Palarax
(Braaadpiter)
28 Marzec 2008 18:35
#1
Witam …
Tak wiem szukałem na Google i na forum jak usunąć Virtumonde ba nawet jest parę tematów w dół podobny topic, ale “posiadam” jakąś trudną odmiane tego virusa . Na początku próbowałem HijackThis , ComboFix - nic nie daje … Następnie probowałem tego : http://www.bezpieczenstwosystemow.pl/in … opic=180.0 , ten jakby mogło sie zdawac “dream team” zdołał usunąć jedynie 2 wpisy … Skąd wiem ze mam wiecej ? Kiedy skanuje Spybot’em wyskakują mi 3 pliki Virtumonde.exe i 6 Virtumonde.dll (wczesniej zawsze mialem 8 .dll) niby klikam żeby je usunąć ,ale jak znowu zeskanuje komputer wyskakuje to samo ;/ Pomyślałem dobra format i … po formacie dalej to samo -.- . Nie chce już mi sie męczyć z tym virusem … Moze ktos ma jakies propozycje ???
Z góry będę bardzo wdzięczny …
Leon1
(Leon$)
28 Marzec 2008 18:43
#2
Palarax
(Braaadpiter)
28 Marzec 2008 19:06
#3
ComboFix
ComboFix 08-03-27.1 - piotrek 2008-03-28 19:57:56.1 - NTFSx86
Running from: C:\Documents and Settings\piotrek\Pulpit\ComboFix.exe
* Resident AV is active
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\BM4f4b3637.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\aqtinbng.ini
C:\WINDOWS\system32\fgjlm.ini
C:\WINDOWS\system32\fgjlm.ini2
C:\WINDOWS\system32\gnbnitqa.dll
C:\WINDOWS\System32\mljgf.dll
C:\WINDOWS\system32\olvvkxei.dll
C:\WINDOWS\system32\yybeg.ini
C:\WINDOWS\system32\yybeg.ini2
.
((((((((((((((((((((((((( Files Created from 2008-02-28 to 2008-03-28 )))))))))))))))))))))))))))))))
.
2008-03-28 18:59 . 2008-03-28 19:59
[b]HijackThis[/b]
[code]Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:05:21, on 2008-03-28 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Winamp Remote\bin\OrbTray.exe C:\Program Files\kRk Software\GG Tools\GGT.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\explorer.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {241A3249-B6CB-4B94-BF0A-AB1E418410B7} - C:\WINDOWS\System32\gebyy.dll (file missing) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {9AAB8E06-30C0-4812-8765-286E00DC46ED} - C:\WINDOWS\System32\vtsts.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU…\Run: [Orb] “C:\Program Files\Winamp Remote\bin\OrbTray.exe” /background O4 - HKCU…\Run: [GG Tools] “C:\Program Files\kRk Software\GG Tools\GGT.exe” /tray O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O20 - Winlogon Notify: nnnmjgf - C:\WINDOWS\ O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe – End of file - 4284 bytes
Leon1
(Leon$)
28 Marzec 2008 19:52
#4
otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
Leon1
(Leon$)
28 Marzec 2008 20:13
#6
te pliki
przeskanuj na http://virusscan.jotti.org/
Pobierz program SDFix
Palarax
(Braaadpiter)
28 Marzec 2008 20:47
#7
Tego drugiego pliku nie moglem znaleźć …
W pierwszym 4 antyiry wykryły virusa .
SDFix: Version 1.163 Run by piotrek on 2008-03-28 at 21:33 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-28 21:43:23 Windows 5.1.2600 NTFS scanning hidden processes … scanning hidden services & system hive … scanning hidden registry entries … scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Mon 28 Jan 2008 1,404,240 A.SHR — “C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe” Mon 28 Jan 2008 5,146,448 A.SHR — “C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe” Mon 28 Jan 2008 2,097,488 A.SHR — “C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe” Finished!
Leon1
(Leon$)
29 Marzec 2008 15:06
#8
usuń Unlockerem lub w trybie awaryjnym
usuń ręcznie folder C: \Qoobox
usuń instalkę Combofix z dysku.
Włącz przywracanie systemu
Palarax
(Braaadpiter)
29 Marzec 2008 17:30
#9
Usunąłem SpyBotem jak narzazie jest wszystko ok …
Dzieki
Gutek
(Gutek)
30 Marzec 2008 11:48
#10
Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350