Podczas skanowania komputera, Spybot wykrył infekcje: Virtumonde w c:\Windows\system32\zipfldr.dll oraz dwa zmienione wpisy w rejestrze przez Microsoft.Windows.AppFirewallBypass. Usunąłem je Spybot’em, przeskanowałem także NOD32, który nic nie wykrył. Później przy wyłączonym Spybocie i Nodzie, uruchomiłem ComboFix, a po restarcie w trybie awaryjnym HijackThis. Poniżej logi:
Po wykonaniu zadanej czynności ComboFix (log nr 1), przeskanowałem system Spybotem, który ponownie wykrył Virtumonde w lokalizacji c:\Windows\system32\zipfldr.dll. Użyłem “Napraw zaznaczone problemy” w Spybocie i zrestartowałem system. Nastęnie znów włączyłem skanowanie, które wskazało Virtumonde, tym razem w c:\Windows\system32\xvidvfw.dll. Bez naprawiania, ponownie uruchomiłem ComboFix (log nr2). Zastanawiam się nad funkcjami folderów c:\windows\system32\xircom; c:\program files\microsoft frontpage, bo czas ich utworzenia oscyluje wokół czasu infekcji ~21.03, dodam, że wiem co to za foldery, ale niczego wtedy nie instalowałem i nie mam nic z xircom. Zapytuję o plik c:\windows\system32\acfddeeb_z.ocx, gdyż nie znalazłem informacji na jego temat w sieci. Nie usuwam ich samodzielnie, zdaję się na ekspertów.
Skorzystałem z ze wszystkich narzędzi pod wyżej podanym linkiem, łącznie z Kaspersky Virus Remval Tool, niczego nie znalazły. Późniejszy skan Ad-Aware, a-squared Anti-Malware oraz Dr WEB CureIt także niczego istotnego nie stwierdził. Zamyknąłem porty programem wwdc, uruchomiłem PromiscDetect na obecność sniffera, wszystko w porządku. Następnie uruchomiłem RootkitRevealer oraz Gmer, zatem proszę o analizę logów: