VirtuMonde Vundo

lunetiz23 · 20 Maj 2008 21:57

Witam!

Avast zaczął krzyczeć że mam trojana VirtuMonde;

przeskanowałem kompa programem: “PREVXCSIFREE”, który wykrył pliki o nazwach:

geBtSKAQ.dll

ddcDvWPh.dll

ljJBrSKe.dll

qoMcCuRJ.dll

xxyXPGyV.dll

programem “VirtumundoBeGone” udało się zmienić nazwę pierwszego pliku na geBtSKAQ.dll.vir , reszty plików nawet nie wykrył i twierdzi że wszystko jest ok

Oto log z Combo Fix:

http://wklej.org/id/2bc35dfcfd

Co dalej?

Z góry bardzo dziękuję za wszelką pomoc i pozdrawiam

huber2t · 21 Maj 2008 03:05

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\xxyXPGyV.dll 

C:\WINDOWS\system32\ljJBrSKe.dll 

C:\WINDOWS\system32\ddcDvWPh.dll 

C:\WINDOWS\system32\qoMcCuRJ.dll 

C:\WINDOWS\system32\geBtSKAQ.dll.vir


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

lunetiz23 · 21 Maj 2008 19:56

ComboFix log:

http://www.wklej.org/id/4f5a5c6da4

PREVXCSIFREE od tego momentu nie wykrywa już virtumonde

bardzo uprzejmie dziękuję za pomoc: używam tego komputera do obliczeń…

jeśli mogę się jakoś odwdzięczyć - pisz

Leon1 · 21 Maj 2008 20:10

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

lunetiz23 · 23 Maj 2008 07:01

log z Kasperskiego:

http://www.wklej.org/id/eee36d73bb

niestety wszystkie czynnosci z poprzedniego postu musiałem wykonać w trybie awaryjnym włącznie ze skanowaniem kasperskim.

W trybie normalnego uruchomienia nie mogę nic kliknąć, ani zresetowac komputera…

huber2t · 23 Maj 2008 07:02

Opróżnij kosz

Powinno być ok

lunetiz23 · 23 Maj 2008 07:23

kosz w trybie normalnym udało się opróżnić, po czym nie mogłem znowu nic kliknąć.

Po naciśnięciu Alt+Ctrl+Shift i próbie zamknięcia systemu pokazała się informacja, że nie można zakończyć procesu HumGss…

huber2t · 23 Maj 2008 07:24

Daj nowego loga z hijackthis

lunetiz23 · 23 Maj 2008 07:28

ok ściągam z netu hijackthis

W dniu 23.05.2008 , o godzinie 9:28 został dopisany post przez lunetiz23

log z hijackthis:

http://www.wklej.org/id/5389b83ad3

huber2t · 23 Maj 2008 07:34

fix w hijackthis

Myślałem że to jakas zbedna usługa ale nie

lunetiz23 · 23 Maj 2008 07:39

jeśli mogę zauważyć to o ile wiem:

04:V0420Mon.exe to wpis od kamerki internetowej;

020:Winlogon Notify polecono mi dodać do rejestru (a teraz mam usunąć?)

w dalszym ciągu Fix ?

huber2t · 23 Maj 2008 07:48

Sterowniki od kamerki chyba nie muszą byc uruchamiane przy starcie systemu automatycznie

dlaczego polecono ci dodać ten wpis

lunetiz23 · 23 Maj 2008 07:55

Jeśli mogę w ten sposób:

Postprzez Leon$ w 21.05.2008 (Śro) 22:10

to jest post po tym jak wykonałem instrukcję dotyczącą usuwania VirtuMonde poprzez przeciągnięcie i upuszczenie pliku tekstowego na ComboFix’a.

Sprawdziłem po tym komputer w poszukiwaniu VirtuMonde i nie wykryto go.

Niestety po kilku godzinach od dodania wpisu do rejestru “Winlogon” komputer zaczął się zawieszać

przepraszam - już wcześniej się zawieszał

huber2t · 23 Maj 2008 07:59

Leon$ kazał ci usunąc ten wpis tak jak ja, jeśli chcesz to usuń linijkę z wpisem sterowników kamerki, a resztę fixuj

lunetiz23 · 23 Maj 2008 08:02

“zfixowałem” wszystko, dziękuję za poprawienie mnie

huber2t · 23 Maj 2008 08:04

Czy juz wszystko jest dobrze?

lunetiz23 · 23 Maj 2008 08:29

Po uruchomieniu komputera w trybie normalnym, po 20 sekundach nie mogę otworzyć żadnego folderu, a przy próbie zamknięcia systemu przez menadżera pojawia się komunikat: nie można zakończyć HumGss…Czyli objawy takie jak przed chwilą

W dniu 23.05.2008 , o godzinie 10:29 został dopisany post przez lunetiz23

w logu z hijackthis ponownie pojawil sie wpis:

020: Winlogon "geBtSKAQ…?? -ponownie go usunąłem i ponownie się pojawił…

huber2t · 23 Maj 2008 08:58

Daj nowego loga z combofix

lunetiz23 · 23 Maj 2008 09:10

nowy log ComboFix:

http://wklej.org/id/5180bb5c81

huber2t · 23 Maj 2008 09:14

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Pobierz The Avenger

wklej do niego ten tekst:

Registry keys to delete:

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geBtSKAQ

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt