Mar 2016, 16:46

Przywracanie systemu nic nie pomoże czy to prawda? Symantec Ramnit Removal Tool skanuje mi cały komputer w poszukiwaniu tego trojana. Kapsersky Rescue Disk trzeba wypalić poprzez płyte botowalną tak samo jak Windowsa?

**Posty:** 4765 · przez **ordynat** 02 Mar 2016, 16:53

przywracanie Systemu nic nie pomoże.

Kaspersky Rescue Disk - w podanym linku masz chyba to opisane.
Jeśli dobrze pamiętam, to zamiast płyty można użyć bootowalne pendrive. http://agnipulse.com/2010/05/kaspersky-rescue-disk-10-bootable-usb-creator/

**Posty:** 261 · przez **AdamPL234** 02 Mar 2016, 17:14

Jak Symantec Ramnit Removal Tool nie rozwali Ramnita, biore sie za format systemu i sformatuje wszystkie dyski bo nawet Ramnit zainfekował mi połowe rzeczy na dysku Twardym.

**Posty:** 4765 · przez **ordynat** 02 Mar 2016, 17:24

Tak, RAMNIT to straszna infekcja.

**Posty:** 261 · przez **AdamPL234** 02 Mar 2016, 17:46

Chyba w końcu rozwaliłem Frajera, bo Symantec Ramnit Removal Tool znalazł wszystko co było zarażone infekcją Ramnita i jak włączam lanerisbezpatchera to już nie tworzy sie jego plik z dopiskiem srv. Nie wiem jeszcze jak na razie ze sytuacją, ale jeżeli sie to powtórzy, ponownie zastosuje to pomocne narzędzie albo zrobie format systemu formatując przede wszystkim wszystkie dyski. Ordynat, dać nowe logi z FRST dla pewności?

**Posty:** 4765 · przez **ordynat** 02 Mar 2016, 23:24

dać nowe logi z FRST dla pewności?

W przypadku takiej infekcji logi nie są miarodajne - ważne jest tylko to, czy skanery antywirusowe wykrywają jeszcze tego wirusa, czy nie.

Zauważyłem, że u Ciebie ta infekcja jest nikła, zarażone były tylko nieliczne pliki, a zwykle w takich przypadkach zarażone są wszystkie *.exe, *.htm, *.html.
Poza tym zarówno w Twoim pierwszym logu FRST.txt, jak i ostatnim (obejrzałem je w Twoim temacie na "fixitpc") - wpis z "userinit" wygląda tak:

HKLM\...\Winlogon: [Userinit] C:\Windows\SysWOW64\userinit.exe,

to jest normalny, prawidłowy wpis; natomiast zwykle, w pezypadku RAMNIT, w tym wpisie znajduje się też ścieżka "desktoplayer.exe".
Jednym słowem: u Ciebie w logach nic nie wskazywało, i nic teraz nie wskazuje na istnienie RAMNIT.

Co do logów, które podałeś na "fixitpc":
Tylko kosmetyka:
twórz Notatnik i wklej w nim:

AppInit_DLLs-x32: d3dgearload.dll => Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
BHO-x32: Brak nazwy -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} -> Brak pliku
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\pandasecuritytb.xml [2015-12-11]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
.

**Posty:** 261 · przez **AdamPL234** 03 Mar 2016, 08:24

Dzięki za pomoc ordynat, widać że Symantec Ramnit Removal Tool bez problemowo sobie poradził z tą infekcją.

Dodano Dzisiaj, 14:53:
Logi FRST wstawiam na prośbe użytkownika Garu.

FRST: http://wklej.org/id/2040992/

Addition: http://wklej.org/id/2041002/

Shortcut: http://wklej.org/id/2041003/

**Posty:** 538 · przez **Garu** 05 Mar 2016, 02:40

Poradził sobie dość dobrze, za to widać wiele szkód po infekcji.

**Posty:** 261 · przez **AdamPL234** 05 Mar 2016, 09:58

Garu, jeżeli w logach widzisz jakieś ślady lub szkody po Ramnicie, opisz mi liste elementów które trzeba będzie naprawić. Według mnie po użyciu Symantec Ramnit Removal Tool nie pozostało po Ramnit żadnego śladu bo infekcji nie widze nawet w menedżerze zadań.

**Posty:** 538 · przez **Garu** 05 Mar 2016, 13:31

Chodzi choćby o errory sieciowe, czy to: Name: N360 Settings Manager Description: N360 Settings Manager Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Manufacturer: Service: ccSet_N360.
Jestem tylko zaawansowanym użytkownikiem, który na starość przyspawał się do komputera. Od lat uczę się Windowsa i nawet przejechałem się na własnych błędach na życzenie.
To jednak wiem, że frst, ani żaden program nie wydłubie pozostałości po usuniętych aplikacjach z niektórych folderów systemowych i kluczy w rejestrze przypisanych do tych pozostałości. Do tego dochodzą miliony logów, które windows masowo zachowuje, wpisy w MFT i tam inne.
Oczyszczenie jest ważne. Widzę, że masz sporo w systemie. Poza wyłączeniem i ponownym włączeniem przywracania systemu, żeby nawet przypadkiem nie przywrócić usuniętego zagrożenia, trzeba posprzątać.
Na dzień dzisiejszy do pozbycia się balastu logfile i oczyszczenia systemu przed przystąpieniem do napraw, dostępny jest program PrivaZer. Można pobrać portable, bo to tylko program od wielkiego halo, a najlepszy do usuwania pozostałości po poprzednich instalacjach systemu. Także w tym przypadku oczyszczenia jakichkolwiek pozostałości: http://privazer.com/download.php
Po polsku, zapisuje ustawienia do pliku. Ze 25 minut potrwa, ale po wyczyszczeniu zrób screen z okna tego, co program wyczyścił i ile.

**Posty:** 261 · przez **AdamPL234** 05 Mar 2016, 15:31

Jak już zrobie, dam znać.

Dodano Dzisiaj, 17:29:
Garu, przeczyściłem system programem od ciebie i mam screena tylko nie wiem czy dobrze zrobiłem. Link: http://imgur.com/KrZICis

**Posty:** 538 · przez **Garu** 05 Mar 2016, 18:12

Bardzo dobrze. Wybyło 219929 logfile, 22368 wpisów rejestru, 38 katalogi - to znaczy, że poszło precz wiele balastu, a przede wszystkim wszystkie stare pliki, wszelkie pozostałości.
Jeśli nie robiłeś restartu, to zrób.

**Posty:** 261 · przez **AdamPL234** 05 Mar 2016, 18:38

Garu, Po restarcie coś jeszcze czy to już wszystko?

**Posty:** 538 · przez **Garu** 06 Mar 2016, 00:24

Ze wadliwymi sterownikami już sobie poradzisz. Jeśli chodzi o naprawę tych errorów sieciowych, trudno o lepszy wybór, niż complette internet repair http://www.programosy.pl/program,complete-internet-repair.html
Tu nie pobierzesz, tylko przeniesie Ciebie na stronę producenta, Klikniesz w zakładkę download i po prawej stronie będzi obrazek i complette internet repair, przeniesie Ciebie do downloadu i na dole niżej będzi podlinkowane do pobrania Complete Internet Repair (Build 2103) Potem trzeba czekać minutę, żeby pobrać na dysk.
Taki to urok pobierana z programosy tego programu

Albo bezpośredni link - po doczekaniu minuty pobierze się spakowany program
https://rizonesoft.com/download/complete-internet-repair/?wpdmdl=1030&ind=gSI-Chv8bGg2gNijU3eWBBTupR1cw5bLYKlX4iL9LJTPrqLFW0coUDMw5q6fs9Bd

Wypakujesz - tego się nie instaluje. Po angielsku, ale to tylko zaznaczasz pozycje:
1, 2, 3, 4, i 7, 8, 9, 10 - klikacz w Go!, po chwili monit o restart i o kilku błędach z połączeniami sieciowymi - zapomnisz.

**Posty:** 261 · przez **AdamPL234** 06 Mar 2016, 10:02

Garu, zrobiłem według twoich wskazówek tego programu który mi opisałeś, więc to już wszystko jest ok czy jeszcze musze coś zastosować?

**Posty:** 538 · przez **Garu** 06 Mar 2016, 11:33

To wszystko. Mam nadzieję, że system przyspieszył. Oprócz takich drobiela, jak używanie programu dllsuite. To zwykle jest niezła paczka szkodników. Ale możesz sprawdzić na https://www.virustotal.com/pl/ główny program exe z folderu programu. Sprawdź, bo może masz jakimś trafem czysty ten program?
Trzeba się samemu nauczyć pobierania, rejestrowania bibliotek .DLL.
Zresztą, trzeba nawyk sprawdzania każdego pobranego pliku właśnie na virus total, . Nawet taki głupi mały program Unchecky w trayu nie dopuściłby do tego, żeby się "samo" coś nie zainstalowało.

Kto jest na forum