Wirus ściągający się przy starcie win xp i inne


(Bishop) #1

Witam...

Od paru dni szukam odpowiedzi na moje problemy ale niestety nie mogę znaleźć tego w necie... Komp złapał jakieś syfy i nie wiem jak się tego pozbyć.

Objawy:

-przy starcie systemu na dzień dobry AVG daje informację, że wykrył wirusa

(trojan downloader o ile się nie mylę)

-przy zamykaniu pojawia się informacja "trwa zamykanie rundll32.exe"...

-kilka razy system zamknął się sam (wcześniej wyświetlił info, ze się zamknie wraz z odliczaniem ale nic nie dało się już zrobić)

-skanuję system już codziennie i codziennie kilka trojanów różnego typu się pojawia

Ponieżej log. Bardzo prosze o pomoc i z góry dziękuję...

Pozdrawiam wszystkich


(matio) #2

Jeszcze log z Silent Runners


(Bishop) #3

Ponizej log z silent...


(Waldek Z) #4

Przed przystapieniem do czyszczenia prosze o wrzucenie tych plików do analizy AVG pozwoli to na usuniecie nowej infekcji

http://www.avgpolska.pl/upload.html

O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\System32\wajfpaam.dll

O2 - BHO: (no name) - {E24E45A7-DFE9-4D4A-B8CD-E7632898D6E1} - C:\WINDOWS\System32\gebyvtu.dll

O2 - BHO: (no name) - {F9BE08B6-9489-412C-9192-0197BA9EA735} - C:\WINDOWS\System32\ssttq.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM..\Run: [clssvc] rundll32.exe C:\WINDOWS\System32\clssvc.dll,start

Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

C:\WINDOWS\web\related.htm

C:\WINDOWS\SYSTEM32\gebyvtu.dll

C:\WINDOWS\System32\ssttq.dll

C:\WINDOWS\System32\irdvxc.exe

:\WINDOWS\System32\urdvxc.exe

C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll


(matio) #5

Po co mu każesz usuwać Jave? :?


(Waldek Z) #6

Nie każe usuwac Javy ( zagalopowałem sie przy wklejaniu) tylko prosze aby Lobotomiak wrzucił te pliki do analizy w celu dodania ich do sygnatur AVG.


(Bishop) #7

Przeanalizowane, wyniki poniżej, wytłuszczone...

Nie zabardzo wiem co zrobić z tymi informacjami...:slight_smile:

O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\System32\wajfpaam.dll

prawdopodobnie Trojan

O2 - BHO: (no name) - {E24E45A7-DFE9-4D4A-B8CD-E7632898D6E1} - C:\WINDOWS\System32\gebyvtu.dll

adware Generic2.PP

O2 - BHO: (no name) - {F9BE08B6-9489-412C-9192-0197BA9EA735} - C:\WINDOWS\System32\ssttq.dll

prawdopodobnie Trojan

C:\WINDOWS\SYSTEM32\gebyvtu.dll

adware Generic2.PP

C:\WINDOWS\System32\ssttq.dll

prawdopodobnie Trojan.

C:\WINDOWS\System32\irdvxc.exe

Błąd: Wysłałeś plik o zerowej długości

:\WINDOWS\System32\urdvxc.exe

Błąd: Wysłałeś plik o zerowej długości

o reszcie napisał, że wolne od wirów...


(system) #8

Masz trojana Vundo zastosuj narzędzia opisane tu.

Potem wklej nowe logi.

Nie usuwaj:


(Monczkin) #9

VKO123 proponuję podszkolić się i zapoznać się z zasadami pisania postów w tym dziale :evil:


(Waldek Z) #10

Dziękuje pliki załadowane i poszły na maszynę w celu wyodrebnienia sygnatury. Opis:

prawdopodobnie Trojan - analiza wewnetrzna wykryto podejrzane działanie

Błąd: Wysłałeś plik o zerowej długości - plik nie mógł byc załadowany ponieważ Twój system odmówił dostępu do niego.

Pobierz teraz najnowszą aktulizację AVG część juz dodana.

Złączono Posta : 01.05.2007 (Wto) 17:54

Zastosuje sie i przepraszam


(Bishop) #11

Zastosowałem sie do wskazówek - zadziałałem VundoFix-em i nadal jest to samo a w sumie nawet gorzej gdyż po starcie juz 2 razy mialem detekcje wira... Poza tym przy starcie wyświetla się to:

...także nie wiem czy czegoś ważnego nie wywaliło ...

Poniżej świeże logi:

Ratunku....


(system) #12

Nie zastosowałeś się do wskazówek!

VundoFix miałeś stosować do skutku, aż nie wykryje żadnych plików trojana. Trzeba zastosować wszystkie trzy narzędzia. Trojana Vundo tak łatwo się nie usuwa.

Tak wywaliło śmiecia.


(Bishop) #13

No i nadal lipa - skanowałem i wywalałem v-fixem do oporu (czyt do pustego okna vundo fixa), poza tym zastosowałem virtualmundo. combo fix nie czaję jak uzyc a do ostatniego programu nie ma linka i nie mogę znaleźc na necie.

Co robię nie tak??


(adam9870) #14

Poczytaj:

http://unicorn.ksiezyc.pl/WWW/instrukcje/vundo.html

A po zastosowaniu narzędzi usuwających pokaż nowy log z HijackThis, SilentRunners + log numer 1 z L2Mfix.


(system) #15

ComboFix.


(Bishop) #16

Witam ponownie...

Zastosowałem w trybie aw. 5 pogramów:

f-vmonde, VirtumundoBeGone, VundoFix, ComboFix, Fixvundo.

Początkowo vundo coś tam wykrył i udało sie po paru restartach to skasowac, potem zaden z programów nie wykrywał juz zadnego wira...

Przed wejesciem na normalny tryb xp jeszcze raz puscilem vundo skan - pusto.

Po zalogowaniu do systemu znowu AVG znalazł od razu wira:

Nie wiem już co z tym g...em robić...

Poniżej logi... Czy ma ktoś koncepcje dlaczego to wraca stale?

Jestem bliski formata a strasznie nie lubię się poddawać.... Grrrr...


(Joan Sunshine) #17

Użyj SmitFraudFix z opcji 2 w trybie awaryjnym

Pobierz i uruchom narzędzie The Avenger Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz:

Klikasz Done , a następnie zielone światełko i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

usun wpisy, daj nowe logi i raport ze smitfraudfix


(Bishop) #18

Witam ponownie...

Poza tym, że wyrąbało mi czarny pulpit, który miałem wczesniej i zastąpiło niebieskim wydaje się być już ok. Objawy chyba ustały - przy starcie nic się nie pojawia jak i przy zamykaniu...

Jedyne co zauważyłem to wolniej ładuje się gg i firewall przy starcie xp.

Logi:


(system) #19

Nie jest OK!

Otwórz notatnik i wklej w nim to:

Plik -> zapisz jako -> zmień rozszerzenie na wszystkie pliki -> zapisz pod nazwą FIX.BAT

W trybie awaryjnym kliknij 2 razy na plik FIX.BAT i zrestartuj komputer

Daj nowe logi do kontroli. Koniecznie z Silent Runners.


(Bishop) #20

Hej...

Nowe logi po fix.bat

pozdr