Warning! Win32/Adware.virtumonde- Tapeta o zainfekowaniu

Witam, jestem nowy na forum.

Proszę o sprawdzenie loga z HijackThis

ComboFix nie działa, tzn. Po Chwili wyskakuje tylko komunikat że wykrył obecność rootkita i musi zrestartować komputer.

Objawy:

Zmieniona tapeta na taką z fałszywym komunikatem Warning! Win32/Adware.Virtumonde… itd. install anti-spyware or antivirus to clean up your PC- w każdym razie coś takiego jest. Zniknęła karta z właściwości pulpitu (tło pulpitu)

Na dodatek wyniki wyszukiwania w google przybrały jakąś dziwną formę (Zbyt duże i pogrubione), przedtem jeszcze po kliknięciu na dowolny link do wyniku wyszukiwania były przekierowania na zupełnie inne strony.

Poza tym internet wyraźnie zwolnił.

Próbowałem sam sobie jakoś z tym poradzić ale nie działają żadne linki z Combofixem i innymi programami które mogłyby pomóc. Przeskanowałem C: mks_vir’em online i avastem mks usunął 17 plików wszystkie znajdowały się w TEMP (Trojany)

ale powyższe objawy nie ustąpiły.

Próbowałem też wkleić loga wg instrukcji na forum ale żadne z 2 stron: wklejto.pl i wklej.org nie działają(klikam dodaj i nic )Linki do najnowszej wersji hijacka także. Dlatego muszę umieścić loga poniżej z nie najnowszej wersji

Proszę o pomoc

Logfile of HijackThis v1.99.1

Scan saved at 12:33:52, on 2008-08-25

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\khooker.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\drivers\svchost.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Kalendarz XP\Kalendarz.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe

C:\Program Files\Common Files\Protexis\License Service\PSIService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Windows NT\Accessories\wordpad.exe

C:\Documents and Settings\PC\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM…\Run: [siS KHooker] C:\WINDOWS\system32\khooker.exe

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe”

O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime

O4 - HKLM…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe”

O4 - HKLM…\Run: [HP Software Update] c:\Program Files\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM…\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM…\Run: [iMJPMIG8.1] “C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” /Spoil /RemAdvDef /Migration32

O4 - HKLM…\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM…\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM…\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU…\Run: [sVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {1E53EA77-34F2-474E-9046-B2B0C86F1821} (OggX Control) - http://www.eska.pl/streamplayers/OggX.ocx

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso … 8017177433

O17 - HKLM\System\CCS\Services\Tcpip…{DC6129CE-8AE0-441B-8D4A-29807B91282D}: NameServer = 217.30.129.149 217.30.137.200

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\Program Files\Common Files\Protexis\License Service\PSIService.exe

Sorry, że tak w kawałkach ale inaczej nie chce się wysłać :frowning:

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

To jest plik JEEFO.

JEEFO - to 80% pewności, że będziesz musiał sformatować dysk, bo on zaraża wszystkie pliki o rozszerzeniu *.exe, czyli wszystkie programy i wszystkie pliki wykonywalne systemu.

Inaczej mówiąc: po usunięciu zarażonych nim plików na dysku zostaną tylko pliki, które będą nic nie warte.

Na początek: szczepionka:

—> http://wirusy.antivirenkit.pl/pl/szczepionki/Jeefo.html

–> (Jeefogui)

Potem przeskanuj system skanerami Antivirusowymi on-line, bo Twój Antivirus też pewnie jest zarażony, a więc do wyrzucenia.

Wybieraj tylko takie skanery on-line, które mają, oprócz opcji skanowania, także opcję usuwania.

  1. –> http://housecall.trendmicro.com/

  2. –> http://www.bitdefender.com/scan8/ie.html

  3. –> http://www.pandasecurity.com/homeusers/ … ctivescan/

  4. –> http://support.f-secure.com/enu/home/ols.shtml

  5. –> http://arcaonline.arcabit.com/index_pl.html

Usuwaj wszystko, co wykryją, nawet jeśli to będą Twoje najulubieńsze programy, bo są i tak nie do odzyskania.

Możesz też użyć --> Kaspersky Virus Removal Tool. (niżej na stronie linku).

Potem przejrzyj system, czy jeszcze warto ratować to, co zostanie po usuwaniu, czy lepiej od razu sformatować dysk.

Jeśli uznasz, że warto ratować, to daj log z ComboFixa.

===================

K.

hmm link do pobrania Combofix’a nie działa:

Nie udało się nawiązać połączenia

Firefox nie może nawiązać połączenia z serwerem download.bleepingcomputer.com.

* Witryna może być tymczasowo niedostępna lub zbyt obciążona. Spróbuj ponownie za kilka minut.

* Jeśli nie możesz otworzyć żadnej strony, sprawdź swoje połączenie sieciowe.

* Jeśli Twój komputer jest chroniony przez zaporę sieciową lub serwer proxy, sprawdź, czy program Firefox jest uprawniony do łączenia się z Internetem.

Djarta,

—> http://wirusy.antivirenkit.pl/pl/szczepionki/Jeefo.html - ten link prowadzi do jakiejś strony z linkami sponsorowanymi (

–> (Jeefogui)- ten link nie działa j.w (w poprzednim poście)

odnośnie Combofixa to mam go ale chyba jakąś starszą wersję; przede wszystkim ma inną ikonę niż ten w instrukcji.

U mnie działa ten link, możliwe, że JEEFO blokuję tą stronę, przeskanuj skanerami on-;ine. :wink:

====================

K.

Link do kaspersky removal tool nie dziala do pozostalych tez tylko dziala strona pandy ale i tak nie wyskakuje komunikat czy chce zainsatlowac Active Scan 2.0 :frowning:

Niewiem co sie dzieje zadne linki nie dzialaja. Przy dluzszych postach tutaj tez traci polaczenie

Jeśli nic nie działa to tylko format, ale może ktoś inny coś poradzi.

===================

K.

Udało mi się uruchomić Combofixa, wydaje się , że problem zniknął (wystarczyło ustawić zgodoność z Win 2000)

http://wklejto.pl/8753 -link do loga Combofixa.

Co zrobić żeby sprawdzić czy nic nie zostało po problemie?

W logu nic nie widzę

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

http://wklejto.pl/8774 - raport kaspersky’ego- niedobrze co teraz z tym zrobić?

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\PC\Dane aplikacji\Gadu-Gadu\backup\_cache\banner.htm 

C:\Documents and Settings\PC\Dane aplikacji\Gadu-Gadu\backup\_cache\sbanner.htm 

C:\Documents and Settings\PC\Dane aplikacji\Gadu-Gadu\backup\_cache\_tgibcca.htm

C:\Documents and Settings\PC\Dane aplikacji\Gadu-Gadu\backup\_cache\_tjcdhca.htm 

C:\Documents and Settings\PC\Gadu-Gadu\_cache\banner.htm

C:\Documents and Settings\PC\Gadu-Gadu\_cache\sbanner.htm

C:\Documents and Settings\PC\Pulpit\Warning! Win32-adware_virtumonde Removal Guide - MS Windows Vista Compatible Software.mht

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Już usunąłem ręcznie te pliki. Dzięki za pomoc. Temat można zamknąć, problem rozwiązany :wink: