Najprawdopodobniej trojan.Vundo@dll

Witam.

Na samym początku chciałem zaznaczyć, że (delikatnie ujmując) nie jestem znawcą dziedziny.

Jakiś czas temu pilnie potrzebowałem starej wersji pewnego programu statystycznego. Długo nie mogłem go znaleźć, aż w końcu napotkałem go na jakiejś ruskiej stronę. Byłem naprawdę zdesperowany więc ściągnąłem, przy instalacji pozwoliłem na zmiany w SpyBocie i od tamtego czasu zaczęły się problemy.

Program wogóle nie zadziałał (już nie pamiętam czemu), za to Avast jak najbardziej. Od razu pojawił się komunikat, że wykryło trojana. Nie bawię się w kwarantanny tylko od razu usuwałem, ale tym razem komunkat pojawiał się kilka razy w ciągu dnia. (komunikat pokazywał, że trojan nosił nazwę Vundo@dll) Sytuacja trwała tak przez kilka dni. Męczyło mnie to już, więc zacząłem szperać w necie. Tym sposobem ściągnąłem HiJackThis, RegCleaner i antywirusa - Nortona 2008 (choć próbowałem z Kaspersky’m i jakimiś innymi programami) i próbowałem sam coś pokombinować. Mimo, że zdawało mi się, że opanowałem sytuację, to teraz przy uruchamianiu Windowsa pojawia się błąd “Brak dysku”. Wnioskuję więc, że coś nie do końca zrobiłem dobrze (o ile wogóle coś zrobiłem). Cały czas mam przeczucie, że coś jednak tam siedzi.

Nie wiem nawet czy te wszystkie informacje są do czegoś potrzebne ale chciałem ułatwić ew. pomoc w rozwiązywaniu mojego problemu.

Bardzo proszę o pomoc.

oto log z HiJacka

http://wklej.org/id/329d2d1cd7

wpisy

usuń HijackThisem >> Fix checked

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:

Proszę zastosować się do tego Tematu i edytować własnego posta

w celu zmiany jego tytułu na konkretny.

W przeciwnym razie topic wyląduje w Śmietniku.

Leon$,

po pierwsze: wielkie dzięki za pomoc,

po drugie: zrobiłem wszystko tak jak mi kazałeś. ComboFix jednak nie utworzył loga, bo nie mógł odnaleźć pliku(?).

po trzecie: SpyBot wyświetlił komunikat o zmianie w rejestrze, chodzi tu o “ukyxbdxk.dll”,b" - odrzuciłem zmianę… Zrobiłem dobrze?

po czwarte: nie mam loga z ComboFix’a to zamieszczę jeszcze raz z HiJacka (po oczyszczeniu ComboFix’em), może Ci to w czymś pomoże: http://wklej.org/id/b2a1d218fb

W dniu 01.06.2008 , o godzinie 1:45 został dopisany post przez bania1986

szanowny moderatorze :slight_smile:

sorry, po prostu tak naprawdę nie potrafię określić problemu, stąd taki a nie inny tytuł.

Spróbuj podczas pobierania zapisać nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Combo-Fix.exe

Jak sie operacja uruchomienia nie powiedzie to daj log z Deckard’s System Scanner

huber2t

przeskanowałem system DSS’em. pojawiły się dwa logi.

main.txt —> http://wklej.org/id/e0af1b48c0

extra.txt —> http://www.wklej.org/id/d8feed818f

dzięki za zainteresowanie problemem

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\kncvkddo.dll 

C:\WINDOWS\system32\looXFfhk.ini2

C:\WINDOWS\system32\khfFXool.dll 

C:\WINDOWS\system32\nnnkHyaX.dll

C:\WINDOWS\system32\khfFXool.dll


Registry keys to delete:

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{09584CFF-17B4-4A66-9AA5-176548A6EEF5}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{48F0B738-34A6-4113-B966-33C4EF85BCD9}  

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D1F85178-D67F-4888-BCE6-562DBEFF2764}

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcDUmKC

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e119a71d-e908-11db-95b6-0016e66684cf}

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

podczas pracy Avenger’a pojawił mi się jakiś błąd, ale chyba wszystko jest w porządku

log avenger.txt —> http://wklej.org/id/b89a186167

Daj nowego loga z deckard z pliku main.txt

proszę bardzo :slight_smile: —> http://wklej.org/id/182698a121

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 ale nie włączaj

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

nie ma loga to

Start >> wyszukaj >> ComboFix.txt

:slight_smile:

ok, dzięki,

oto ComboFix.txt —> http://wklej.org/id/443a0e3b1c

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:

avenger.txt —> http://wklej.org/id/8a7a746534

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:

raport z Kaspresky’ego —> http://wklej.org/id/ee08c3352e

usuń to ręcznie

:slight_smile:

już to zrobiłem, czy to wszystko??

Tak teraz masz czysty system i wszystko powinno być OK

:slight_smile:

Bardzo dziękuję za pomoc, Panowie - jesteście najlepsi! =D> =D> =D>