Problem z Vundo

Dla specjalistów Bezpieczeństwo
#1

Witam

Od wczoraj borykam sie z trojanem Vundo. Norton znalazł jeden zainfekowany plik o nazwie umhkmwsu.dll, gdy nie mógł go usunąć zastosowałem Unlockera, niestety zawiesił mi się komputer.

Po resecie okazało się że zniknął ten plik umhkmwsu.dll, ale norton znalazł jeszcze jeden. Uruchomiłem VundoFixa znalazł nastepne infekcje i je usunął.

Do południa miałem spokój lecz gdy uruchomiłem IE Norton od razu zaalarmował wykryciem Downloadera.

Myślę, że nadal coś siedzi mi w komputerze.Prosze o poradę

hijack log http://wklej.org/apps/wklej-0.0.5.tar.gz

#2

to mó log sorki http://wklej.org/id/fe26f5d8

#3

http://wklej.org/id/fe26f5d8c6

nie wiem co źle zrobilem ten dziala na pewno, to mój pierwszy raz sorki

#4

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

wpisy

usuń HijackThisem >> Fix checked

Pobierz Combofix http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654 ale nie włączaj

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:

#5

Opis rozwiązania problemu był w CHIP-ie 11/2007. Zastosuj to, jeśli poprzednia porada nie zadziała.

  1. Zainstaluj Autoruns (słynny programik Sysinternals), uruchom go, wyszukaj wszystkie pliki startujące razem z systemem. Kliknij prawym na podejrzany plik i wybierz “search online”, jeśli to jest to- usuń wpis w Rejestrze.

  2. Zainstaluj Process Explorer (znowu Sysinternals :P), uruchom go i kliknij prawym na podejrzany proces i wybierz “Suspens”. To tylko blokuje pliki Vundo, dzięki czemu nie odtworzą się.

  3. Za pomocą Process Explorera zakończ podejrzane procesy- kliknij prawym i wybierz polecenie “Kill”.

  4. Jeszcze raz powtórz p. 1 oraz usuń manualnie pliki szkodnika.

To powinno zadziałać- jeśli nie, pisz.

#6

wpis O4 - HKLM…\Run: [bM37eb00c5] Rundll32.exe “C:\WINDOWS\system32\nswuinvh.dll”,s nie mozna usunąć hijackiem, prbowalem 3 razy.

Nie wiem teraz czy przechodzic do nastepnego etapu naprawy…

#7

jesli to cos pomoze moge usunąć plik unlockerem…

#8

Zrób to w trybie awaryjnym

#9

uruchom Combofix on usunie ten plik

#10

oto log z combofixa http://wklej.org/id/52ae1100d5

Napotkalem problemy przy tworzeniu raportu skryptu Combofixa zaraz po uruchomieniu sie windowsa…Norton próbowal kilkakrotnie zablokowac dzialanie Combo skonczylo sie to tym, ze wyłaczylem Nortona w procesach aby skonczyc prace tworzenai loga

log z hijacka http://wklej.org/id/544f27b30f

#11

http://www.searchengines.pl/index.php?showtopic=86306&st=0&p=395642entry395642

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:

#12

Ściągnij VundoFix i uruchom w trybie awaryjnym.

Kliknij na Scan for Vund o. Rozpocznie się wyszukiwanie trojana. Kiedy skończy się skanowanie i zostaną wykryte zainfekowane pliki, kliknij na Remove Vundo. Ujrzysz zapytanie czy usunąć wybrane pliki. Zatwierdzasz. Po chwili system uruchomi się ponownie. Na dysku C zostanie zapisany log z usuwania.

#13

Może to szczegół lecz po pierwszym alercie nortona o trojanie Vundo, zauwazylem w jego raporcie nieautoryzowany dostep mojego programu diskeeper, próbowałem kilkakrotnie usunąc diskeepera z autostartu ale bez skutku. Cały czas usuwam go ręcznie z procesów.

#14

Prosiłem o coś

:slight_smile:

#15

oto log choć dziwne jest, gdyz za pierwszym razem combo sam mi zresetował komputer i tworzyl plik log po wejsciu windowsa, tym razem pokazal mi log jeszcze w trybie awaryjnym…

http://wklej.org/id/cfa7c6d01e

#16

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj tym http://www.kaspersky.pl/virusscanner.html pokaż raport

włącz przywracanie systemu

:slight_smile:

#17

no nic, jutro spróbuje jeszcze przeskanowac VundoFix, Trojan.Vundo Removal Tool i VirtumundoBeGone, prosilbym o przejrzenie mojego loga z combo powalcze póxniej. Dzieki za wszytsko i pozdrawiam

#18

:slight_smile: dopiero zauwazyłem post Leona lecz nie rozumiem wątku “zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart”

#19

Przecież masz obrazki jak to zrobić z podpisami

:slight_smile:

#20

przykro mi ale scal z rejestrem i restart nei wiem jak to zrobic :frowning: