Win32/Adware.Virtumonde


(Sebas3k1) #1

Witam

Mam taki problem otóz Kilkakrotnie "nawiedza" mnie ten Virus (5x w ciagu 3 tygodni) i za kazdym razem powoduje uszkodzenie polegajace na tym że proces Explorer.exe sam się wyłancza po 5s - 7s

Moje Programy które pomagają mi się go pozbyć to

Doctor Spyware + Nod32 + Trojan Remover ale czuje ze kiedyś może sie nie udać wyjść z tarapatów a danych na dysku grubo ponad 0.5 TB

Więc proszę o rade jak się przed tym zabezpieczyć

P.S. Na dzień dzisiejszy wszystko gra ale sytuacja z mojego punktu widzenia wyglada tak że wirus znalazł jakąś drogę do mojego kompa która sie przedostaje bez problemu


(huber2t) #2

Daj log z Combofix


(Sebas3k1) #3

Combo Fix u mnie nie działa dam loga z HiJackThis

http://wklej.org/id/d1371280e0


(huber2t) #4

Dlaczego nie działa?

Spróbuj podczas pobierania zapisać nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Combo-Fix.exe

fix w hijackthis

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS.0\system32\jkkICurO.dll

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Sebas3k1) #5

http://wklej.org/id/c73a6e58b0


(huber2t) #6

plik się usunał a jak twój combofix?


(Sebas3k1) #7

Problem z Combofixem polega na tym ze jak go odpalam to wywala mi jakiś błąd taki jak by czego nie mógł otworzyć


(huber2t) #8

Podaj log z pliku main.txt z Deckard's System Scanner


(Sebas3k1) #9

http://wklej.org/id/c6f8858dd0


(huber2t) #10

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS.0\system32\opnlMdCs.dll 

C:\WINDOWS.0\system32\iifeeCRL.dll 

C:\WINDOWS.0\system32\hgGxXqPf.dll 

C:\WINDOWS.0\system32\wvUmjJcA.dll 

C:\WINDOWS.0\system32\pmnlkJaa.dll 

C:\WINDOWS.0\system32\ssQJASMD.dll 

C:\WINDOWS.0\system32\hggeEWqo.dll 

C:\WINDOWS.0\system32\wvULFwXQ.dll 

C:\WINDOWS.0\system32\efCvvusp.dll 

C:\WINDOWS.0\system32\xxyvWpno.dll 

C:\WINDOWS.0\system32\opnmkhEW.dll

C:\WINDOWS.0\system32\rqRHbXOF.dll

C:\WINDOWS.0\system32\hgGwXomm.dll


Registry keys to delete:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e03cbc2b-37bd-11dd-b1ba-000d613a0ab9}

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa90aa41-394e-11dd-b1bd-000d613a0ab9}

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Po tym daj log z dss


(Sebas3k1) #11

http://wklej.org/id/d06e146fba --> Avagner

http://wklej.org/id/6625cdb0ac --> DDS


(Gutek) #12
O2 - BHO: (no name) - {9A50B2AF-3B2B-47DD-AECD-5D80A886F504} - C:\WINDOWS.0\system32\jkkICurO.dll (file missing)

O20 - Winlogon Notify: jkkICurO - jkkICurO.dll (file missing)

wpisy do usunięcia The Avenger wklej:

Files to delete:


C:\WINDOWS.0\system32\qrCdffii.ini2 

C:\WINDOWS.0\system32\EeKjlnpo.ini2

C:\WINDOWS.0\system32\cworhaif.dll 

C:\WINDOWS.0\system32\vawjkxyg.dll 

C:\WINDOWS.0\system32\kguqwrag.dll

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Sebas3k1) #13

http://wklej.org/id/a231af0e6b


(Gutek) #14

Kurde nie dodałem nowy log z Deckard's System Scanner


(Sebas3k1) #15

http://wklej.org/id/bdc8ab2bdd


(huber2t) #16

fix w hijackthis

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS.0\system32\jkkICurO.dll


Registry keys to delte:

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9A50B2AF-3B2B-47DD-AECD-5D80A886F504}

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkICurO

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e03cbc2b-37bd-11dd-b1ba-000d613a0ab9}

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fa90aa41-394e-11dd-b1bd-000d613a0ab9}


Registry values to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {9A50B2AF-3B2B-47DD-AECD-5D80A886F504}

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Sebas3k1) #17

http://wklej.org/id/c0676002aa

fak ile jeszcze tego :\


(huber2t) #18

Daj nowego loga z dss


(Sebas3k1) #19

http://wklej.org/id/15ebc7fbc3


(huber2t) #20

fix w hijackthis

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!