Virtumonde/PrivacyRemover


(Lexon) #1

Przy uruchamianiu kompa pokazywał mi się komunikat o zainfekowaniu systemu przez Win32/Adware.Virtumonde oraz Win32/PrivacyRemover.M64 a w trakcie pracy MksVir alarmował o próbach ataku na komputer.

Uruchomiłem więc ComboFixa, który wygenerował mi log, który załączam.

Objawy ustapiły (uruchomienie następuje bez komunikatu), na razie MksVir milczy - czy coś jeszcze muszę zrobić?

Zauważyłem też, że pozostały mi dwa katalogi: QooBox na głownym poziomie (to chyba z ComboFixa - czy mogę go skasować?) oraz w Program Files katalog o dziwnej nazwie ubopobe, w którym jest plik ProcWinSys.dll (którego nie da się skasować).

Będę wdzięczny za pomoc.


(Spandau) #2

Folder QooBox możesz skasować

Gdzie jest ten log?

:slight_smile:


(Lexon) #3

Sorry, zapomniałem, że podajemy link a nie plik...

http://www.wklej.org/id/7834/


(Spandau) #4

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(Agatonster) #5

Lexon ,

Zapoznaj się z tematem Ważny komunikat dotyczący tytułowania tematów - popraw tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty - proszę użyć przycisku ac7a4cd89050aa6e.gif

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.


(Lexon) #6

Wykonałem, nowy log na http://www.wklej.org/id/7845/

Mam jeszcze pytanie: uruchamiająć kompa w trybie awaryjnym zainstalowało mi sie konto Administratora. Czy mogę je usunąć?


(Spandau) #7

Nie usuwaj tego konta.

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

lub Dr.WEB CureIt!


(Lexon) #8

Wykonałem, raport z Kasperkiego tutaj: http://www.wklej.org/id/7918/

Wyglada na to, ze wszystko jest ok.

Ostatnie pytanie dotyczy wpisów powtarzających się w obu logach z ComboFixa:

"2008-09-28 14:11 . 2008-09-30 21:05 11,732 --a------ C:\WINDOWS\system32\1033s.sys"

"2008-09-28 14:10 . 2008-09-30 20:45 292 --a-s---- C:\WINDOWS\system32\113848604.dat"

w zestawie plików nowoutworzonych. Pierwszy z nich zawiera bowiem na podglądzie zestaw dziwnych adresów mailowych typu:

"48B9822E0E@noname.pl"

"totpmysa1984@HUSA.COM"

"0K6G00KZGYFZXRF0@mstore-in2-sc.centertel.pl"

"0K6G00801XRY9P00@mta1.centertel.pl"

"0K6G006PVYFPYM80@mta1.centertel.pl"

"48BADDB3A1@noname.pl"

Natomiast daty utworzenia plików są ewidentnie z okresu zarażenia.


(huber2t) #9

Usuń te pliki, to pozostałości po syfie

:slight_smile:


(Lexon) #10

Sprawa załatwiona.

Bardzo dziękuję za pomoc.