Infekcja Virtumonde i Microsoft.Windows.AppFirewallBypass

edek96 · 22 Marzec 2009 21:50

Witam.

Podczas skanowania komputera, Spybot wykrył infekcje: Virtumonde w c:\Windows\system32\zipfldr.dll oraz dwa zmienione wpisy w rejestrze przez Microsoft.Windows.AppFirewallBypass. Usunąłem je Spybot’em, przeskanowałem także NOD32, który nic nie wykrył. Później przy wyłączonym Spybocie i Nodzie, uruchomiłem ComboFix, a po restarcie w trybie awaryjnym HijackThis. Poniżej logi:

ComboFix: http://wklejto.pl/29459

HijackThis: http://wklejto.pl/29460

Proszę o pomoc w rozwiązaniu problemu.

huber2t · 23 Marzec 2009 04:55

Wklej do notatnika:

Folder::

c:\windows\NV39603964.TMP

c:\windows\NV20042000.TMP


Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000000

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.org a w poście dajesz tylko link

edek96 · 23 Marzec 2009 13:47

Po wykonaniu zadanej czynności ComboFix (log nr 1), przeskanowałem system Spybotem, który ponownie wykrył Virtumonde w lokalizacji c:\Windows\system32\zipfldr.dll. Użyłem “Napraw zaznaczone problemy” w Spybocie i zrestartowałem system. Nastęnie znów włączyłem skanowanie, które wskazało Virtumonde, tym razem w c:\Windows\system32\xvidvfw.dll. Bez naprawiania, ponownie uruchomiłem ComboFix (log nr2). Zastanawiam się nad funkcjami folderów c:\windows\system32\xircom; c:\program files\microsoft frontpage, bo czas ich utworzenia oscyluje wokół czasu infekcji ~21.03, dodam, że wiem co to za foldery, ale niczego wtedy nie instalowałem i nie mam nic z xircom. Zapytuję o plik c:\windows\system32\acfddeeb_z.ocx, gdyż nie znalazłem informacji na jego temat w sieci. Nie usuwam ich samodzielnie, zdaję się na ekspertów.

ComboFix:

log nr 1: http://wklej.org/id/68426/

log nr 2: http://wklej.org/id/68427/

Leon1 · 23 Marzec 2009 14:38

skorzystaj z narzędzia Vundofix http://www.bezpieczenstwosystemow.pl/index.php?topic=180.0

pod linkiem opis infekcji Virtumonde oraz sposób usunięcia

edek96 · 24 Marzec 2009 20:13

Skorzystałem z ze wszystkich narzędzi pod wyżej podanym linkiem, łącznie z Kaspersky Virus Remval Tool, niczego nie znalazły. Późniejszy skan Ad-Aware, a-squared Anti-Malware oraz Dr WEB CureIt także niczego istotnego nie stwierdził. Zamyknąłem porty programem wwdc, uruchomiłem PromiscDetect na obecność sniffera, wszystko w porządku. Następnie uruchomiłem RootkitRevealer oraz Gmer, zatem proszę o analizę logów:

RootkitRevealer: http://wklej.org/id/69091/

Gmer: http://wklej.org/id/69092/

Na koniec wyczysciłem system AFT, CCleanerem i zrobiłem skan ComboFixem i HijackThis:

ComboFix: http://wklej.org/id/69093/

HijackThis: http://wklej.org/id/69095/

Liczę na pomoc i ewentualne sugestie.