Trojan Vundo

Dla specjalistów Bezpieczeństwo
#1

Witam,

Bardzo proszę o sprawdzenie loga.

Od pewnego czasu przy uruchomieniu systemu pojawiał się komunikat, że w stacji dysków A nie ma dysku. Dodatkowo, również przy starcie, “coś” zawsze chciało inicjować połączenie z Netem. Strona główna (domyślna) Internet Explorer uparcie zawsze zmieniała się na adres:

http://dbsarticles.com (w Firefox’ie nie było tego problemu).

Równie często mój program antywirusowy “blokował” wirusy/pliki, m.in. takie jak:

a.exe;

lo.exe;

mdm.exe;

mmdmm.exe;

msmsgs.exe.

Wczoraj, po zaktualizowaniu programu antywirusowego, okazało sie, że mam Trojana Vundo. I od tego momentu przy uruchomianiu systemu, pulpit po krótkiej chwili robił się “pusty” (tzn. brak paska, ikon itd., jedynie sama tapeta), tak, że nie było możliwości jakiegokolwiek ruchu. W trybie awaryjnym zrobiłam przywracanie systemu, a potem użyłam programów VundoFix, Trojan.Vundo Removal Tool i VirtumondeBeGone. Na koniec oczywiście ComboFix.

Poniżej link do loga:

http://wklej.org/id/f64513e1e6

Będę wdzięczna za pomoc,

Pozdrawiam serdecznie

#2

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\lox.exe

C:\lo.exe

C:\WINDOWS\System32\urqQiHxY.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5A246A78-0CF9-4823-948E-7C82F596A9EF}]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mlJDtusq]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

#3

http://wklej.org/id/d9b5b2168c

Nie wiem, czy będzie to istotne, ale mój antywirus generował teraz jeszcze komunikaty o możliwym zagrożeniu ze strony:

mmdmm_~1.exe;

mixit_~1.exe;

(nie wiem czy słusznie).

#4

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\mdm.exe



Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Windows Driver"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"=-

"WinampAgent"=-

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

#5

http://wklej.org/id/f0e057fd78

#6

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:

#7

Raport ze skanowania Kasperskim:

http://wklej.org/id/aa7dff847b

#8

Usuń ręcznie ten folder:

Powinno byc ok

:slight_smile:

#9

Ogromne podziękowania wszystkim za pomoc :smiley:

Mam jeszcze tylko jedno pytanie: używam BitDefendera i Spyware Doctor, i szczerze mówiąc zastanawiam się, czy nie usunąć plików z kwarantanny w tych programach.

#10

Powinieneś usunąć pliki z kwarantanny

#11

Usunięte.

Jeszcze raz bardzo dziękuję Wam za pomoc. Mam nadzieję, że teraz wszystko będzie działać tak, jak powinno :slight_smile:

Pozdrawiam.