Trojan.Vundo "problemik"


(^sopel) #1

Witam,

mam problem z Vundo, co zresztą chyba nie dziwi. Tutaj jest mój log z Hijacka: http://wklejto.pl/txt4212

Otóż stało się coś dziwnego - przyznaję, że naprawdę nie wiem skąd się wziął ten syf, coś musiałem ściągnąć, pierwszy raz w życiu mi się zdarzyło.

Walczę z nim od 2 dni i nie daje to reazultatu. Używałem ComboFix, "Symantec Trojan.Vundo Removal", avasta!, Spybot S&D, VirtumundoBeGone... Za każdym razem praktycznie nic się nie wykryło, a problem nadal jest. Zainstalowałem BitDefendera i za każdym włączeniem kompa znajduje mi nowego *.dlla w C:\Windows\system32. (Pomijam fakt, że zainstalowałem BitDefendera mając avast!, którego nie mogę odinstalować, nie wiem czemu). Widać w logu, że niektóre dlle są usunięte, niektóre nie. Usuwanie ich nic nie daje, widocznie gdzieś indziej są jakieś przetrwalniki. Aha, nawet zainstalowałem Windows Defendera dla XP, który też wykrył jakiegoś dlla, wysłał go do uSoftu i skasował i g**** zrobił tak naprawdę... \

Macie może jakieś porady dla mnie? :cry:


(xeth) #2

użyj tego mi ostatnio pomógł inne programy albo w ogóle nie widziały albo widziały częściowo i usuwanie nic nie dawało ten znalazł i usunął wszystko

http://www.malwarebytes.org/mbam.php


(Porchekarera) #3

http://www.symantec.com/content/en/us/g ... xVundo.exe

Pobierz ten program coś takiego jak SDfix tylko, że przeznaczony na wirusy Vundo.


(Dmirecki) #4

FIX:

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\khfFWqqQ.dll 

C:\WINDOWS\system32\cbXPIccY.dll

C:\WINDOWS\system32\iifgHxXp.dll

C:\WINDOWS\system32\rregbaxx.dll

C:\WINDOWS\system32\qqjxotwu.dll

C:\WINDOWS\system32\hoxtkhnn.dll

Plik -> zapisz jako -> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

88953CFScript-createdbyMiekiemoes.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: **** Qoobox


(^sopel) #5

http://wklejto.pl/4229 - ComboFix log

http://wklejto.pl/4230 - nowy HijackThis log

Przed ComboFixem, użyłem tego: http://www.malwarebytes.org/mbam.php

Wyglądają chyba dobrze, co? Ale i tak komp mi znacznie barzdiej "muli" niż normalnie....


(huber2t) #6

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(^sopel) #7

To nie dało rady. Nie wiem w sumie czemu - "Nie można zaimportować... Określony plik nie jest skryptem rejestru. Można importować tylko pliki binarne z wewnątrz Edytora rejestru." Jak otworzyłem z Regedita, to był komunikat "Klucz ..... nie jest poprawnym kluczem rejestru". Ale zrobiłem to ręcznie. To był autostarty z pendrive'ów z tego co zauważyłem i one akurat mogły pochodzić z moich pendriveów które były zainfekowane w Laboratorium na Politechnice - tam jest pełno śmieci mimo, że są regularnie czyszczone.

Potem zrobiłem czysczenie CCleanerem. Usunął wuchte rzeczy, ok. 280MB, ale system nadal działa, czyli były niepotrzebne :wink:

Optymalizację autostartu robię sam praktycznie przy instalacji każdego programu i sprawdzam co mi się tam dodało. Poza tym, kontroluję też odpalające się przy starcie usługi.

Wyłączyłem i włączyłem Przywracanie systemu. Kaspersky w tej chwili skanuje, ale idzie mu to baaaardzo powoli. Póki co, to znalazł mi ComboFixa i VirtumundoBeGone, których chyba nieopatrznie zapomniałem usunąć i jeszcze jakieś psexesvc.exe. Jak tylko się to skończy, to tu wrzucę loga.

Dziwi mnie jednak to co się dzieje z tym kompem - na odpalenie FireFoxa muszę czekać niesamowicie długo. Jak już się odpali, to ma momentami takie zwiechy, że to koszmar, podobnie Opera, która uruchamia się szybko, natomiast ma jeszcze gorsze zwiechy... :confused: Internet Explorer chodzi tylko normalnie... :confused:


(huber2t) #8

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{698538e6-f69f-11dc-ad9e-001d60c5f5ed}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{698538e8-f69f-11dc-ad9e-001d60c5f5ed}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7a56c822-bdbc-11dc-acc2-0013e8bab901}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad1da4f9-f776-11dc-ada4-001d60c5f5ed}]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link


(^sopel) #9

http://wklejto.pl/4300 - log po ComboFixie.

Wszystko wydaje się być w porządku, BitDefender już mi jak porąbany nie usuwa nic, nic też nie alarmuje, ale Firefox nadal otwiera się długo i wiesza się... Hm dziwne.


(huber2t) #10

Powtórz moją wcześniejszą wskazówkę ponownie