Virtumonde - kasowanie


(Jarkoki) #1

Na wstępie witam wszystkich!

Problem z Virtumonde zaczął się gdy próbowałem uruchomić nieznany plik ściągnięty z dziwnej strony (wiem wiem.. głupota nr1) no ale komu się to nigdy nie zdarzyło.

Tego trojana wykrył mi Spyboot-S&D i teoretycznie go usunął - Symantec Endpoint Protection nie alarmował o problemie dopóki jakiś inny program nie próbował kasować trojana. Jednak objawy nie ustępowały - wolno działający system, wyłączone aktualizacje automatyczne, reset niektórych ustawień po każdym uruchomieniu kompa i kilka innych typowych objawów dla tego trojana.

Lekarstwo na ten problem znalazłem tu http://antyvir.blogspot.com/2007/01/usuwanie-trojana-vundo-virtumonde.html

przeskanowałem system zgodnie z zaleceniem autora tamtej porady czyli w trybie awaryjnym VundoFix, FixVundo - Symanteca, VirtumondoBeGone i w końcu ComboFix.

VundoFix znalazł problemy i po restarcie teoretycznie miało ich nie być a pozostałe aplikacje poza ComboFix niczego nie znalazły.

Teraz system działa lepiej (szybciej) po restarcie nie resetują się ustawienia i włączone są aktualizacje automatyczne.

Jednak nie mam pewności co do 100% skuteczności bo pojawia mi się na starcie systemu komunikat że nie można odnaleźć pliku khfEUllL.dll - jak pozbyć się tego wpisu i o czym to świadczy?? pozostał wpis w rejestrze czy nadal siedzi gdzieś ukryty virtumonde i próbuje się uruchomić??

log ComboFixhttp://wklejto.pl/5787

W msconfig - uruchamianie nadal mam wpis - Rundll32.exe "C:\Windows\System32\rcjplfrd.dll",s , jakiś \keyfile.key

Nie wiem czy to nie są wpisy tego trojana.

Proszę o sprawdzenie i loga i instrukcje jak dalej postąpić z tymi plikami bo reinstalkę traktuję jak ostateczność.


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\yayyYQGa.dll_old

C:\WINDOWS\system32\xxyaaWPF.dll_old

C:\Program Files\Uninstall Ask Toolbar.dll

C:\WINDOWS\system32\nbqwgamu.dll_old


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0dcbabc0-36bb-11dd-8b6d-001a4b60df4c}]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link


(Jarkoki) #3

Dziękuję za zainteresowanie.

Log wg instrukcji.

http://wklejto.pl/5790


(huber2t) #4

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Jarkoki) #5

Log Kaspersky

http://wklejto.pl/5806

niestety dziwnie to wygląda bo o ile niektóre wpisy o infekcji wskazują na kwarantanę innych programów to pojawiły się kolejne pliki na D:

Kolejna dziwna rzecz jaka zauważyłem to fakt że nie mogę wyświetlić ani plików ukrytych ani systemowych... Wygląda to tak że odznaczam odpowiednie punkty klikam zastosuj ale nie daje to żadnego efektu i gdy kolejny raz wchodzę w zmianę widoku folderów to są te opcje zaznaczone.


(Spandau) #6

Opróżnij kwarantanne Symantec AntiVirus

Usuń te pliki:

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeskanuj ponownie obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum


(Jarkoki) #7

Log Combo http://wklejto.pl/5878

Log Kaspersky http://wklejto.pl/5879


(Spandau) #8
  1. Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

  2. Opróżnij kosz

rób to zawsze po usuwaniu plików

  1. Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log.

Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

lub format


(Jarkoki) #9

A więc tak.. Mam jedną partycję wirtualną zaszyfrowaną - jest to właśnie E:\

ten log Combo gdy partycja nie działa (zapomniałem o tym) http://wklejto.pl/5888

a ten log gdy działa ta partycja i jest odszyfrowana http://wklejto.pl/5889

Pliki skasowałem tak jak było w zaleceniu. Dodatkowo próbowałem użyć CCleanera do skasowania nie potrzebnych wpisów w rejestrze ale tych wpisów nie kasuje a one powodują wyskakiwanie komunikatów przy starcie systemu że - albo nie można zlokalizować pliku albo komunikat RUNDLL - błąd podczas ładowania rcjplfd.dll


(huber2t) #10

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Jarkoki) #11

log z DrWeba http://wklejto.pl/5912

Dziwi mnie trochę to że Drivery do drukarki traktuje jak trojana. Nic z tym nie zrobiłem bo nie wiem czy to błędna interpretacja DrWeba czy faktycznie plik został zainfekowany??


(huber2t) #12

To są tylko przypuszczenia że to trojan więc się neie przejmuj


(Jarkoki) #13

Wielkie dzięki wszystkim zainteresowanym.

Wygląda na to że wszystko wróciło do normy. Sprawdziłem jeszcze Hijackiem i nie widzę w nim dziwnych wpisów.

Mam jeszcze jedynie problem z tymi wyskakującymi okienkami podczas startu systemu że nie może zlokalizować pliku. Gdzieś pewnie został syf w autostarcie ale nie mogę go zlokalizować i usunąć. CCleaner widzi ale nie bardzo sobie z tym radzi.

Jeszcze raz wielkie dzięki !!

no i poszło. Okazało się że SpyBoot SD a właściwie rezydent SD blokował wszystkie zmiany rejestru tych wpisów. Po zwolnieniu tej blokady udało się wykasować te wpisy i wszystko działa jak należy.

Jeszcze raz dzięki