Win32/Adware.Virtumonde

x007 · 10 Lipiec 2008 12:49

Witam

Mam taki problem otóz Kilkakrotnie “nawiedza” mnie ten Virus (5x w ciagu 3 tygodni) i za kazdym razem powoduje uszkodzenie polegajace na tym że proces Explorer.exe sam się wyłancza po 5s - 7s

Moje Programy które pomagają mi się go pozbyć to

Doctor Spyware + Nod32 + Trojan Remover ale czuje ze kiedyś może sie nie udać wyjść z tarapatów a danych na dysku grubo ponad 0.5 TB

Więc proszę o rade jak się przed tym zabezpieczyć

P.S. Na dzień dzisiejszy wszystko gra ale sytuacja z mojego punktu widzenia wyglada tak że wirus znalazł jakąś drogę do mojego kompa która sie przedostaje bez problemu

huber2t · 10 Lipiec 2008 12:50

Daj log z Combofix

x007 · 10 Lipiec 2008 12:53

Combo Fix u mnie nie działa dam loga z HiJackThis

http://wklej.org/id/d1371280e0

huber2t · 10 Lipiec 2008 12:55

Dlaczego nie działa?

Spróbuj podczas pobierania zapisać nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Combo-Fix.exe

fix w hijackthis

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS.0\system32\jkkICurO.dll

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

x007 · 10 Lipiec 2008 13:01

http://wklej.org/id/c73a6e58b0

huber2t · 10 Lipiec 2008 13:04

plik się usunał a jak twój combofix?

x007 · 10 Lipiec 2008 13:07

Problem z Combofixem polega na tym ze jak go odpalam to wywala mi jakiś błąd taki jak by czego nie mógł otworzyć

huber2t · 10 Lipiec 2008 13:09

Podaj log z pliku main.txt z Deckard’s System Scanner

x007 · 10 Lipiec 2008 13:12

http://wklej.org/id/c6f8858dd0

huber2t · 10 Lipiec 2008 13:27

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS.0\system32\opnlMdCs.dll 

C:\WINDOWS.0\system32\iifeeCRL.dll 

C:\WINDOWS.0\system32\hgGxXqPf.dll 

C:\WINDOWS.0\system32\wvUmjJcA.dll 

C:\WINDOWS.0\system32\pmnlkJaa.dll 

C:\WINDOWS.0\system32\ssQJASMD.dll 

C:\WINDOWS.0\system32\hggeEWqo.dll 

C:\WINDOWS.0\system32\wvULFwXQ.dll 

C:\WINDOWS.0\system32\efCvvusp.dll 

C:\WINDOWS.0\system32\xxyvWpno.dll 

C:\WINDOWS.0\system32\opnmkhEW.dll

C:\WINDOWS.0\system32\rqRHbXOF.dll

C:\WINDOWS.0\system32\hgGwXomm.dll


Registry keys to delete:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e03cbc2b-37bd-11dd-b1ba-000d613a0ab9}

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa90aa41-394e-11dd-b1bd-000d613a0ab9}

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Po tym daj log z dss

x007 · 10 Lipiec 2008 15:50

http://wklej.org/id/d06e146fba --> Avagner

http://wklej.org/id/6625cdb0ac --> DDS

Gutek · 10 Lipiec 2008 15:57

O2 - BHO: (no name) - {9A50B2AF-3B2B-47DD-AECD-5D80A886F504} - C:\WINDOWS.0\system32\jkkICurO.dll (file missing)

O20 - Winlogon Notify: jkkICurO - jkkICurO.dll (file missing)

wpisy do usunięcia The Avenger wklej:

Files to delete:


C:\WINDOWS.0\system32\qrCdffii.ini2 

C:\WINDOWS.0\system32\EeKjlnpo.ini2

C:\WINDOWS.0\system32\cworhaif.dll 

C:\WINDOWS.0\system32\vawjkxyg.dll 

C:\WINDOWS.0\system32\kguqwrag.dll

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

x007 · 10 Lipiec 2008 16:02

http://wklej.org/id/a231af0e6b

Gutek · 10 Lipiec 2008 16:13

Kurde nie dodałem nowy log z Deckard’s System Scanner

x007 · 10 Lipiec 2008 17:20

http://wklej.org/id/bdc8ab2bdd

huber2t · 10 Lipiec 2008 17:27

fix w hijackthis

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS.0\system32\jkkICurO.dll


Registry keys to delte:

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9A50B2AF-3B2B-47DD-AECD-5D80A886F504}

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkICurO

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e03cbc2b-37bd-11dd-b1ba-000d613a0ab9}

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa90aa41-394e-11dd-b1bd-000d613a0ab9}


Registry values to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {9A50B2AF-3B2B-47DD-AECD-5D80A886F504}

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

x007 · 10 Lipiec 2008 17:35

http://wklej.org/id/c0676002aa

fak ile jeszcze tego :\

huber2t · 10 Lipiec 2008 17:36

Daj nowego loga z dss

x007 · 10 Lipiec 2008 17:38

http://wklej.org/id/15ebc7fbc3

huber2t · 10 Lipiec 2008 17:42

fix w hijackthis

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!