k.anonim
(Kw2323)
17 Czerwiec 2008 16:03
#1
Witam.
Mialem problem z Virtumonde ktory gosci na moim kompie. Chyba udalo mi sie go usunac. Prosze o przejrzenie loga z HijackThis (bo nie umiem tego robic) i odpowiedz czy wszystko jest w porzadku.
http://wklej.org/id/7b8a74ceee
Z gory bardzo dziekuje
Gutek
(Gutek)
17 Czerwiec 2008 18:45
#2
O2 - BHO: (no name) - {0DA92D43-CB98-4772-A20A-90B290BD1304} - C:\WINDOWS\system32\qoMeBuTj.dll (file missing)
O2 - BHO: (no name) - {26C39AE9-B8E9-4357-8AD9-00395587DD25} - C:\WINDOWS\system32\wvUNFvTn.dll (file missing)
O2 - BHO: (no name) - {5EC3F2D1-3145-4373-BCAF-6C5CACBE7578} - (no file)
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O20 - Winlogon Notify: byXPFUnO - C:\WINDOWS\
usuń wpisy HJT
Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ
Pozdrawiam Gutek2222
Daj log z ComboFix
k.anonim
(Kw2323)
17 Czerwiec 2008 20:19
#3
Temat postaralem sie poprawic, ale coz wiecej moge w nim napisac?
dzieki, juz usunalem to co zasugerowales.
log z ComboFix wstawie jutro
Gutek
(Gutek)
17 Czerwiec 2008 20:53
#4
Log jest potrzebny, czekamy na niego.
k.anonim
(Kw2323)
18 Czerwiec 2008 17:26
#5
Leon1
(Leon$)
18 Czerwiec 2008 17:38
#6
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
k.anonim
(Kw2323)
19 Czerwiec 2008 07:31
#7
Odpalilem CF ze skryptu, wyplul:
http://wklej.org/id/1cf14230ee
Potem odpolilem go jeszcze raz:
http://www.wklej.org/id/6e0f7d5731
A na koniec odpalilem HJT:
http://www.wklej.org/id/09a5564eb2
Mam jeszcze pytanie:
Czy jezeli przenosilem na pendrivie dane z mojego kompa to moglem ten drugi zarazic Virtumonde?
huber2t
(huber2t)
19 Czerwiec 2008 08:01
#8
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
k.anonim
(Kw2323)
19 Czerwiec 2008 19:46
#9
Uzylem Ccleanera.
Potem przeskanowalem KASPERSKYm:
http://wklej.org/id/0bf8ff2b3e
Z tego co zrozumialem za darmo nie ma kasowania tych wirusow?? On tworzy tylko log?
Ciekawe, wczesniej skanowalem MKS vir skanerem online i nic nie wykrywal (ale skanowal 45 min, a nie 5h).
zaraz zaistaluje dr. weba
huber2t
(huber2t)
19 Czerwiec 2008 20:03
#10
Usuń to:
C:\QooBox
E:\azureus`downloaded\informa\książki informatyczne\Adam Blaszczyk - Wirusy\Dysk do ksiazki.zip
H:\iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii\niezmienne\GMIP 1.0.452 - -podaje IP mojego kompa\gmip.exe
Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja
k.anonim
(Kw2323)
19 Czerwiec 2008 20:24
#11
to juz zrobilem tylko pytanie czy takie “reczne” usuniecie wystarczy?
k.anonim
(Kw2323)
19 Czerwiec 2008 20:39
#13
i jeszcze jedno: co z tym:
H:\System Volume Information\_restore{56D5CDA8-73D3-4EFB-A710-A5DECE50E1A8}\RP680\A0215342.EXE/updater.exe Zainfekowanych: Backdoor.Win32.Hupigon.ckyw pominięty
H:\System Volume Information\_restore{56D5CDA8-73D3-4EFB-A710-A5DECE50E1A8}\RP680\A0215342.EXE CAB: zainfekowany - 1 pominięty
H:\System Volume Information\_restore{56D5CDA8-73D3-4EFB-A710-A5DECE50E1A8}\RP680\A0215343.EXE/updater.exe Zainfekowanych: Backdoor.Win32.Hupigon.ckyw pominięty
H:\System Volume Information\_restore{56D5CDA8-73D3-4EFB-A710-A5DECE50E1A8}\RP680\A0215343.EXE CAB: zainfekowany - 1 pominięty
usunac??
huber2t
(huber2t)
19 Czerwiec 2008 20:40
#14
Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja
to usuwa te wirusy
k.anonim
(Kw2323)
26 Czerwiec 2008 22:12
#15
wlaczylem i wylaczylem
teraz avastem skanuje, troche to potrwa…
W dniu 27.06.2008 , o godzinie 0:12 został dopisany post przez k.anonim
kurcze, dlaczego moje przeczucie nie moglo byc mylne?
nic nie pisalem bo wszystko wygladalo ok ale zanim mialem to potwierdzic chcialem troche odczekac. no i…
zainstalowalem dzis Windowsa xp pro sp2 pl (legalnego) i zrobilem te rzeczy:
bylem odlaczony od neta, zaistalowalem zone alarm pro
zainstalowalem sterownik do karty sieciowej
polaczylem sie z netem, zeby zaistalowac i pobrac aktualizacje dla spybotS&D
rozlaczylem sie i przeskanowalem system
wykryl:
http://www.wklej.org/id/4b97d5b024
kazalem mu to naprawic zakomunikowal ze naprawil (ale ostatnio jak mialem to samo to tez wykrywal, usuwal, restartowalem kompa, skanowalem i z powrotem bylo)
No i znalazlem Vundo. Gdzie ono moze siedziec w moim koputerze? Jak sie tego na dobre pozbyc? Czy to mozliwe ze ono krazy po sieci mojego dostawcy netu i odrazu po wlaczeniu kompa sie mi instaluje? Jak ma sie przed tym zabezpieczyc?
Dodam ze system zainstalowalem na miejsce starego, po sformatowaniu partycji, wiec wydawaloby sie ze powinno to go skasowac, a jednak jest.
Log z HJT:
http://wklej.org/id/6d425d3d5e
Uzylem ComboFixa:
http://www.wklej.org/id/28a18a1a6d
Znow HJT:
http://www.wklej.org/id/49e6bc4a39
Naprawde bardzo mi zalerzy zeby sie tego pozbyc raz na zawsze, zeby nigdzie juz nie siedzialo.
Bardzo prosze o dalsza pomoc
Teraz skanuje Kasperskym i czekam na wynik.
huber2t
(huber2t)
26 Czerwiec 2008 22:41
#16
fix w hijackthis
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\umjhoyhp.dll
C:\WINDOWS\SYSTEM32\ddcYsRlI.dll
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03FAD63C-E9D7-4FC1-A51F-F2184A6EF112}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"8ca62438"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{C5E84927-CFF0-4CA3-A068-02E7C01C1E7C}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcYsRlI]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{31de6cc1-43cd-11dd-a802-806d6172696f}]
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org a w poście dajesz tylko link
Leon1
(Leon$)
26 Czerwiec 2008 22:50
#17
Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
k.anonim
(Kw2323)
27 Czerwiec 2008 07:57
#18
Juz wczesniej wylaczylem i wlaczylem przywracanie systemu.
Oto log ze skanowania kasperskym calego komputera:
http://wklej.org/id/4dc7892af3
Ok fiznalem te wpisy w HJT, wylacelem przywracanie systemu, opalilem pierwszy skrypt, wyskoczyl blad: “Instalacja nie powiodła się”, ale CF dalej pracowal, log:
http://www.wklej.org/id/4bba65e050
odpalilem drugi skrypt,log:
http://www.wklej.org/id/8281dd9f8e
HJT:
http://www.wklej.org/id/e21e076256
Przeskanowalem spybote i nic nie wykryl.
Jezeli mozecie to prosze odpowiedzcie:
Czy ten badziew siedzi gdzies na innej partycji niz C, czy on sie z sieci sam pobiera? Bo jezeli gdzies siedzi to pewnie znow sie niedlugo pojawi. Jak sie upewnic ze go nie ma juz na 100%?
huber2t
(huber2t)
27 Czerwiec 2008 07:59
#19
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\phyohjmu.ini
C:\WINDOWS\system32\byXNeEVP.dll_old
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org a w poście dajesz tylko link
k.anonim
(Kw2323)
27 Czerwiec 2008 21:01
#20