Virtumonde i PrivacyRemover.M64


(Mtklimek) #1

Witam serdecznie proszę o pomoc (bo jestem zielona) i wgląd w loga.

Objawy : komp się restartuje zniknęła tapeta a na jej miejsce pojawił się komunikat o wirkach no i oczywiście nie śmiga jak kiedyś.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:11:32, on 2008-10-11

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\System32\rs32net.exe

C:\WINDOWS\system32\lphcv5oj0ev27.exe

C:\Program Files\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Documents and Settings\ewa.HOME-0CC1882B7D\Dane aplikacji\Adobe\Player.exe

C:\Program Files\RALINK\Common\RaUI.exe

C:\Program Files\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe

C:\Program Files\Spyware Doctor\pctsAuxs.exe

C:\Program Files\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Program Files\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe

C:\Program Files\Browser Hijack Recover\bhr.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\MsiExec.exe

C:\WINDOWS\system32\MsiExec.exe

C:\WINDOWS\system32\MsiExec.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\ewa.HOME-0CC1882B7D\iuns.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRAMY\hijack\HiJackThis.exe

C:\DOCUME~1\EWA~1.HOM\USTAWI~1\Temp\sft_ver1.1454.0.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,nkp2.exe,C:\WINDOWS\system32\ntos.exe,

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe

O4 - HKLM..\Run: [mssrv32] c:\windows\system32\mssrv32.exe

O4 - HKCU..\Run: [] C:\Documents and Settings\ewa.HOME-0CC1882B7D\Dane aplikacji\Adobe\Player.exe

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O20 - Winlogon Notify: joswifuj - C:\WINDOWS\SYSTEM32\joswifuj.dll

O20 - Winlogon Notify: vtumkigx - vtUmkiGx.dll (file missing)

O20 - Winlogon Notify: winctrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Windows Network Data Management System Service (bvdmss) - Unknown owner - C:\WINDOWS\system32\bvdmss.exe (file missing)

O23 - Service: Symantec Eraser Service (erasersvc10822) - Symantec Corporation - C:\Program Files\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Norton AntiVirus (norton antivirus) - Symantec Corporation - C:\Program Files\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe

O23 - Service: PC Tools Auxiliary Service (sdauxservice) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdcoreservice) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--

End of file - 4619 bytes

Pozdrawiam


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\System32\rs32net.exe

C:\WINDOWS\system32\lphcv5oj0ev27.exe

C:\DOCUME~1\EWA~1.HOM\USTAWI~1\Temp\sft_ver1.1454.0.exe

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Mtklimek) #3

Ale onsię nie chce otworzyć w awaryjnym ani w żadnym innym poza normalnym.


(huber2t) #4

Więc uurchom go w normalnym


(Mtklimek) #5

Kurcze napisał że nie można otworzyć C:Windows\system32\CF3192.exe i stoi

,,Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces.


(Leon$) #6

wpisy

usuń HijackThisem >> Fix checked

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

potem log Combofixa uruchom dwuklikiem

:slight_smile:


(Mtklimek) #7

A jednak coś zrobił. Trzeba było trochę poczekać. Wysyłam. http://wklej.org/id/10126/


(Mtklimek) #8

Dzięki za zainteresowanie Leon$. Może na razie skorzystam z podpowiedzi Huberta2t bo nie wiem czy mogę wszystko robić na raz. :smiley:


(huber2t) #9

Log mi podałes na pw oto rozwiązanie:

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system32\auwiqugs.ini

C:\WINDOWS\system32\wl149032.dl_

C:\WINDOWS\system32\wini104552664.exe

C:\WINDOWS\system32\drivers\81bb092d.sys

C:\WINDOWS\system32\drivers\623e59ed.sys

C:\WINDOWS\system32\vl149032.dl_

C:\dlsnd.exe

C:\WINDOWS\system32\vk149032.dl_

C:\WINDOWS\system32\drivers\f620f079.sys

C:\rmxgdx.exe

C:\WINDOWS\system32\8104297.jun

C:\WINDOWS\system32\drivers\2640ad09.sys

C:\fvxivy.exe

C:\WINDOWS\system32\blphcv5oj0ev27.scr

C:\WINDOWS\system32\tk149032.dl_

C:\d3.exe

C:\WINDOWS\system32\vi149032.dl_

C:\WINDOWS\system32\sk149032.dl_

C:\WINDOWS\system32\sh149032.dl_

C:\WINDOWS\system32\nh149032.dl_

C:\WINDOWS\system32\o}319965.dl_


Folder::

C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\nmjgjena


Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]

"YfAAiiGuDW"=-

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Mtklimek) #10

Podaję loga.Sorry za PW. http://wklej.org/id/10364/


(huber2t) #11

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system32\jrctubtx.ini

C:\WINDOWS\system32\drivers\ethgopab.sys

C:\WINDOWS\system32\drivers\f250b1.sys

C:\WINDOWS\system32\pl149032.dl_

C:\WINDOWS\system32\drivers\ati8pxxx.sys

C:\d2.exe

C:\1277111886


Driver::

winqy75

winve54

winwg43

winxf18

ethgopab

bvdmss


Registry::

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\winfo54.sys]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Mtklimek) #12

I następny http://wklej.org/id/10502/.


(Gutek) #13
  1. Wykonaj skan Dr. Web CureIt

  2. Daj loga z mbr.exe

Nadal:

C:\WINDOWS\system32\vk149032.dl_

C:\WINDOWS\system32\nh149032.dl_

(Mtklimek) #14

Jeżeli to to to proszę bardzo http://wklej.org/id/10601/.

Czy któreś z tych logów wskazywało na obecność W32.Sality.AB AE. Norton ciągle pokazuje że wykrył zagrożenie bezpieczeństwa?


(Mtklimek) #15

Oooo chyba już za późno. Coś się porombało z nortonem kazał zrestartować komputer, a teraz mam tylko tapetę i nic.Chyba cała praca na marne.


(huber2t) #16

Podaj log z Combofix

Log z mbr.exe ok