Problem z trojanem(?) - Virtumonde


(Jasiek Obratanski) #1

Witam,

Musiałem gdzieś przez przypadek złapać jakiegoś syfa. Powoduje on, że nie mogę otwierać najczęściej odwiedzanych witryn w przeglądarkach innych niż IE. Gdy zaś włącze IE pokazuje mi się coś takiego:

Na Operze czy Mozilli najczęściej odwiedzane przeze mnie witryny ładują się i ładują... ale nigdy się nie wczytują. Dodatkowo po wyłączeniu Mozilli zawsze pokazuje mi się taki komunikat:

untitled4.png

Mój problem częściowo rozwiązuje program Spybot - Search Destory:

Po usunięciu tych wpisów mogę już wchodzić na ulubione witryny, ale problem się nawraca po każdym restarcie komputera. Dodatkowo nienaturalnie często mryga lampka od użycia pamięci(?) - walec, jedna z ikonek jaką mam na laptopie obok lampki baterii, WiFi itp. Wydaje się przy tym charakterystyczny dźwięk, chyba nie musze mówić, jak jest on denerwujący, jeśli powtarza się co sekundę.

Z góry dziękuje za pomoc :?


(huber2t) #2

Pokaż log z combofix i Hijackthis

Kolejność jak podałem


(Jasiek Obratanski) #3

(Gutek) #4

Wklej do Notatnika:

File::

C:\WINDOWS\system32\ysibxgtt.ini

C:\WINDOWS\system32\byXQjHBr.dll_old

C:\WINDOWS\system32\ajifqxoc.ini

C:\WINDOWS\system32\jcskbppr.ini

C:\WINDOWS\system32\qxrlfide.ini

C:\WINDOWS\system32\qlwfoban.ini

C:\WINDOWS\system32\krxyokrq.ini

C:\WINDOWS\system32\cersivxa.ini

C:\WINDOWS\system32\nsipnvrw.ini

C:\WINDOWS\BM37c7d2cd.xml


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{57452FB1-9B65-4AAA-A2B9-9FDF5803830F}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5806DD89-D54C-455A-AE12-666D6A0C14C7}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E3E368E1-ECF1-46C3-847D-F310FC19E013}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EE5A1465-1E73-4784-8F63-45983FDF0DB8}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F0E81C80-199F-446E-9788-98123EE28C56}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"34f4e151"=-

"BM37c7d2cd"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16t=213350


(Jasiek Obratanski) #5

Dziękuję :slight_smile:

Log po wykonaniu czynności: http://wklej.org/id/67de6cc0f3

Mam nadzieje, że już jest wszystko dobrzę :wink:


(jessica) #6

Zrób jeszcze to:

Wyłącz chwilowo Rezydenta Spybot Tea Timer.

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{57452FB1-9B65-4AAA-A2B9-9FDF5803830F}] 


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5806DD89-D54C-455A-AE12-666D6A0C14C7}] 


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E3E368E1-ECF1-46C3-847D-F310FC19E013}] 


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0E81C80-199F-446E-9788-98123EE28C56}]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"BM37c7d2cd"=-


[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]


[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SRS Audio Sandbox]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru).

Zrestartuj komputer.

Nic więcej w logu nie jest podejrzane.

jessi