Wirus vundo pomocy!

akaljus · 18 Listopad 2007 22:25

Mam problem a mianowicie mój komputer złapał jakiegos wirusa o nazwie vundo wyskakuje mi cały czas żebym sciągnął jakies oporgramowanie antyvirusowe poprostu nie da sie pracować na komputerze prosze o pomoc wiem tylko tyle żeby podac loga na forum prosze o dalsze instrukcje

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:23:12, on 2007-11-18 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTsvcCDA.exe C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe E:\Program Files\Winamp\winampa.exe C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\Program Files\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Kalendarz XP\Kalendarz.exe C:\Program Files\Spyware Doctor\svcntaux.exe C:\Program Files\Spyware Doctor\swdsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\WgaTray.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.toggle.com/index.php?rvs=hompag R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ztedfpex.dll O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe” O4 - HKLM…\Run: [WinampAgent] E:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM…\Run: [a06aeb9c] rundll32.exe “C:\WINDOWS\system32\bqjwgcrp.dll”,b O4 - HKLM…\Run: [salestart(1)] “C:\Program Files\Common Files\StorageProtector\strpmon.exe” dm=http://storageprotector.com;’>http://storageprotector.com; ad=http://storageprotector.com O4 - HKLM…\Run: [sDTray] “C:\Program Files\Spyware Doctor\SDTrayApp.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [Expressivo] “C:\Program Files\ivo\Expressivo Demo\expressivo.exe” -t O4 - HKCU…\Run: [bestsellerAntivirus] C:\Program Files\BestsellerAntivirus\pgs.exe /min O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘?’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘?’) O4 - HKUS\S-1-5-21-1390067357-1993962763-682003330-1003…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User ‘?’) O4 - HKUS\S-1-5-21-1390067357-1993962763-682003330-1003…\Run: [Expressivo] “C:\Program Files\ivo\Expressivo Demo\expressivo.exe” -t (User ‘?’) O4 - HKUS\S-1-5-21-1390067357-1993962763-682003330-1003…\Run: [bestsellerAntivirus] C:\Program Files\BestsellerAntivirus\pgs.exe /min (User ‘?’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘?’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/sho … wflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe O24 - Desktop Component 0: (no name) - http://osiecka.webd.pl/constar.jpg – End of file - 6938 bytes

Gutek · 18 Listopad 2007 23:42

wpisy usuń HJT

Użyj VundoFix + Trojan.Vundo Removal Tool + VirtumundoBeGone.

Użyj SmitFraudFix wybierz opcji nr 2 , oczywiście w trybie awaryjnym i po tym - Daj log z ComboFix

akaljus · 19 Listopad 2007 15:17

po usunieciu wpisów HJT VundoFix i trojan vundo removal tool wirus jakby zniknął :o to znaczy że to koniec, czy dalej mam wykonywać to co napisałes? Jeżeli tak to chciałbym spytać jak uruchomic komputer w trybie awaryjnym? może to głupie pytanie ale naprawde nie wiem nie jestem żadnym informatykiem tylko chłopakiem 13 letnim który wie jak coś znalesc w internecie i jak właczyć gre :oops: . Bardzo prosze o pomoc…

arekmalek · 19 Listopad 2007 15:34

Pomocne dla niezaawansowanych przy trybie awaryjnym.

akaljus · 19 Listopad 2007 16:15

Dobra uruchoomiłem w trybie awaryjnym i zeskanowałem ale gdy wlanczam combofix wychodzi komunikat potem nastepny i go odinstalowuje co teraz?

Gutek · 19 Listopad 2007 17:03

Daj log z ComboFix

akaljus · 19 Listopad 2007 17:33

Nie wiem co jest pisze gdy wlanczam combofixa Curent date is 2007-11-19.This copy of combofix has expired please dowlnoad and update copy.

i nastepnie pisze że deinstalacja zakonczona pomyslnie

Leon1 · 19 Listopad 2007 17:35

Pobierz tu http://download.bleepingcomputer.com/sU … mboFix.exe

akaljus · 19 Listopad 2007 18:36

ComboFix 07-11-08.3 - admin 2007-11-19 19:24:49.1 - NTFSx86 Running from: C:\Documents and Settings\admin\Pulpit\ComboFix.exe . Unable to gain System Privileges ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\admin\Dane aplikacji\storageprotector C:\Documents and Settings\admin\Dane aplikacji\storageprotector\Logs\update.log C:\Documents and Settings\admin\ResErrors.log C:\Documents and Settings\admin\Ulubione\Online Security Guide.lnk C:\UGA6P C:\WINDOWS\system32\abeeg.ini C:\WINDOWS\system32\abeeg.ini2 C:\WINDOWS\system32\geeba.dll C:\WINDOWS\system32\jjkkj.ini2 C:\WINDOWS\system32\ztedfpex.dllbox . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_FMTR ((((((((((((((((((((((((( Files Created from 2007-10-19 to 2007-11-19 ))))))))))))))))))))))))))))))) . 2007-11-19 16:57 860 --a------ C:\WINDOWS\system32\tmp.reg 2007-11-18 22:58 2007-11-18 22:42 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-18 19:04 2007-11-18 13:09 2007-11-18 13:09 2007-11-18 13:09 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2007-11-18 13:09 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2007-11-18 13:09 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2007-11-18 13:09 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2007-11-18 13:08 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-11-18 12:21 2007-11-18 12:09 2007-11-17 23:57 2007-11-17 23:25 85,056 --a------ C:\WINDOWS\system32\bqjwgcrp.dll 2007-11-17 23:20 145,984 --a------ C:\WINDOWS\system32\pjbsfrbd.dll 2007-11-17 09:01 37,376 --a------ C:\WINDOWS\system32\vtuuvtr.dll.vir . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-19 18:33 --------- d-----w C:\Documents and Settings\admin\Dane aplikacji\Skype 2007-11-19 18:29 --------- d-----w C:\Program Files\Kalendarz XP 2007-11-19 18:22 --------- d-----w C:\Documents and Settings\admin\Dane aplikacji\MegauploadToolbar 2007-11-19 16:24 --------- d—a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP 2007-11-18 13:11 --------- d-----w C:\Program Files\Lavasoft 2007-11-18 11:49 --------- d—a-w C:\Program Files\BearShare Applications 2007-10-25 12:30 --------- d–h--w C:\Program Files\InstallShield Installation Information 2007-10-24 17:51 --------- d-----w C:\Documents and Settings\admin\Dane aplikacji\Image Zone Express 2007-07-06 22:42 19,520 ----a-w C:\Documents and Settings\admin\Dane aplikacji\GDIPFONTCACHEV1.DAT 2006-01-22 20:44:51 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE~\Browser Helper Objects{c183f519-caad-445e-9d87-c6856beae30d}] C:\WINDOWS\system32\uducreqn.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe” [2006-11-09 15:07] “WinampAgent”=“E:\Program Files\Winamp\winampa.exe” [2006-11-21 18:38] “PCSuiteTrayApplication”=“C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe” [2006-11-08 13:27] “HP Software Update”=“C:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2006-02-19 01:41] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 23:44] “MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2004-10-13 17:24] “Skype”=“C:\Program Files\Skype\Phone\Skype.exe” [2006-12-18 17:32] “Expressivo”=“C:\Program Files\ivo\Expressivo Demo\expressivo.exe” [] [HKEY_USERS.default\software\microsoft\windows\currentversion\run] “PcSync”=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 14:44:06] HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 03:21:22] Kalendarz XP.lnk - C:\Program Files\Kalendarz XP\Kalendarz.exe [2007-01-11 14:44:10] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 10:01:04] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] @= [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] “Authentication Packages”= msv1_0 C:\WINDOWS\system32\geeba.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice" [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Program Files\Winamp\winampa.exe . ************************************************************************** catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-19 19:33:54 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-19 19:34:53 - machine was rebooted . — E O F —

Leon1 · 19 Listopad 2007 19:29

Otwórz notatnik i wklej

File::

C:\WINDOWS\system32\bqjwgcrp.dll

C:\WINDOWS\system32\pjbsfrbd.dll 

C:\WINDOWS\system32\vtuuvtr.dll.vir 


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c183f519-caad-445e-9d87-c6856beae30d}]

zapisz jako CFScript (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exehttp://img.wklej.org/images/88953CFScri … iemoes.gifna pytanie “1 or 2” - to wpisz 1 i naciśnij ENTER Powinno rozpocząć się usuwanie Po restarcie usuń ręcznie folder C: \Qoobox Otwórz notatnik i wklej

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"Authentication Packages"=-

"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\

  00

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

akaljus · 19 Listopad 2007 19:46

Zapisałem jako plik.reg i dalej nacisnąc prawym wziąc scal ?? i dalej wychodzi C:\documents and setings\admin\Pulpit\plik.reg do rejestru?

wziac tak? i restartowac kompa?

Złączono Posta : 19.11.2007 (Pon) 22:56

prosze niech ktoś odpowie :roll:

Gutek · 19 Listopad 2007 22:06

Wklej do Notatnika:

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo, ale przed nowym logiem:

Wklej do Notatnika:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"Authentication Packages"=-

"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\

  00

Z menu Notatnika Plik Zapisz jako Ustaw rozszerzenie na “Wszystkie pliki” Zapisz jako FIX.REG uruchom ten plik (dwuklik).