Czy Virtumonde został usnięty do końca?


(Kw2323) #1

Witam.

Mialem problem z Virtumonde ktory gosci na moim kompie. Chyba udalo mi sie go usunac. Prosze o przejrzenie loga z HijackThis (bo nie umiem tego robic) i odpowiedz czy wszystko jest w porzadku.

http://wklej.org/id/7b8a74ceee

Z gory bardzo dziekuje


(Gutek) #2
O2 - BHO: (no name) - {0DA92D43-CB98-4772-A20A-90B290BD1304} - C:\WINDOWS\system32\qoMeBuTj.dll (file missing) 

O2 - BHO: (no name) - {26C39AE9-B8E9-4357-8AD9-00395587DD25} - C:\WINDOWS\system32\wvUNFvTn.dll (file missing) 

O2 - BHO: (no name) - {5EC3F2D1-3145-4373-BCAF-6C5CACBE7578} - (no file) 

O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)

O20 - Winlogon Notify: byXPFUnO - C:\WINDOWS\

usuń wpisy HJT

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Daj log z ComboFix


(Kw2323) #3

Temat postaralem sie poprawic, ale coz wiecej moge w nim napisac?

dzieki, juz usunalem to co zasugerowales.

log z ComboFix wstawie jutro


(Gutek) #4

Log jest potrzebny, czekamy na niego.


(Kw2323) #5

oto kod z CF:

http://wklej.org/id/5172bddcc6


(Leon$) #6

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Kw2323) #7

Odpalilem CF ze skryptu, wyplul:

http://wklej.org/id/1cf14230ee

Potem odpolilem go jeszcze raz:

http://www.wklej.org/id/6e0f7d5731

A na koniec odpalilem HJT:

http://www.wklej.org/id/09a5564eb2

Mam jeszcze pytanie:

Czy jezeli przenosilem na pendrivie dane z mojego kompa to moglem ten drugi zarazic Virtumonde?


(huber2t) #8

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Kw2323) #9

Uzylem Ccleanera.

Potem przeskanowalem KASPERSKYm:

http://wklej.org/id/0bf8ff2b3e

Z tego co zrozumialem za darmo nie ma kasowania tych wirusow?? On tworzy tylko log?

Ciekawe, wczesniej skanowalem MKS vir skanerem online i nic nie wykrywal (ale skanowal 45 min, a nie 5h).

zaraz zaistaluje dr. weba


(huber2t) #10

Usuń to:

C:\QooBox

E:\azureus`downloaded\informa\książki informatyczne\Adam Blaszczyk - Wirusy\Dysk do ksiazki.zip

H:\iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii\niezmienne\GMIP 1.0.452 - -podaje IP mojego kompa\gmip.exe

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

:slight_smile:


(Kw2323) #11

to juz zrobilem tylko pytanie czy takie "reczne" usuniecie wystarczy?


(huber2t) #12

Powinno wystarczyć


(Kw2323) #13

i jeszcze jedno: co z tym:

H:\System Volume Information\_restore{56D5CDA8-73D3-4EFB-A710-A5DECE50E1A8}\RP680\A0215342.EXE/updater.exe	Zainfekowanych: Backdoor.Win32.Hupigon.ckyw	pominięty

H:\System Volume Information\_restore{56D5CDA8-73D3-4EFB-A710-A5DECE50E1A8}\RP680\A0215342.EXE	CAB: zainfekowany - 1	pominięty

H:\System Volume Information\_restore{56D5CDA8-73D3-4EFB-A710-A5DECE50E1A8}\RP680\A0215343.EXE/updater.exe	Zainfekowanych: Backdoor.Win32.Hupigon.ckyw	pominięty

H:\System Volume Information\_restore{56D5CDA8-73D3-4EFB-A710-A5DECE50E1A8}\RP680\A0215343.EXE	CAB: zainfekowany - 1	pominięty

usunac??


(huber2t) #14

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

to usuwa te wirusy


(Kw2323) #15

wlaczylem i wylaczylem

teraz avastem skanuje, troche to potrwa....

W dniu 27.06.2008 , o godzinie 0:12 został dopisany post przez k.anonim

kurcze, dlaczego moje przeczucie nie moglo byc mylne?

nic nie pisalem bo wszystko wygladalo ok ale zanim mialem to potwierdzic chcialem troche odczekac. no i...

zainstalowalem dzis Windowsa xp pro sp2 pl (legalnego) i zrobilem te rzeczy:

  1. bylem odlaczony od neta, zaistalowalem zone alarm pro

  2. zainstalowalem sterownik do karty sieciowej

  3. polaczylem sie z netem, zeby zaistalowac i pobrac aktualizacje dla spybotS&D

  4. rozlaczylem sie i przeskanowalem system

  5. wykryl:

http://www.wklej.org/id/4b97d5b024

  1. kazalem mu to naprawic zakomunikowal ze naprawil (ale ostatnio jak mialem to samo to tez wykrywal, usuwal, restartowalem kompa, skanowalem i z powrotem bylo)

No i znalazlem Vundo. Gdzie ono moze siedziec w moim koputerze? Jak sie tego na dobre pozbyc? Czy to mozliwe ze ono krazy po sieci mojego dostawcy netu i odrazu po wlaczeniu kompa sie mi instaluje? Jak ma sie przed tym zabezpieczyc?

Dodam ze system zainstalowalem na miejsce starego, po sformatowaniu partycji, wiec wydawaloby sie ze powinno to go skasowac, a jednak jest.

Log z HJT:

http://wklej.org/id/6d425d3d5e

Uzylem ComboFixa:

http://www.wklej.org/id/28a18a1a6d

Znow HJT:

http://www.wklej.org/id/49e6bc4a39

Naprawde bardzo mi zalerzy zeby sie tego pozbyc raz na zawsze, zeby nigdzie juz nie siedzialo.

Bardzo prosze o dalsza pomoc

Teraz skanuje Kasperskym i czekam na wynik.


(huber2t) #16

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\umjhoyhp.dll

C:\WINDOWS\SYSTEM32\ddcYsRlI.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03FAD63C-E9D7-4FC1-A51F-F2184A6EF112}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"8ca62438"=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] 

"{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcYsRlI]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{31de6cc1-43cd-11dd-a802-806d6172696f}]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org a w poście dajesz tylko link


(Leon$) #17

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Kw2323) #18

Juz wczesniej wylaczylem i wlaczylem przywracanie systemu.

Oto log ze skanowania kasperskym calego komputera:

http://wklej.org/id/4dc7892af3

Ok fiznalem te wpisy w HJT, wylacelem przywracanie systemu, opalilem pierwszy skrypt, wyskoczyl blad: "Instalacja nie powiodła się", ale CF dalej pracowal, log:

http://www.wklej.org/id/4bba65e050

odpalilem drugi skrypt,log:

http://www.wklej.org/id/8281dd9f8e

HJT:

http://www.wklej.org/id/e21e076256

Przeskanowalem spybote i nic nie wykryl.

Jezeli mozecie to prosze odpowiedzcie:

Czy ten badziew siedzi gdzies na innej partycji niz C, czy on sie z sieci sam pobiera? Bo jezeli gdzies siedzi to pewnie znow sie niedlugo pojawi. Jak sie upewnic ze go nie ma juz na 100%?


(huber2t) #19

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\phyohjmu.ini

C:\WINDOWS\system32\byXNeEVP.dll_old

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org a w poście dajesz tylko link


(Kw2323) #20

ok, tak zrobilem, CFlog:

http://wklej.org/id/e9492e900a

HJTlog:

http://www.wklej.org/id/a0170751d1