Wirusy Virtumonde ;/

tomao · 26 Styczeń 2009 01:14

Witam, no i sie w***ałem w /cenzura/ krótko mówiąc, wiedziałem, że mam wiry bo mi sie otwierało w IE to okno ze skanowaniem. SpyBot mi go wykrył, powiedzcie mi czy on go usunie czy dalej mam coś robić ?

EDIT: Mogę z tego korzystać ? http://antyvir.blogspot.com/2007/01/usuwanie-trojana-vundo-virtumonde.html

huber2t · 26 Styczeń 2009 06:42

Podaj log z Combofix

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

tomao · 26 Styczeń 2009 09:32

Hmm problem chyba zniknął bo już nic nie widzę podejrzanego, stronki się nie otwierają. SpyBot go niby usunął i potem już nie znalazł. Użyłem też programów z linku, który podałem w pierwszym poście.

http://wklej.eu/index.php?id=445cc43bc3

huber2t · 26 Styczeń 2009 09:34

Do wyleczenia pendrive z wirusów użyj tych programów

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!

tomao · 26 Styczeń 2009 14:00

Kaspersky znalazł 5 Exploit.Java.Gimsh.a

-------------------------------------------------------------------------------- RAPORT KASPERSKY ONLINE SCANNER 7.0 poniedziałek, 26 styczeń 2009 System operacyjny: Microsoft Windows XP Home Edition Dodatek Service Pack 2 (build 2600) Wersja Kaspersky Online Scanner: 7.0.26.12 Data ostatniej aktualizacji bazy danych: Monday, January 26, 2009 10:11:55 Liczba wpisów: 1697819 -------------------------------------------------------------------------------- Ustawienia skanowania: Typ bazy danych użytej do skanowania: rozszerzona Skanuj archiwa: tak Skanuj pocztowe bazy danych: tak Obszar skanowania - Mój komputer: A:\ C:\ D:\ E:\ Statystyki skanowania: Przeskanowanych plików: 147062 Nazwa zagrożenia: 1 Zainfekowanych obiektów: 5 Podejrzanych obiektów: 0 Czas skanowania: 02:01:31 Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\6.0\16\5e752950-3bd56281 Zainfekowany: Exploit.Java.Gimsh.a 1 C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\6.0\53\312bcf5-423be0dc Zainfekowany: Exploit.Java.Gimsh.a 1 C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\6.0\60\1f890ebc-64dc5544 Zainfekowany: Exploit.Java.Gimsh.a 1 C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\file\java.class-1fbec264-45060f07.class Zainfekowany: Exploit.Java.Gimsh.a 1 C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\file\java.class-51fc2049-2d0e44ac.class Zainfekowany: Exploit.Java.Gimsh.a 1 Wybrany obszar został przeskanowany.

huber2t · 26 Styczeń 2009 14:04

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\6.0\16\5e752950-3bd56281

C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\6.0\53\312bcf5-423be0dc

C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\6.0\60\1f890ebc-64dc5544

C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\file\java.class-1fbec264-45060f07.class 

C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\file\java.class-51fc2049-2d0e44ac.class

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

tomao · 26 Styczeń 2009 14:11

Logfile of The Avenger Version 2.0, © by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File “C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\6.0\16\5e752950-3bd56281” deleted successfully. File “C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\6.0\53\312bcf5-423be0dc” deleted successfully. File “C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\6.0\60\1f890ebc-64dc5544” deleted successfully. File “C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\file\java.class-1fbec264-45060f07.class” deleted successfully. File “C:\Documents and Settings\admin\Dane aplikacji\Sun\Java\Deployment\cache\javapi\v1.0\file\java.class-51fc2049-2d0e44ac.class” deleted successfully. Completed script processing. ******************* Finished! Terminate.

huber2t · 26 Styczeń 2009 14:29

Pliki usunięte

tomao · 26 Styczeń 2009 14:41

o o znowu jak otworzyłem IE to wyskoczyło to okno ze skanowaniem …

– Dodane 26.01.2009 (Pn) 15:56 –

http://i41.tinypic.com/28c2fdu.png

jessica · 26 Styczeń 2009 14:58

Daj jeszcze raz log z ComboFixa.

jessi

tomao · 26 Styczeń 2009 15:15

http://www.wklej.eu/index.php?id=926d9db160

jessica · 26 Styczeń 2009 15:50

Nie, tu nie ma nic ciekawego.

ComboFix usunął tylko jeden plik infekcji, i nic więcej nie ma.

jessi

tomao · 26 Styczeń 2009 16:38

eh po skanowaniu nodem strasznie dużo zablokowanych zbiorów, może to nie ma znaczenia ale tyle tego to pierwszy raz jest. Nie wiem co mam zrobic, bo to, że te Virtumonde dalej siedzi jestem pewien

jessica · 26 Styczeń 2009 16:56

No to wiesz lepiej niż ja, bo ja tego nie widzę w logu.

jessi

tomao · 26 Styczeń 2009 16:58

SpyBot nadal wykrywa Virtumonde

jessica · 26 Styczeń 2009 17:06

Użyj MBAM -http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html i daj z niego raport.

jessi

tomao · 26 Styczeń 2009 20:35

Na razie problem zniknął, SpyBot też już cicho siedzi i oby tak zostało