Vundo, smitfraud i inne problemy


(Aeroxd) #1

Witam dzis sciagnalem cos z netu i niestety 1 raz od kilku lat trafilem na mocno zainfekowany plik :stuck_out_tongue: zmienila mi sie tapeta, wyskakiwaly komunikaty ze moj komp jest zainfekowany i zebym cos tam sciagnal z netu, okna same sie otwieraly itp wiec poszperalem w necie sciagnalem sdfix, uzylem go w trybie awaryjnym no i okna przestaly wyskakiwac wszystko zaczelo lepiej chodzic ale zostal 1 problem... google sie wczytywaly ale nie chcialy wyszukiwac, na pasku mialem takze jakis smieszny komunikat obok zegarka w stylu "VIRUS ALERT!" :P, z tego co pamietam spybot pokazywal ze mam smitfrauda i vundo, uzylem smitfraud fixa, potem spybota ktory niby wywalil mi takze vundo... wszystko gladko chodzilo google wyszukiwalo, a smieszny alert przy zegarku znikl. Wieczorem zauwazylem ze mam smieszny folder w program files bonjour a w nim mdnsresponder.exe, szybko znalazlem na necie ze to raczej nie szkodliwe wiec wzialem sie za usuwanie no i wtedy znowu przestaly mi dzialac google i zaczela sie masakra, wyskakujace okna w ie itp, oczywiscie ten bonjour nie mial z tym nic wspolnego. Probowalem skanowac mksem w awaryjnym ale to nic nie dalo. Wkoncu sciagnalem malwarebytes anti malware ktory wykryl vundo i usunal. Teraz znowu wszystko dziala spoko ale chce sie upewnic wiec:

log z hijack http://wklej.org/id/5070c7686b

Do tego pytanie, mam od niedawna 2 pc w domu i router linksysa, wczesniej uzywalem zone alarma i swietnie sie sprawowal ale skoro router ma w sobie firewalla wiec obecnie nie mam zadnego, i wsumie do tej pory nic sie nie dzialo mam adblocki itp a ten caly szit wwalil mi sie wsumie z pliku exe, wiec czy warto instalowac firewalla jak mam w routerze?


(Gutek) #2
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O24 - Desktop Component 0: Privacy Protection - (no file)

usu艅 wpisy HJT

Daj log z ComboFix


(Aeroxd) #3

dobra wiec pozycja 24 nie chce sie usunac, to ta tapeta juz niby jej nie bylo, probowalem ja wywalic juz kilka razy a tu log z combo (btw wczesniej to byl plik "privacy_danger/index.html" chyba w system32, te malware widocznie go wywalilo , pozatym w hijacku mialem wczesniej z rundll32.exe dziwne dlle tez juz ich nie ma)

log z combo http://wklejto.pl/7782


(huber2t) #4

Pobierz ComboFix, ale nie uruchamiaj

Otw贸rz notatnik i wklej do niego:

File::

C:\WINNT\system32\VCCLSID.exe

C:\WINNT\system32\SrchSTS.exe

C:\WINNT\system32\VACFix.exe

C:\WINNT\system32\IEDFix.exe

C:\WINNT\system32\IEDFix.C.exe

C:\WINNT\system32\404Fix.exe

C:\WINNT\system32\Process.exe

C:\WINNT\system32\dumphive.exe

C:\WINNT\system32\WS2Fix.exe

C:\WINNT\system32\tmp.reg

Plik -> zapisz jako -> CFScript.txt.

Przeci膮gnij i upu艣膰 ikonk臋 CFScript.txt na ikonk臋 ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie si臋 usuwanie i powstanie log, kt贸ry dasz na forum.

Logi dajesz na http://wklejto.pl lub na http://wklej.org a w po艣cie dajesz tylko link


(Aeroxd) #5

zrobione oto log z combofixa http://wklejto.pl/7791

ale to :

O24 - Desktop Component 0: Privacy Protection - (no file)

dalej jest hmm... dziwne ze hijack nie chce tego wywalic

Aha i zapomnialbym ten mdnsresponder.exe myslalem na poczatku ze to moze przez to ze go wywalilem mi net nie dziala sprawnie, ale wrzucilem to spowrotem ze strony Apple i to nic nie dalo:P czytalem ze to raczej zbedne wiec wywalac? No i wielkie dzieki za wszystkie odpowiedzi :smiley: .


(Spandau) #6

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowa艂a si臋 obok ikonki ComboFix.exe

Przeci膮gnij i upu艣膰 plik CFScript.txt na ikonk臋 ComboFix.exe powinno rozpocz膮膰 si臋 usuwanie po tym daj log na forum.

Usu艅 r臋cznie folder C:\Qoobox , usu艅 instalk臋 Combofix z dysku.


(Aeroxd) #7

log z combo: http://wklejto.pl/7795


(Spandau) #8

Log wygl膮da na czysty.

usu艅 folder C: \Qoobox oraz instalk臋 Combofix z dysku.

Przeczy艣膰 system oraz rejestr CCleaner

Wy艂膮cz i w艂膮cz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar M贸j komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

lub Dr.WEB CureIt!


(Aeroxd) #9

Sys i rejestr wyczyszczony ccleanerem (nie znam proga alezaufalem :stuck_out_tongue: sam skanowalem regcleanerem) przywracanie widze ze mi sie wlaczylo przy uzyciu tych progow bo mialem wczesniej wylaczone, wiec je znowu wylaczylem, no i daje log z kaspra:

http://wklejto.pl/7805

Hmm ten ctfmon, juz mks mi wykryl w nim tego samego wira (tylko chyba na c, e nie skanowalem O.o) i wsumie nie wiem kasper zle pokazuje z tym ze wlasnie na tej partycji byl sciagniety zainfekowany plik EXE, trzasne skana E: mksem.


(huber2t) #10

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

E:\Recycled\ctfmon.exe	

C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\WinVBaqt1.zip


Folders to delete:

C:\Program Files\Mozilla Firefox\SmitfraudFix

E:\Downloady\Firefox\SmitfraudFix

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz si臋 na restart klikaj膮c OK.

Kasujesz r臋cznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Aeroxd) #11

log z avangera :

http://wklejto.pl/7812

a to dla pewnosci z hijacka :

http://wklejto.pl/7814

z tym ze zanim przeczytalem Twoj post zeskanowalem mksem i wywalil tego wira, ale dla pewnosci wkleilem calosc twego kodu. Mksem z przyzwyczajenia skanuje tylko partycje sys :). Ten 024 w hijacku cos nie chce sie wywalic ale to wsumie czyste juz chyba. To jak ... czysto? :stuck_out_tongue: Dzieki za odpowiedzi.


(huber2t) #12

Usu艅 ten wpis w trybie Awaryjnym

mo偶esz jeszcze raz przeskanowac Kasperskim


(Aeroxd) #13

log z kaspra :

http://wklejto.pl/7821

log z hijacka:

http://wklejto.pl/7822

Tego wpisu 024 nie widac w Hijack w awaryjnym. W ctfmon dalej wir :|.


(Gutek) #14

Opr贸偶nij C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\ Recovery oraz usu艅 folder C:\Program Files\Mozilla Firefox\ SmitfraudFix :slight_smile:


(Aeroxd) #15

Nie mam takiego folderu :P. Chyba chodzilo o :

*E:\Downloady\Firefox\SmitfraudFix*

Wiec usuwam :P. edit - tego folderu tez nie mam a kasper go pokazuje :o, mam tylko smitfraud.exe. Wywalilem.


(Spandau) #16

Dlaczego wklei艂e艣 ten sam raport z Kasperskiego dwa razy??? Przecie偶 mia艂e艣 ponownie przeskanowa膰. Wi臋c si臋 nie dziw 偶e czego艣 nie ma.

:slight_smile:


(Aeroxd) #17

Sorry, juz mi sie myli :P, tu log z kaspra ten co trzeba:

http://wklejto.pl/7805

A ja patrzylem na stary log i myslalem ze dalej mam tego ctfmon.exe , teraz wywalilem smitfraud.exe, przeskanowalem downloady/firefox no i ten folder recycled :smiley: i czysto.

a tu z hijacka w awaryjnym (nie pokazuje tu pozycji 024 wiec nie wiem jak to wywalic)

http://wklejto.pl/7828


(Spandau) #18

Zerknij na daty i czas w raporcie Kasperskiego

dalej to samo. Przeskanuj jeszcze raz zachowaj nowy raport i daj go na forum.


(Aeroxd) #19

OMG, dobra tamten raport byl z 17 i nie bylo w nim ctfmon.exe (byl w tym starym raporcie) tylko smitfraud.exe , wywalilem niedawno smitfrauda no i teraz skanuje na partycji E: downloady/firefox i folder recycled i nic nie znajduje, pisze ze raport jest pusty. :stuck_out_tongue: Tylko to zostalo:

O24 - Desktop Component 0: Privacy Protection - (no file)


(Gutek) #20

Nie masz si臋 czym martwi膰