Problem z Virtumonde

ziewak · 12 Kwiecień 2008 14:04

Witam,

od kilku dni staram się pozbyć Vmonde, niestety bez większych efektów. Wielokrotnie skanowałem system (ArcaMicroScan, Ad-Aware, Dr.Web, FixVundo, VundoFix,VirtumundoBeGone) i próbowałem sobie poradzić za pomocą: HiJackThis, ComboFix, Avenger (pierwsze kroki). Czasem po skasowaniu zarażonych plików przez kilka godzin wszystko było ok jednak później problem znów powracał. Jeśli ktoś ma jakieś pomysły … Z góry dziękuję za pomoc.

Oto logi zrobione po w/w próbach usunięcia złosliwego oprogramowania:

HijackThis:

http://wklej.org/id/b936eb0ca2

ComboFix:

http://wklej.org/id/409b15f15d

Leon1 · 12 Kwiecień 2008 15:54

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml lub format

wpis

usuń HijackThisem >> Fix checked

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

ziewak · 12 Kwiecień 2008 17:22

Log z Combofix:

http://wklej.org/id/97333c0f05

Leon1 · 12 Kwiecień 2008 17:43

W dodaj /usuń programy odinstaluj

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj tym http://www.kaspersky.pl/virusscanner.html pokaż raport

włącz przywracanie systemu

ziewak · 13 Kwiecień 2008 14:56

Kaspersky:

http://wklej.org/id/dae1d59e22

Leon1 · 13 Kwiecień 2008 17:10

Statystyki skanowania:

Liczba skanowanych obiektów: 80085

Liczba wykrytych wirusów: 18

Liczba zainfekowanych obiektów: 56

Liczba podejrzanych obiektów: 0

opróżnij kosz C i D

C:\RECYCLER\S-1-5-21-343818398-1417001333-725345543-1003\Dc2\Quarantine\C\Program Files\ShoppingReport\Bin\2.0.24\ShoppingReport.dll.virZainfekowanych: not-a-virus:AdWare.Win32.Shopper.l C:\RECYCLER\S-1-5-21-343818398-1417001333-725345543-1003\Dc2\Quarantine\C\WINDOWS\system32\juvqrkxs.exe.virZainfekowanych: Trojan-Downloader.Win32.Obfuscated.ok D:\RECYCLER\S-1-5-21-515967899-839522115-1659246787-1003\Dg20.exe/stream/data0006Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.62pominięty D:\RECYCLER\S-1-5-21-515967899-839522115-1659246787-1003\Dg20.exe/streamZainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.62pominięty D:\RECYCLER\S-1-5-21-515967899-839522115-1659246787-1003\Dg20.exeNSIS: zainfekowany - 2pominięty D:\RECYCLER\S-1-5-21-515967899-839522115-1659246787-1003\Dg21.exe/data0001.binZainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.616pominięty D:\RECYCLER\S-1-5-21-515967899-839522115-1659246787-1003\Dg21.exemIRC: zainfekowany - 1pominięty

opróżnij kwarantanne DoctorWeb

do usunięcia

C:\Documents and Settings\yyy.jpi_cache\jar\1.0\arr3.jar-53b20018-1698534e.zip/Beyond.classZainfekowanych: Trojan.Java.ClassLoader.k C:\Documents and Settings\yyy.jpi_cache\jar\1.0\arr3.jar-53b20018-1698534e.zipZIP: zainfekowany - 1 C:\Documents and Settings\yyy.jpi_cache\jar\1.0\loaderadv712.jar-32a7fc63-7ceb7b2c.zip/Matrix.classZainfekowanych: Trojan-Downloader.Java.OpenStream.c C:\Documents and Settings\yyy.jpi_cache\jar\1.0\loaderadv712.jar-32a7fc63-7ceb7b2c.zipZIP: zainfekowany - 1 C:\Program Files\eMule\Incoming\Secured Downloading of warmińsko mazurska książka telefoniczna with New Secured eMule.zip/SecuredeMule_11_EN_FF_-1206954153.exe/WISE0015.BIN/data0015/data0005Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.l C:\Program Files\eMule\Incoming\Secured Downloading of warmińsko mazurska książka telefoniczna with New Secured eMule.zip/SecuredeMule_11_EN_FF_-1206954153.exe/WISE0015.BIN/data0015Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.l C:\Program Files\eMule\Incoming\Secured Downloading of warmińsko mazurska książka telefoniczna with New Secured eMule.zip/SecuredeMule_11_EN_FF_-1206954153.exe/WISE0015.BINZainfekowanych: not-a-virus:AdWare.Win32.Shopper.l C:\Program Files\eMule\Incoming\Secured Downloading of warmińsko mazurska książka telefoniczna with New Secured eMule.zip/SecuredeMule_11_EN_FF_-1206954153.exeZainfekowanych: not-a-virus:AdWare.Win32.Shopper.l C:\Program Files\eMule\Incoming\Secured Downloading of warmińsko mazurska książka telefoniczna with New Secured eMule.zipZIP: zainfekowany - 4 C:\Program Files\Napisy\napisy.exeZainfekowanych: Trojan-Downloader.Win32.Agent.bzh C:\Program Files\Secured eMule\Zapu-SecuredEMule-Installer.exe/data0015/data0005Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.l C:\Program Files\Secured eMule\Zapu-SecuredEMule-Installer.exe/data0015Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.l C:\Program Files\Secured eMule\Zapu-SecuredEMule-Installer.exeNSIS: zainfekowany - 2 C:\Program Files\Tlen.pl\plugins\DozaKultury.tplZainfekowanych: not-a-virus:AdWare.Win32.Doza.a

takich instalek nie trzymaj na dysku co jakiś czas wychodzą nowe wersje

pozostałe instalki również usuń po co ci jeżeli są z wirusami

D:\MOJE D\instalki\freecd.iso/Internet/Komunikatory/Free Tlen 5.50.3.2 PL/tleninst55032.exe;1/data0020Zainfekowanych: not-a-virus:AdWare.Win32.Doza.apominięty D:\MOJE D\instalki\freecd.iso/Internet/Komunikatory/Free Tlen 5.50.3.2 PL/tleninst55032.exe;1Zainfekowanych: not-a-virus:AdWare.Win32.Doza.apominięty D:\MOJE D\instalki\freecd.iso/Internet/Zdalny dost?p/GPL Real VNC 4.0 En/uvncinstallerSF1.00.exe;1/uvncinstallerSF1.00/src/vnchooks.dllZainfekowanych: not-a-virus:RemoteAdmin.Win32.WinVNC.e D:\MOJE D\instalki\freecd.iso/Internet/Zdalny dost?p/GPL Real VNC 4.0 En/uvncinstallerSF1.00.exe;1Zainfekowanych: not-a-virus:RemoteAdmin.Win32.WinVNC.epominięty D:\MOJE D\instalki\freecd.iso/Internet/Zdalny dost?p/GPL Real VNC 4.0 En/vnc-4.0-x86_win32.exe;1/data0002Zainfekowanych: not-a-virus:RemoteAdmin.Win32.WinVNC.4pominięty D:\MOJE D\instalki\freecd.iso/Internet/Zdalny dost?p/GPL Real VNC 4.0 En/vnc-4.0-x86_win32.exe;1/data0003Zainfekowanych: not-a-virus:RemoteAdmin.Win32.WinVNC.4pominięty D:\MOJE D\instalki\freecd.iso/Internet/Zdalny dost?p/GPL Real VNC 4.0 En/vnc-4.0-x86_win32.exe;1/data0006Zainfekowanych: not-a-virus:RemoteAdmin.Win32.WinVNC.4pominięty D:\MOJE D\instalki\freecd.iso/Internet/Zdalny dost?p/GPL Real VNC 4.0 En/vnc-4.0-x86_win32.exe;1Zainfekowanych: not-a-virus:RemoteAdmin.Win32.WinVNC.4pominięty D:\MOJE D\instalki\freecd.iso/Internet/Zdalny dost?p/GPL Real VNC 4.0 En/vnc-4.0-x86_win32_viewer.exe;1Zainfekowanych: not-a-virus:RemoteAdmin.Win32.WinVNC.4pominięty D:\MOJE D\instalki\freecd.iso/Media/Odtwarzacze DVD/Free Cliprex DVD Player 1.0 En/Cdvd.exe;1/stream/data0008Zainfekowanych: not-a-virus:AdWare.Win32.NewDotNetpominięty D:\MOJE D\instalki\freecd.iso/Media/Odtwarzacze DVD/Free Cliprex DVD Player 1.0 En/Cdvd.exe;1/stream/data0009Zainfekowanych: not-a-virus:AdWare.Win32.EZula.bipominięty D:\MOJE D\instalki\freecd.iso/Media/Odtwarzacze DVD/Free Cliprex DVD Player 1.0 En/Cdvd.exe;1/stream/data0010Zainfekowanych: not-a-virus:AdWare.Win32.MyWay.jpominięty D:\MOJE D\instalki\freecd.iso/Media/Odtwarzacze DVD/Free Cliprex DVD Player 1.0 En/Cdvd.exe;1/stream/data0011Zainfekowanych: Trojan-Downloader.Win32.Small.asfpominięty D:\MOJE D\instalki\freecd.iso/Media/Odtwarzacze DVD/Free Cliprex DVD Player 1.0 En/Cdvd.exe;1/streamZainfekowanych: Trojan-Downloader.Win32.Small.asfpominięty D:\MOJE D\instalki\freecd.iso/Media/Odtwarzacze DVD/Free Cliprex DVD Player 1.0 En/Cdvd.exe;1Zainfekowanych: Trojan-Downloader.Win32.Small.asfpominięty D:\MOJE D\instalki\freecd.isoISOimage: zainfekowany - 15pominięty D:\MOJE D\instalki\SUSE-Linux-10.1-GM-i386-CD1.iso/dosutils/tightvnc/tightvnc-1.2.9-setup.exe/data0002Zainfekowanych: not-a-virus:RemoteAdmin.Win32.WinVNC-based.hpominięty D:\MOJE D\instalki\SUSE-Linux-10.1-GM-i386-CD1.iso/dosutils/tightvnc/tightvnc-1.2.9-setup.exe/data0003Zainfekowanych: not-a-virus:RemoteAdmin.Win32.WinVNC-based.b D:\MOJE D\instalki\SUSE-Linux-10.1-GM-i386-CD1.iso/dosutils/tightvnc/tightvnc-1.2.9-setup.exeZainfekowanych: not-a-virus:RemoteAdmin.Win32.WinVNC-based.bpominięty D:\MOJE D\instalki\SUSE-Linux-10.1-GM-i386-CD1.isoISOimage: zainfekowany - 3pominięty D:\MOJE D\instalki\tleninst55032.exe/data0020Zainfekowanych: not-a-virus:AdWare.Win32.Doza.apominięty D:\MOJE D\instalki\tleninst55032.exeNSIS: zainfekowany - 1pominięty D:\MOJE D\instalki\tleninst55032.exeUPX: zainfekowany - 1pominięty D:\Tata D\instalki\mirc616.exe/data0001.binZainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.616pominięty D:\Tata D\instalki\mirc616.exemIRC: zainfekowany - 1pominięty D:\Tata D\instalki\tleninst55032.exe/data0020Zainfekowanych: not-a-virus:AdWare.Win32.Doza.apominięty D:\Tata D\instalki\tleninst55032.exeNSIS: zainfekowany - 1pominięty D:\Tata D\instalki\tleninst55032.exeUPX: zainfekowany - 1

Po usunięciu przeskanuj jeszcze raz Kasperskim dla pewności

powinno być OK

ziewak · 15 Kwiecień 2008 07:58

Czysto, Kaspersky nic nie znalazł. Bardzo dziękuję za pomoc