Trojan Virtumonde - prośba o sprawdzenie loga

piotrek216 · 24 Maj 2008 14:34

Witam, proszę o sprawdzenie loga z programu ComboFix na obecność trojana Virtumonde. Złapałem go i próbowałem usunąć programami FixVundo, VundoFix i VirtumundoBeGone, aczkolwiek tylko VirtumundoBeGone wykrył obecność trojana (i mam nadzieje że go usunął :] ).

log VirtumundoBeGone: http://www.wklej.org/id/dec304b0c8

log ComboFix: http://wklej.org/id/a91209467a

huber2t · 24 Maj 2008 14:38

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\dyvvykeo.ini

C:\WINDOWS\system32\oekyvvyd.dll

C:\WINDOWS\system32\blackster.scr 

C:\WINDOWS\system32\urqRHbAT.dll.vir 

C:\WINDOWS\system32\tuvSmkKB.dll 

C:\WINDOWS\system32\mlJBTMFx.dll

C:\WINDOWS\system32\oekyvvyd.dll


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTRegRun"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"1415900b"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Przeczyść komputer Ccleanerem

piotrek216 · 24 Maj 2008 14:49

Zrobione. oto log: http://www.wklej.org/id/b1862928e5

huber2t · 24 Maj 2008 14:53

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\tuvSjkif.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8A513F10-01C7-4891-8182-CE33B909D46F}]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

piotrek216 · 24 Maj 2008 14:58

zrobione, log: http://www.wklej.org/id/47b55dc8cc

huber2t · 24 Maj 2008 15:03

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.

piotrek216 · 24 Maj 2008 20:30

To raport ze skanowania http://wklej.org/id/05e8c713de

kacper1344 · 24 Maj 2008 21:59

C:\Program Files\Mozilla Firefox\plugins\NPMyGlSh.dll

F:\programy\uzytkowe\nagrywanie_plyt\Nero\Nero7.exe/Toolbar.exe

F:\programy\multimedialne\kodeki\Windows_Essentials_Codec_Pack\Setup.exe NSIS

F:\programy\multimedialne\kodeki\Windows_Essentials_Codec_Pack\Setup.exe/data0076

Usuń to ręcznie

piotrek216 · 25 Maj 2008 07:22

Teraz dopiero zauważyłem że F:\programy\uzytkowe\ to jest napęd a danych z płyty raczej nie wykasuje.

EDIT: Dodam jeszcze że ta płyta to Komputer Świat Niezbędnik.

kacper1344 · 25 Maj 2008 08:24

To weź ta płytę wyjmij z napędu a resztę usuń ręcznie.

piotrek216 · 25 Maj 2008 14:49

Dzięki za pomoc.