VirtuMonde Vundo


(Zdzichoos) #1

Witam!

Avast zaczął krzyczeć że mam trojana VirtuMonde;

przeskanowałem kompa programem: "PREVXCSIFREE", który wykrył pliki o nazwach:

geBtSKAQ.dll

ddcDvWPh.dll

ljJBrSKe.dll

qoMcCuRJ.dll

xxyXPGyV.dll

programem "VirtumundoBeGone" udało się zmienić nazwę pierwszego pliku na geBtSKAQ.dll.vir , reszty plików nawet nie wykrył i twierdzi że wszystko jest ok

Oto log z Combo Fix:

http://wklej.org/id/2bc35dfcfd

Co dalej?

Z góry bardzo dziękuję za wszelką pomoc i pozdrawiam :slight_smile:


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\xxyXPGyV.dll 

C:\WINDOWS\system32\ljJBrSKe.dll 

C:\WINDOWS\system32\ddcDvWPh.dll 

C:\WINDOWS\system32\qoMcCuRJ.dll 

C:\WINDOWS\system32\geBtSKAQ.dll.vir


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.


(Zdzichoos) #3

ComboFix log:

http://www.wklej.org/id/4f5a5c6da4

PREVXCSIFREE od tego momentu nie wykrywa już virtumonde :slight_smile:

bardzo uprzejmie dziękuję za pomoc: używam tego komputera do obliczeń...

jeśli mogę się jakoś odwdzięczyć - pisz :slight_smile:


(Leon$) #4

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:


(Zdzichoos) #5

log z Kasperskiego:

http://www.wklej.org/id/eee36d73bb

niestety wszystkie czynnosci z poprzedniego postu musiałem wykonać w trybie awaryjnym włącznie ze skanowaniem kasperskim.

W trybie normalnego uruchomienia nie mogę nic kliknąć, ani zresetowac komputera...


(huber2t) #6

Opróżnij kosz

Powinno być ok

:slight_smile:


(Zdzichoos) #7

kosz w trybie normalnym udało się opróżnić, po czym nie mogłem znowu nic kliknąć.

Po naciśnięciu Alt+Ctrl+Shift i próbie zamknięcia systemu pokazała się informacja, że nie można zakończyć procesu HumGss...


(huber2t) #8

Daj nowego loga z hijackthis


(Zdzichoos) #9

ok ściągam z netu hijackthis

W dniu 23.05.2008 , o godzinie 9:28 został dopisany post przez lunetiz23

log z hijackthis:

http://www.wklej.org/id/5389b83ad3


(huber2t) #10

fix w hijackthis

Myślałem że to jakas zbedna usługa ale nie


(Zdzichoos) #11

jeśli mogę zauważyć to o ile wiem:

04:V0420Mon.exe to wpis od kamerki internetowej;

020:Winlogon Notify polecono mi dodać do rejestru (a teraz mam usunąć?)

w dalszym ciągu Fix ?


(huber2t) #12

Sterowniki od kamerki chyba nie muszą byc uruchamiane przy starcie systemu automatycznie

dlaczego polecono ci dodać ten wpis


(Zdzichoos) #13

Jeśli mogę w ten sposób:

Postprzez Leon$ w 21.05.2008 (Śro) 22:10

to jest post po tym jak wykonałem instrukcję dotyczącą usuwania VirtuMonde poprzez przeciągnięcie i upuszczenie pliku tekstowego na ComboFix'a.

Sprawdziłem po tym komputer w poszukiwaniu VirtuMonde i nie wykryto go.

Niestety po kilku godzinach od dodania wpisu do rejestru "Winlogon" komputer zaczął się zawieszać

przepraszam - już wcześniej się zawieszał :frowning:


(huber2t) #14

Leon$ kazał ci usunąc ten wpis tak jak ja, jeśli chcesz to usuń linijkę z wpisem sterowników kamerki, a resztę fixuj


(Zdzichoos) #15

"zfixowałem" wszystko, dziękuję za poprawienie mnie :slight_smile:


(huber2t) #16

Czy juz wszystko jest dobrze?


(Zdzichoos) #17

Po uruchomieniu komputera w trybie normalnym, po 20 sekundach nie mogę otworzyć żadnego folderu, a przy próbie zamknięcia systemu przez menadżera pojawia się komunikat: nie można zakończyć HumGss...Czyli objawy takie jak przed chwilą

W dniu 23.05.2008 , o godzinie 10:29 został dopisany post przez lunetiz23

w logu z hijackthis ponownie pojawil sie wpis:

020: Winlogon "geBtSKAQ..?? -ponownie go usunąłem i ponownie się pojawił...


(huber2t) #18

Daj nowego loga z combofix


(Zdzichoos) #19

nowy log ComboFix:

http://wklej.org/id/5180bb5c81


(huber2t) #20

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Pobierz The Avenger

wklej do niego ten tekst:

Registry keys to delete:

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geBtSKAQ

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt