Problem z Virtumonde zaczął się gdy próbowałem uruchomić nieznany plik ściągnięty z dziwnej strony (wiem wiem… głupota nr1) no ale komu się to nigdy nie zdarzyło.
Tego trojana wykrył mi Spyboot-S&D i teoretycznie go usunął - Symantec Endpoint Protection nie alarmował o problemie dopóki jakiś inny program nie próbował kasować trojana. Jednak objawy nie ustępowały - wolno działający system, wyłączone aktualizacje automatyczne, reset niektórych ustawień po każdym uruchomieniu kompa i kilka innych typowych objawów dla tego trojana.
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
niestety dziwnie to wygląda bo o ile niektóre wpisy o infekcji wskazują na kwarantanę innych programów to pojawiły się kolejne pliki na D:
Kolejna dziwna rzecz jaka zauważyłem to fakt że nie mogę wyświetlić ani plików ukrytych ani systemowych… Wygląda to tak że odznaczam odpowiednie punkty klikam zastosuj ale nie daje to żadnego efektu i gdy kolejny raz wchodzę w zmianę widoku folderów to są te opcje zaznaczone.
Pliki skasowałem tak jak było w zaleceniu. Dodatkowo próbowałem użyć CCleanera do skasowania nie potrzebnych wpisów w rejestrze ale tych wpisów nie kasuje a one powodują wyskakiwanie komunikatów przy starcie systemu że - albo nie można zlokalizować pliku albo komunikat RUNDLL - błąd podczas ładowania rcjplfd.dll
Dziwi mnie trochę to że Drivery do drukarki traktuje jak trojana. Nic z tym nie zrobiłem bo nie wiem czy to błędna interpretacja DrWeba czy faktycznie plik został zainfekowany??
Wygląda na to że wszystko wróciło do normy. Sprawdziłem jeszcze Hijackiem i nie widzę w nim dziwnych wpisów.
Mam jeszcze jedynie problem z tymi wyskakującymi okienkami podczas startu systemu że nie może zlokalizować pliku. Gdzieś pewnie został syf w autostarcie ale nie mogę go zlokalizować i usunąć. CCleaner widzi ale nie bardzo sobie z tym radzi.
Jeszcze raz wielkie dzięki
no i poszło. Okazało się że SpyBoot SD a właściwie rezydent SD blokował wszystkie zmiany rejestru tych wpisów. Po zwolnieniu tej blokady udało się wykasować te wpisy i wszystko działa jak należy.