Virtumonde/PrivacyRemover

Lexon · 1 Październik 2008 14:50

Przy uruchamianiu kompa pokazywał mi się komunikat o zainfekowaniu systemu przez Win32/Adware.Virtumonde oraz Win32/PrivacyRemover.M64 a w trakcie pracy MksVir alarmował o próbach ataku na komputer.

Uruchomiłem więc ComboFixa, który wygenerował mi log, który załączam.

Objawy ustapiły (uruchomienie następuje bez komunikatu), na razie MksVir milczy - czy coś jeszcze muszę zrobić?

Zauważyłem też, że pozostały mi dwa katalogi: QooBox na głownym poziomie (to chyba z ComboFixa - czy mogę go skasować?) oraz w Program Files katalog o dziwnej nazwie ubopobe, w którym jest plik ProcWinSys.dll (którego nie da się skasować).

Będę wdzięczny za pomoc.

spandaupol · 1 Październik 2008 14:53

Folder QooBox możesz skasować

Gdzie jest ten log?

Lexon · 1 Październik 2008 15:29

Sorry, zapomniałem, że podajemy link a nie plik…

http://www.wklej.org/id/7834/

spandaupol · 1 Październik 2008 16:08

wklej do notatnika:

File:: C:\WINDOWS\system32\drivers\578.exe C:\WINDOWS\system32\drivers\893.exe C:\WINDOWS\system32\drivers\72.exe C:\WINDOWS\system32\drivers\849.exe C:\WINDOWS\system32\drivers\28.exe C:\WINDOWS\system32\drivers\919.exe C:\WINDOWS\system32\drivers\77.exe C:\WINDOWS\system32\drivers\54.exe C:\WINDOWS\system32\drivers\557.exe C:\WINDOWS\system32\zirczsxs.exe C:\WINDOWS\system32\Adobey.dll C:\Program Files\ubopobe\ProcWinSys.dll C:\Documents and Settings\All Users\Dane aplikacji\gjglufaj\wvmbufkl.exe Folder:: C:\Program Files\ubopobe C:\Documents and Settings\All Users\Dane aplikacji\gjglufaj Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run] “VVXh3lP9yp”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] “ProcWinSys”=-

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

Agaton · 1 Październik 2008 16:19

Lexon ,

Zapoznaj się z tematem Ważny komunikat dotyczący tytułowania tematów - popraw tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty - proszę użyć przycisku

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

Lexon · 1 Październik 2008 17:00

Wykonałem, nowy log na http://www.wklej.org/id/7845/

Mam jeszcze pytanie: uruchamiająć kompa w trybie awaryjnym zainstalowało mi sie konto Administratora. Czy mogę je usunąć?

spandaupol · 1 Październik 2008 17:37

Nie usuwaj tego konta.

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

lub Dr.WEB CureIt!

Lexon · 1 Październik 2008 23:42

Wykonałem, raport z Kasperkiego tutaj: http://www.wklej.org/id/7918/

Wyglada na to, ze wszystko jest ok.

Ostatnie pytanie dotyczy wpisów powtarzających się w obu logach z ComboFixa:

“2008-09-28 14:11 . 2008-09-30 21:05 11,732 --a------ C:\WINDOWS\system32\1033s.sys”

“2008-09-28 14:10 . 2008-09-30 20:45 292 --a-s---- C:\WINDOWS\system32\113848604.dat”

w zestawie plików nowoutworzonych. Pierwszy z nich zawiera bowiem na podglądzie zestaw dziwnych adresów mailowych typu:

“48B9822E0E@noname.pl”

"totpmysa1984@HUSA.COM"

“0K6G00KZGYFZXRF0@mstore-in2-sc.centertel.pl”

“0K6G00801XRY9P00@mta1.centertel.pl”

“0K6G006PVYFPYM80@mta1.centertel.pl”

“48BADDB3A1@noname.pl”

Natomiast daty utworzenia plików są ewidentnie z okresu zarażenia.

huber2t · 2 Październik 2008 03:35

Usuń te pliki, to pozostałości po syfie

Lexon · 2 Październik 2008 07:51

Sprawa załatwiona.

Bardzo dziękuję za pomoc.