Wirus Virtumonde i jeszcze jakieś cuda :/


(Zarejestrowanypobojach) #1

POST WYEDYTOWANY

Cześć wszystkim

Mam spory problem. Podczas surfowania wpadł mi jakiś wirus. Eset z miejsca zablokował stronę ale po chwili wyskoczył mi alert Windowsa dotyczący błędu dysków.Dałem restart i wtedy:

  • połowy ikon na pulpicie nie ma,

  • nie widać nic na dysku D i w wielu innych miejscach - pliki te ukrywają się przez jakiś bug,

  • wyskakuje alert o błędach RAM i dyskac, naturalnie skan dysku programem do wykrywania błędów (windowsowy) nie wykrywa nic,

i najważniejsze:

Eset pokazuje alerty o trojanie Virtuomonde,nci którego niby usuwa, ale cały czas się pojawia i jakiś plik w Dane aplikacji/17030964.exe

W żaden sposób nie mogę tego usunąć, Eset nie potrafi tego sam znaleźć podczas skanowania (?) lub nie zdąży dokoonać skanu gdyż komp się restartuje po alercie o błędach na dysku.

System przeskanowałem różnymi narzędziami, w tym trzema które polecano specjalnie do usuwania Virtumonde. Nie potrafily go nawet znaleźć.

Logi

Z Hijacka:

http://wklejto.pl/92007

Z OTL, plik otl:

http://wklejto.pl/92005

Z OTL, plik extras:

http://wklejto.pl/92006

Widziałem tutaj temat o tym ale nie było u mnie takich samych adresów do usunięcia w Killboksie, więc zapewne w moim logu są jakieś inne baboki. Niestety nie mam zielonego

pojęcia co to może być, prosiłbym o pomoc, z góry dziękuję.


(krzych5610) #2

Witam.

Usuwanie Virumonde przy pracującym systemie jest bezowocnym działaniem.

Proces usuwania należy wykonać za pomocą Kaspersky Rescude Disk (ISO-BOOT) - http://support.kaspersky.com/pl/faq/?qid=208282170. Skan całego dysku przy maksymalnej heurystyce. Może być wymagane przeinstalowanie uszkodzonych programów. Zainstalowanego NOD32-a radzę wzmocnić zaporą np. http://support.kaspersky.com/pl/faq/?qid=208282170

Wykonać skan pomocniczy za pomocą mbam-setup-1.50.1.1100

PS. NOD32 ( mamy na firmowych PC ) potrafi przepuścić bez żadnego "ale" trojany wykorzystujące komunikatory IRC.

-- Dodane 13.03.2011 (N) 9:46 --

Przepraszam za mylną informację. Chodzi o firewall - Comodo Personal Firewall 2011 5.3.181415.1237 / http://www.dobreprogramy.pl/Comodo-Pers ... 20399.html


#3

Zarejestrowanypobojach , proszę o zapoznanie się z tematem zasady-wklejania-logow-forum-t253052.html i dostosowanie się do niego. W przeciwnym wypadku temat poleci do kosza.


(Zarejestrowanypobojach) #4

krzych5610

Dzięki za pomoc. Kilkukrotnie próbowałem tego Kasperskiego i niestety nawet nie chce ruszyć.

Wyskakuje przy bootowaniu:

Welcome to GRUB!

Entering rescure mode...

error: cannot get C/H/S values

grub rescure>

A więc ta metoda odpada.


(krzych5610) #5

Rozumiem, że komputer został uruchomiony za pomocą nagranej CD ( Kaspersky Rescude Disk ). Wygenerowany komunikat informuje, że nie jest możliwe utworzenie wydzielonej strefy na dysku, do której wczytywane są bazy Kaspersky. Może to oznaczać poważne problemy z dyskiem.

Jeżeli tak się dzieje to można wykonać n/w czynności:

  1. Podłączyć zainfekowany dysk do drugiego PC jako podrzędny, na takim zestawie uruchomić system za CD-Kaspersky Rescude Disk.

  2. Wykonać skan zainfekowanego PC za pomocą Kaspersky Virus Removal Tool 2010 9.0.0.722 / http://www.dobreprogramy.pl/Kaspersky-V ... 12768.html

  3. Wykonać skan za pomocą Dr.WEB CureIt! 6.00.5.08315 / http://www.dobreprogramy.pl/Dr.WEB-Cure ... 12976.html

PS. Przedstawiony problem został dokładnie opisany na - http://forum.programosy.pl/-log-virtumo ... 88029.html

-- Dodane 14.03.2011 (Pn) 11:24 --

  1. Na stronie http://cybertrash.pl/images/tata/Virtmu ... eGone.html udostępniony jest najnowszy program do walki z Vundo / Wirtumonde

-- Dodane 14.03.2011 (Pn) 11:25 --

Virtumonde


(Zarejestrowanypobojach) #6

Być może,ale tam chce się startować Linux więc najbardziej możliwe że to po prostu jeden z miliona problemów związanych z tym systemem.

Niby jakieś błędy na dysku mogą być bo Windows chowa mi pliki, ale to najprawdopodobniej przez zawirusowanie bo kiedy włączę "pokazuj ukryte pliki i foldery" wszystko jest widoczne, każdy plik mogę uruchomić, skopiować, mogę też instalować/odinstalowywać programy.

Nie mam zaufania do Kasperskego. Wczoraj zainstalowałem najnowszą wersję, przeskanował wszyściutko łącznie z dyskiem D. Nie znalazł nic, oprócz paru cracków na dysku, które juz standardowo uznaje za zagrożenie. Nawet po restarcie systemu wyskakują mi okienka z babokiem, to co wcześniej blokował Eset a Kaspersky na te zagrożenia jest ślepy.

VirtmundoBeGone - przetestowałem przed chwilą jeszcze raz, nic nie znalazł. pozostałe dwa programy do Vindumonde (nie pamiętam nazw, na tym forum znalazłem) również nie wykrywają tego.

Sprawdziłem najprzeróżniejsze toole o jakich czytałem na forach i nic, w życiu nie spotkałem się z tak beznadziejnym probleme :expressionless:

Czy można załatwić to prościej tak jak w wyżej przytoczonym temacie? W pierwszym poście wstawiłem logi, jeśli jeszcze jakieś są potrzebne to zaraz dodam SDFix.


(Acorus) #7

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt..Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.


(Zarejestrowanypobojach) #8

Dzięki za odpowiedź.

Plik

gTqujgchSFYWU.exe

wcześniej był pokazywany jako wirus przez Eseta i blokowany, z tego co pamiętam. Teraz mam Kasperskego, testowo no a on przepuszcza wszystko. Apropos, aplikacja która mi wyskakuje to "Windows Diagnostic", nie znam tego, wyskoczyło mi pierwszy raz zaraz jak złapałem wira ze strony internetowej. Jest to niby tester dysku, pokazuje mi błędy na dysku oraz naturalnie chce abym kupił pełną wersję tego programu aby te błędy usunąć. Żadnych błędów oczywiście wcześniej nie było. Może ktoś się spotkał z czymś takim wcześniej, ja szukałem i nie znalazłem niczego na ten temat.

Jeśli chodzi o post powyżej, niestety nie mogę tego zrobić :frowning: Po wklejeniu kodu do OTL oraz kliknięciu "Wykonaj Skrypt" po chwili wyskakuje alert, że nie może utworzyć pliku:

C:\Dokuments and Settings\patryk\Dane aplikacji\Mozilla\FireFox\gih5dz3.default\prefs.js.

Oczywiście sprawdziłem ręcznie co nie tak. W eksploratorze nie mogę wpisać nawet adresu do Dokuments and Setting bo mi pokazuje, że scieżka nieprawidłowa :expressionless: Ręcznie mogę wejść do folderu, ale wklejenie nawet kopii adresu który eksploruje nie działa. Próbowałem w trybie normalnym i awaryjnym.


(Acorus) #9

No to przeskanuj progr.Dr.WEB CureIt.


(krzych5610) #10

Ok roku temu udało mi się usunąć śmiecia z tej serii za pomocą jednego z tych skanerów: http://www.f-secure.com/en_EMEA-Labs/se ... e-scanner/ , http://www.bitdefender.com/scanner/online/free.html


(Adasu) #11

Witam

Mam ten sam problem co kolega.

Ten syf to dokładnie: http://cybertrash.pl/news.php?readmore=4525

Sprawa jest sprzed 2dni, więc całkiem nowa. Zgodnie z zaleceniem porobiłem wszystkie możliwe skany, skany logów ComboFixem i tylko Malwarebytes' Anti-Malware coś wykrył i usunął. Teraz jest teoretycznie czysto. Przy starcie systemu WindowsDiagnostic już się nie uruchamia, LECZ! nadal WSZYSTKIE pliki na dysku C są niewidoczne, zblokowana jest np. Java oraz co najgorsze Przywracanie Systemu (odmowa dostępu error 5). W starcie nic niema praktycznie. W tray'u również. Wygląda to nieciekawie.

HiJackThis

http://www.wklejto.pl/92705


(Zarejestrowanypobojach) #12

Osz kurna...

Ja już się zniechęciłem i szykuję sie do zrzucenia kopii danych z dysku D (jakieś 350GB po kawałku pendrivem! !!

A próbowałeś włączyć "Pokaż ukryte pliki i foldery" i sprawdzić czy po restarcie też będą widoczne? U mnie znów znikają po restarcie.


(Adasu) #13

OK, rozwiązałem problem.

Wczoraj w nocy po aktualizacji bazy Malwarebytes' Anti-Malware i skanowaniu wykryło 5 syfów, a po kolejnej dzisiejszej aktualizacji wykryło jeszcze 3 syfy. I to by było na tyle jeśli chodzi o niechciane śmieci, następnie Combo fix. I teraz najlepsze - wszystkie ukryte foldery i pliki na C (oczywiście te które się da) trzeba zrobić z powrotem WIDOCZNE. Systemowe i Program Files i co najważniejsze: wszystko w System Volme Information. Trochę to mozolne, ale jest to jedyna rada. Teraz można już normalnie włączyć przywracanie systemu. Mi przywracał z 10min, po czym po restarcie dał komunikat że wystąpił błąd, ale i tak wszystko powinno śmigać jak dawniej.

A już też się szykowałem do backupu danych...

Pozdro