Wirus VRT1.TMP oraz dziwne pliki w Windows\system32

brolishin · 12 Luty 2009 10:44

Witam serdecznie,

po przeinstalowaniu systemu jestem non stop nękany przez wirusa podanego w tytule tematu, co około półgodziny avast podaje komunikaty o tym wirusie przybierającym tym razem różne nazwy VRT2.TMP, VRT3.TMP,VRT4.TMP itd. itp. pliki te znajdują się w katalogu C:\Windows\Temp i ręczne usuwanie jest nieskuteczne,ponieważ odnawiają się po jakimś czasie. Niepokojące są także komunikaty o plikach w katalogu C:\Windows oraz C:\Windows\System32 przybierających takie nazwy jak np. zlogqwr.sys, relawvwb.sys, dllhost.exe,lifxces.sys, gncokidf.sys, wnykognd.sys,xcnotjff.sys,jrfrust. Z objaw systemowych zauważyłem, że w menadżerze zadań istnieje ok. 7 procesów svchost.exe z czego jeden momentami ma użycie CPU 99% jednak wyłączenie tego procesu nie powoduje żadnych szkodliwych zmian, także nie jestem w stanie uruchomić ani zainstalować części programów gdyż pojawia się komunikat o uszkodzeniu pliku wykonywalnego spowodowanego prawdopodobnie wirusem, niektóre programy się niby uruchamiają (symbol klepsydry przy wskaźniku myszy), ale po chwili nic się nie dzieje.

Poniżej zamieszczam log z hijacka.

http://www.wklej.org/id/51775/

huber2t · 12 Luty 2009 13:01

Podaj log z Combofix

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

brolishin · 12 Luty 2009 14:59

Zamieszczam log z combofix’a.

http://www.wklej.org/id/51897/

Po restarcie komputera, po tym jak combofix skończył swoje działanie w Menedżer urządzeń>Karty sieciowe pojawiły mi sie 3 nowe pozycje: WAN MINIPORT (IP)-, WAN MINIPORT (L2TP), WAN MINIPORT (PPTP), nie wiem czy to dobrze bo wcześniej takich wpisów nie miałem a połączenia sieciowe działały poprawnie, urządzeń tych nie da rady odinstalować ponieważ w wyskakującym okienku z komunikatem pisze że te urządzenia są niezbędne do rozruchu komputera

Leon1 · 12 Luty 2009 16:36

zastosuj ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html

Zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń zaznaczone - pokaż log

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Potem nowy skan Combofixem i pokaż log

brolishin · 12 Luty 2009 17:59

Zamieszczam loga z Malwarebytes’ Anti-Malware

http://www.wklej.org/id/51971/

oraz loga z combofixa po puszczeniu skanowania

http://www.wklej.org/id/51975/

Nie wiem czy coś robię źle, ale nadal dostaje komunikaty z avast’a na temat plików VRT1.TMP oraz innych plików od dziwnych nazwach z katalogu C:\Windows\ i C:\Windows\system32

Leon1 · 12 Luty 2009 18:30

Wyłącz przywracanie systemu na wszystkich dyskach.

Otwórz notatnik i wklej

File:: c:\windows\system32\1B.tmp c:\documents and settings\Broli Shin\uwptsuc.exe c:\windows\system32\1C.tmp c:\windows\system32\16.tmp c:\windows\system32\19.tmp c:\windows\system32\15.tmp c:\windows\system32\14.tmp c:\windows\system32\18.tmp c:\windows\system32\13.tmp c:\windows\system32\97.tmp c:\windows\system32\95.tmp c:\windows\system32\94.tmp c:\windows\system32\drivers\ethedldy.sys c:\windows\system32\8E.tmp c:\windows\system32\8C.tmp c:\windows\system32\8B.tmp c:\windows\system32\drivers\lrncousj.sys c:\documents and settings\Broli Shin\hpoeh.exe c:\windows\system32\11.tmp c:\windows\system32\10.tmp c:\documents and settings\Broli Shin\ehacwcy.exe c:\windows\System32\Drivers\becpyjtm.sys c:\windows\System32\Drivers\bssvdjht.sys c:\windows\System32\Drivers\bwmsfpzn.sys c:\windows\System32\Drivers\cdrrtyzf.sys c:\windows\System32\Drivers\closjxby.sys c:\windows\System32\Drivers\cvrgqkiq.sys c:\windows\System32\Drivers\cxemmkqq.sys c:\windows\System32\Drivers\deomvbst.sys c:\windows\System32\Drivers\dvfbzypa.sys c:\windows\System32\Drivers\ekiifxoj.sys c:\windows\System32\Drivers\eszbluib.sys c:\windows\System32\Drivers\euojeqjy.sys c:\windows\System32\Drivers\ffeqganw.sys c:\windows\System32\Drivers\fkvygccv.sys c:\windows\System32\Drivers\fqeohtoa.sys c:\windows\System32\Drivers\fwlspxrh.sys c:\windows\System32\Drivers\gboxlhzl.sys c:\windows\System32\Drivers\gncokidf.sys c:\windows\System32\Drivers\heodyfkl.sys c:\windows\System32\Drivers\knukenvk.sys c:\windows\System32\Drivers\lifkciel.sys c:\windows\System32\Drivers\lirohmso.sys c:\windows\System32\Drivers\luwylxmb.sys c:\windows\System32\Drivers\mpsxhluh.sys c:\windows\System32\Drivers\mtnmwrwj.sys c:\windows\System32\Drivers\mwtrfhfs.sys c:\windows\System32\Drivers\nvctkhks.sys c:\windows\System32\Drivers\nwyspxkr.sys c:\windows\System32\Drivers\ockpadpu.sys c:\windows\System32\Drivers\okapycvi.sys c:\windows\System32\Drivers\onzgmayw.sys c:\windows\System32\Drivers\oroiteih.sys c:\windows\System32\Drivers\oyrgbumb.sys c:\windows\System32\Drivers\ozzqodfd.sys c:\windows\System32\Drivers\pkxfeeww.sys c:\windows\System32\Drivers\qcoddcpg.sys c:\windows\System32\Drivers\relawvwb.sys c:\windows\System32\Drivers\rjkbibzb.sys c:\windows\System32\Drivers\rsbzjzam.sys c:\windows\System32\Drivers\ssqkkxkm.sys c:\windows\System32\Drivers\stkhhnga.sys c:\windows\System32\Drivers\twojjblu.sys c:\windows\System32\Drivers\vftuueqs.sys c:\windows\System32\Drivers\vpmytfbl.sys c:\windows\System32\Drivers\wmykognd.sys c:\windows\System32\Drivers\wxgzdnee.sys c:\windows\System32\Drivers\xcnodjtf.sys c:\windows\System32\Drivers\xgmbgsqw.sys c:\windows\System32\Drivers\xvholtbo.sys c:\windows\System32\Drivers\xyuhxqdi.sys c:\windows\System32\Drivers\yicvlyek.sys c:\windows\System32\Drivers\yipmbzob.sys c:\windows\System32\Drivers\yrlrdzdc.sys c:\windows\System32\Drivers\zloycqwr.sys Driver:: ethedldy becpyjtm bssvdjht bwmsfpzn cdrrtyzf closjxby cvrgqkiq cxemmkqq deomvbst dvfbzypa ekiifxoj eszbluib euojeqjy ffeqganw fkvygccv fqeohtoa fwlspxrh gboxlhzl gncokidf heodyfkl knukenvk lifkciel lirohmso lrncousj luwylxmb mpsxhluh mtnmwrwj mwtrfhfs nvctkhks nwyspxkr ockpadpu okapycvi onzgmayw oroiteih oyrgbumb ozzqodfd pkxfeeww qcoddcpg relawvwb rjkbibzb rsbzjzam ssqkkxkm stkhhnga twojjblu vftuueqs vpmytfbl wmykognd wxgzdnee xcnodjtf xgmbgsqw xvholtbo xyuhxqdi yicvlyek yipmbzob yrlrdzdc zloycqwr

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/System%20Repair/System%20Repair%20Engineer.html

przeskanuj daj log

brolishin · 13 Luty 2009 12:57

Zamieszczam log z combofix’a

http://www.wklej.org/id/52219/

Niestety nie mogę uruchomić programu System Repair Engineer, więc nie mogę dać loga z tego programu. Obecność wirusa chyba nadal daje się we znaki.

Leon1 · 13 Luty 2009 15:00

Otwórz notatnik i wklej

File:: c:\windows\system32\1A.tmp c:\windows\system32\12.tmp c:\windows\system32\17.tmp c:\windows\system32\D.tmp c:\windows\system32\7.tmp c:\windows\system32\2BC.tmp c:\windows\system32\2BB.tmp c:\windows\system32\2BA.tmp c:\windows\system32\48.tmp c:\windows\system32\47.tmp c:\windows\system32\46.tmp c:\windows\system32\B.tmp c:\documents and settings\Broli Shin\calqn.exe c:\windows\system32\5.tmp c:\windows\system32\6.tmp c:\documents and settings\Broli Shin\gpohp.exe c:\windows\system32\secupdat.dat c:\windows\system32\drivers\ndisio.sys c:\windows\System32\Drivers\cqmpqpso.sys c:\windows\System32\Drivers\wnxjswbn.sys c:\windows\TEMP\VRT4.tmp Driver:: cqmpqpso wnxjswbn Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] “Userinit”=- “Userinit”=“C:\WINDOWS\system32\userinit.exe,” [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\6to4]

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix