Vundo, smitfraud i inne problemy

hitq666 · 11 Sierpień 2008 22:35

Witam dzis sciagnalem cos z netu i niestety 1 raz od kilku lat trafilem na mocno zainfekowany plik zmienila mi sie tapeta, wyskakiwaly komunikaty ze moj komp jest zainfekowany i zebym cos tam sciagnal z netu, okna same sie otwieraly itp wiec poszperalem w necie sciagnalem sdfix, uzylem go w trybie awaryjnym no i okna przestaly wyskakiwac wszystko zaczelo lepiej chodzic ale zostal 1 problem… google sie wczytywaly ale nie chcialy wyszukiwac, na pasku mialem takze jakis smieszny komunikat obok zegarka w stylu “VIRUS ALERT!” :P, z tego co pamietam spybot pokazywal ze mam smitfrauda i vundo, uzylem smitfraud fixa, potem spybota ktory niby wywalil mi takze vundo… wszystko gladko chodzilo google wyszukiwalo, a smieszny alert przy zegarku znikl. Wieczorem zauwazylem ze mam smieszny folder w program files bonjour a w nim mdnsresponder.exe, szybko znalazlem na necie ze to raczej nie szkodliwe wiec wzialem sie za usuwanie no i wtedy znowu przestaly mi dzialac google i zaczela sie masakra, wyskakujace okna w ie itp, oczywiscie ten bonjour nie mial z tym nic wspolnego. Probowalem skanowac mksem w awaryjnym ale to nic nie dalo. Wkoncu sciagnalem malwarebytes anti malware ktory wykryl vundo i usunal. Teraz znowu wszystko dziala spoko ale chce sie upewnic wiec:

log z hijack http://wklej.org/id/5070c7686b

Do tego pytanie, mam od niedawna 2 pc w domu i router linksysa, wczesniej uzywalem zone alarma i swietnie sie sprawowal ale skoro router ma w sobie firewalla wiec obecnie nie mam zadnego, i wsumie do tej pory nic sie nie dzialo mam adblocki itp a ten caly szit wwalil mi sie wsumie z pliku exe, wiec czy warto instalowac firewalla jak mam w routerze?

Gutek · 11 Sierpień 2008 22:39

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O24 - Desktop Component 0: Privacy Protection - (no file)

usuń wpisy HJT

Daj log z ComboFix

hitq666 · 11 Sierpień 2008 23:17

dobra wiec pozycja 24 nie chce sie usunac, to ta tapeta juz niby jej nie bylo, probowalem ja wywalic juz kilka razy a tu log z combo (btw wczesniej to byl plik “privacy_danger/index.html” chyba w system32, te malware widocznie go wywalilo , pozatym w hijacku mialem wczesniej z rundll32.exe dziwne dlle tez juz ich nie ma)

log z combo http://wklejto.pl/7782

huber2t · 12 Sierpień 2008 03:48

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINNT\system32\VCCLSID.exe

C:\WINNT\system32\SrchSTS.exe

C:\WINNT\system32\VACFix.exe

C:\WINNT\system32\IEDFix.exe

C:\WINNT\system32\IEDFix.C.exe

C:\WINNT\system32\404Fix.exe

C:\WINNT\system32\Process.exe

C:\WINNT\system32\dumphive.exe

C:\WINNT\system32\WS2Fix.exe

C:\WINNT\system32\tmp.reg

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link

hitq666 · 12 Sierpień 2008 09:02

zrobione oto log z combofixa http://wklejto.pl/7791

ale to :

O24 - Desktop Component 0: Privacy Protection - (no file)

dalej jest hmm… dziwne ze hijack nie chce tego wywalic

Aha i zapomnialbym ten mdnsresponder.exe myslalem na poczatku ze to moze przez to ze go wywalilem mi net nie dziala sprawnie, ale wrzucilem to spowrotem ze strony Apple i to nic nie dalo:P czytalem ze to raczej zbedne wiec wywalac? No i wielkie dzieki za wszystkie odpowiedzi .

spandaupol · 12 Sierpień 2008 09:20

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

hitq666 · 12 Sierpień 2008 09:28

log z combo: http://wklejto.pl/7795

spandaupol · 12 Sierpień 2008 09:31

Log wygląda na czysty.

usuń folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

lub Dr.WEB CureIt!

hitq666 · 12 Sierpień 2008 11:21

Sys i rejestr wyczyszczony ccleanerem (nie znam proga alezaufalem sam skanowalem regcleanerem) przywracanie widze ze mi sie wlaczylo przy uzyciu tych progow bo mialem wczesniej wylaczone, wiec je znowu wylaczylem, no i daje log z kaspra:

http://wklejto.pl/7805

Hmm ten ctfmon, juz mks mi wykryl w nim tego samego wira (tylko chyba na c, e nie skanowalem O.o) i wsumie nie wiem kasper zle pokazuje z tym ze wlasnie na tej partycji byl sciagniety zainfekowany plik EXE, trzasne skana E: mksem.

huber2t · 12 Sierpień 2008 11:25

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

E:\Recycled\ctfmon.exe	

C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\WinVBaqt1.zip


Folders to delete:

C:\Program Files\Mozilla Firefox\SmitfraudFix

E:\Downloady\Firefox\SmitfraudFix

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

hitq666 · 12 Sierpień 2008 12:09

log z avangera :

http://wklejto.pl/7812

a to dla pewnosci z hijacka :

http://wklejto.pl/7814

z tym ze zanim przeczytalem Twoj post zeskanowalem mksem i wywalil tego wira, ale dla pewnosci wkleilem calosc twego kodu. Mksem z przyzwyczajenia skanuje tylko partycje sys :). Ten 024 w hijacku cos nie chce sie wywalic ale to wsumie czyste juz chyba. To jak … czysto? Dzieki za odpowiedzi.

huber2t · 12 Sierpień 2008 13:53

Usuń ten wpis w trybie Awaryjnym

możesz jeszcze raz przeskanowac Kasperskim

hitq666 · 12 Sierpień 2008 15:26

log z kaspra :

http://wklejto.pl/7821

log z hijacka:

http://wklejto.pl/7822

Tego wpisu 024 nie widac w Hijack w awaryjnym. W ctfmon dalej wir :|.

Gutek · 12 Sierpień 2008 15:29

Opróżnij C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\ Recovery oraz usuń folder C:\Program Files\Mozilla Firefox\ SmitfraudFix

hitq666 · 12 Sierpień 2008 15:36

Nie mam takiego folderu :P. Chyba chodzilo o :

*E:\Downloady\Firefox\SmitfraudFix*

Wiec usuwam :P. edit - tego folderu tez nie mam a kasper go pokazuje :o, mam tylko smitfraud.exe. Wywalilem.

spandaupol · 12 Sierpień 2008 15:39

Dlaczego wkleiłeś ten sam raport z Kasperskiego dwa razy??? Przecież miałeś ponownie przeskanować. Więc się nie dziw że czegoś nie ma.

hitq666 · 12 Sierpień 2008 16:05

Sorry, juz mi sie myli :P, tu log z kaspra ten co trzeba:

http://wklejto.pl/7805

A ja patrzylem na stary log i myslalem ze dalej mam tego ctfmon.exe , teraz wywalilem smitfraud.exe, przeskanowalem downloady/firefox no i ten folder recycled i czysto.

a tu z hijacka w awaryjnym (nie pokazuje tu pozycji 024 wiec nie wiem jak to wywalic)

http://wklejto.pl/7828

spandaupol · 12 Sierpień 2008 16:08

Zerknij na daty i czas w raporcie Kasperskiego

dalej to samo. Przeskanuj jeszcze raz zachowaj nowy raport i daj go na forum.

hitq666 · 12 Sierpień 2008 16:15

OMG, dobra tamten raport byl z 17 i nie bylo w nim ctfmon.exe (byl w tym starym raporcie) tylko smitfraud.exe , wywalilem niedawno smitfrauda no i teraz skanuje na partycji E: downloady/firefox i folder recycled i nic nie znajduje, pisze ze raport jest pusty. Tylko to zostalo:

O24 - Desktop Component 0: Privacy Protection - (no file)

Gutek · 12 Sierpień 2008 18:27

Nie masz się czym martwić