Prośba o sprawdzenie loga.

IP: *.chello.pl 04.08.08, 12:44
Uruchomiłem ComboFixa, znalazł i usunął jakieś problemy, ale to nie zakończyło
kłopotów więc proszę was o pomoc.
Combofix podaje, że usunął pliki, między innymi BMa78320fe.txt i
BMa78320fe.xml, jednak te dwa pliki nadal są w folderze WINDOWS, po usunięciu
ich ręcznie mija dosłownie 10 sekund a plik txt powraca, po kilku minutach
pojawia się też plik xml.
Ponadto Spybot S&D wyświetla mi komunikat o dodaniu BMa78320fe do wpisów w
rejestrze, zablokowanie tego nic nie daje bo wyświetla się kolejne takie same
okienko i nie da rady tego zatrzymać.
Dodatkowo Google mi nie zawsze działają.
wklej.org/id/631c439ed1 - log z combofixa
    • Gość: Kamil29 Re: Prośba o sprawdzenie loga. IP: *.chello.pl 04.08.08, 12:48
      Dodam jeszcze, że właśnie zrobiłem scana Spybotem i znalazł mi szkodniki:
      Virtumonde. Problem w tym, że znajduje te szkodniki codziennie, zawsze w tym
      samym miejscu i w tej samej ilości, nawet po ich usunięciu.
    • Gość: Kolobos Re: Prośba o sprawdzenie loga. IP: *.escom.net.pl 04.08.08, 16:23
      Utworz na pulpicie plik CFScript.txt i wklej do niego:

      File::
      C:\WINDOWS\system32\eqftanvt.dll
      C:\WINDOWS\system32\rdctubtn.dll
      C:\WINDOWS\system32\ctafkiuq.dll
      C:\WINDOWS\system32\cbXNGYss.dll
      C:\WINDOWS\system32\awtqonlI.dll
      C:\WINDOWS\system32\nvgf.dll
      C:\WINDOWS\system32\navf.dll
      C:\WINDOWS\system32\tmp109.tmp
      C:\WINDOWS\system32\tmp108.tmp
      C:\WINDOWS\system32\cbXNGYss.dll

      Folder::
      C:\Program Files\Yahoo!\
      C:\found.000

      Registry::
      [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9611C79F-D956-4B7C-9888-8B2B968325A3}]

      [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
      "{9611C79F-D956-4B7C-9888-8B2B968325A3}"=-

      [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbXNGYss]

      Zapisz i przeciagnij go na ikone combofix. Zrob tez skan przy pomocy AVPTool.
      • Gość: Kamil29 Re: Prośba o sprawdzenie loga. IP: *.chello.pl 04.08.08, 17:46
        Sytuacja nie poprawiła się - robak znowu się odrodził pod postacią nowych
        plików. Ponadto w Tempach pojawiły mi się dziwne 'ukryte' pliki, których nie
        mogę usunąć.
        Jestem raczej przekonany, że na moim kompie zadomowił się Trojan Vundo, zwany
        też Virtumonde (jak wcześniej pisałem Spybot go wykrywa ale nie może skutecznie
        go usunąć). Potrzebuje więc rady jak się pozbyć tego rodzaju szkodnika.

        > Zapisz i przeciagnij go na ikone combofix.
        wklej.org/id/a5e20cb07c

        > Zrob tez skan przy pomocy AVPTool
        A scana tamtym programem nie zrobiłem bo nie mogę go znaleźć w necie (google nie
        działają)

        id.wklej.org/s/12677 - screen zrobiony po scanie wykonanym przez Spybota,
        może się przyda
        • Gość: Kamil29 Re: Prośba o sprawdzenie loga. IP: *.chello.pl 04.08.08, 17:50
          Aha, bo zapomniałem:
          wklej.org/id/d3248fc092 - log z HiJackThis
          • Gość: Kolobos Re: Prośba o sprawdzenie loga. IP: *.escom.net.pl 04.08.08, 18:12
            Przeciez w ogole nie wykonales tego co napisalem, wiec czemu sie dziwisz, ze dalej jest infekcja?
            Napisze Ci to jeszcze raz i mam nadzieje, ze tym razem wykonasz..

            Utworz na pulpicie plik CFScript.txt i wklej do niego:

            File::
            C:\WINDOWS\system32\cbXNGYss.dll
            C:\WINDOWS\system32\befsaqyc.dll
            C:\WINDOWS\system32\fpubbkgo.dll_old
            C:\WINDOWS\system32\eqftanvt.dll
            C:\WINDOWS\system32\rdctubtn.dll
            C:\WINDOWS\system32\ctafkiuq.dll
            C:\WINDOWS\system32\cbXNGYss.dll
            C:\WINDOWS\system32\awtqonlI.dll
            C:\WINDOWS\system32\tmp109.tmp
            C:\WINDOWS\system32\tmp108.tmp
            C:\WINDOWS\system32\nvgf.dll
            C:\WINDOWS\system32\navf.dll

            Folder::
            C:\found.000

            Registry::
            [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9611C79F-D956-4B7C-9888-8B2B968325A3}]

            [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
            "BMa78320fe"=-

            [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
            "{9611C79F-D956-4B7C-9888-8B2B968325A3}"=-

            [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbXNGYss]

            Zapisz plik i przeciagnij go na ikone combofix. Po uzyciu daj log.
            • Gość: Kamil Re: Prośba o sprawdzenie loga. IP: *.chello.pl 04.08.08, 18:47
              Za pierwszym razem utworzyłem plik CFScript.txt i wkleiłem do niego to, co mi
              podałeś, zapisałem i przeciągnąłem plik na ikonke Combofix.exe i nie wiem czrmu
              twierdzisz, że było inaczej. No ale nie będę się kłócił, wiem, że chcesz pomóc.
              Zrobiłem to więc drugi raz:
              www.wklej.org/id/dc0d31d9e1
              Niektóre objawy nadal zostały, mimo iż zrobiłem dokładnie to, co mi poleciłeś.
              Może robię coś źle (ale kiedyś już używałem ComboFixa to usunięcia trojana i
              wtedy pomogło, więc wiem o co w tym chodzi i robię to o co mnie prosisz i to co
              robiłem już kiedyś). A może trzeba spróbować czegoś innego jeśli ComboFix sobie
              nie radzi
              • Gość: Kolobos Re: Prośba o sprawdzenie loga. IP: *.escom.net.pl 04.08.08, 18:55
                Nic sie nie usunelo (w ogole nie wykonal sie CFScript.txt). Uzyj Avenger'a: swandog46.geekstogo.com/avenger.zip wklejasz do niego taki skrypt:

                Files to delete:

                C:\WINDOWS\BMa78320fe.xml
                C:\WINDOWS\system32\xspyrfeo.dll
                C:\WINDOWS\system32\befsaqyc.dll
                C:\WINDOWS\system32\fpubbkgo.dll_old
                C:\WINDOWS\system32\eqftanvt.dll
                C:\WINDOWS\system32\rdctubtn.dll
                C:\WINDOWS\system32\ctafkiuq.dll
                C:\WINDOWS\system32\cbXNGYss.dll
                C:\WINDOWS\system32\awtqonlI.dll
                C:\WINDOWS\system32\tmp109.tmp
                C:\WINDOWS\system32\tmp108.tmp
                C:\WINDOWS\system32\nvgf.dll
                C:\WINDOWS\system32\navf.dll
                C:\WINDOWS\system32\oefrypsx.ini
                C:\WINDOWS\system32\cbXNGYss.dll

                Folders to delete:

                C:\found.000


                Po wykonaniu wklej do notatnika:
                REGEDIT4

                [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9611C79F-D956-4B7C-9888-8B2B968325A3}]

                [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
                "{9611C79F-D956-4B7C-9888-8B2B968325A3}"=-

                [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbXNGYss]

                Zapisz jako fix.reg i uruchom.

                Daj log z avenger'a, combofix oraz sdfix zrobiony w trybie awaryjnym.
                Do tego zrob skan przy pomocy AVPTool.
                • Gość: Kamil29 Re: Prośba o sprawdzenie loga. IP: *.chello.pl 04.08.08, 19:01
                  Ok, zrobię to tylko powiedz skąd wziąść tego AVPTool
                  • Gość: Kolobos Re: Prośba o sprawdzenie loga. IP: *.escom.net.pl 04.08.08, 19:10
                    Z internetu, pierwszy link z google po wpisaniu AVPTool.
                    • Gość: Kamil29 Re: Prośba o sprawdzenie loga. IP: *.chello.pl 04.08.08, 19:13
                      Nadal mam ten problem, że google nie działają.
                      • Gość: Kolobos Re: Prośba o sprawdzenie loga. IP: *.escom.net.pl 04.08.08, 19:32
                        Tutaj masz: ftp.kaspersky.com/devbuilds/AVPTool/
                        • Gość: Kamil29 Re: Prośba o sprawdzenie loga. IP: *.chello.pl 04.08.08, 19:56
                          wklej.org/id/6375fa87b7 - ComboFix
                          wklej.org/id/683286309f - SDFix

                          Użyłem Avengera, usunął co miał, ale nie mam loga (musiał się skasować gdy
                          włączyłem Combofixa)

                          AVPTool zrobił skan i nic nie znalazł
                          • Gość: Kolobos Re: Prośba o sprawdzenie loga. IP: *.escom.net.pl 04.08.08, 20:11
                            Jeszcze raz uzyj Avenger'a:

                            Files to delete:

                            C:\WINDOWS\pskt.ini
                            C:\WINDOWS\BMa78320fe.xml
                            C:\WINDOWS\system32\hlrupqnc.dll
                            C:\WINDOWS\system32\lnbajfcb.exe
                            C:\WINDOWS\system32\kmxkmytf.dll

                            Registry values to delete:

                            HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | BMa78320fe

                            Po uzyciu daj log z combofix.

                            • Gość: Kamil29 Re: Prośba o sprawdzenie loga. IP: *.chello.pl 04.08.08, 20:30
                              wklej.org/id/14b4c87089
                              Możliwe że już po wszystkim bo zniknęły wszystkie objawy infekcji (włącznie z
                              tym koszmarnm plikiem BMa78320fe)
                              • Gość: Kolobos Re: Prośba o sprawdzenie loga. IP: *.escom.net.pl 04.08.08, 20:45
                                Zostal tylko AVPTool do wywalenia, teraz juz powinien wystarczyc CFScript.txt:

                                Driver::
                                is-IB2KVdrv
                                is-IB2KV

                                File::
                                C:\WINDOWS\system32\drivers\56527621.sys

                                Folder::
                                C:\Documents and Settings\All Users\Pulpit\Kaspersky Lab Tool\
                                • Gość: Kamil29 Re: Prośba o sprawdzenie loga. IP: *.chello.pl 04.08.08, 20:54
                                  Dzięki wielkie, należy Ci się duuże piwo! Pozdrowienia !
                                  • Gość: Gali Re: Prośba o sprawdzenie loga. IP: *.pools.arcor-ip.net 05.08.08, 13:40
                                    Najprostszym sposobem pozbycia sie Virtumonde....jest usuniecie go "z buta...",
                                    czyli w starym dobrym Dos-ie, spybotem, albo pc spywarem sprawdzamy w jakim
                                    siedzi pliku, uruchomiamy windows w dosie(windows instalacyjny, boot z cd,
                                    napraw system...do linii polecen...poleceniem cd.. zmienic katalog domyslny,
                                    najprawdopodobniej jest to c:/windows/system32, czyli wpisujemy:cd
                                    windows(enter), cd system32 i teraz w lini polecen del(nazwa pliku),
                                    Wpisy z rejestrow i kluczy rejestrow usuwamy np. spybotem. Wiecej info bardzo
                                    chetnie.

                                    Pozdrawiam

                                    GAli
                                    • Gość: mrpawcio Re: Prośba o sprawdzenie loga. IP: *.neoplus.adsl.tpnet.pl 04.09.08, 17:52
                                      Wielkie dzięki kolego:) Już chciałem format robić:) Masz u mnie duże piwo:)

                                      Dla tych co mają ten problem polecam program Spybot Search and Destroy, sam
                                      usuwa wszystko, nawet nie trzeba do dosu wchodzić:)
                                    • Gość: daria Re: Prośba o sprawdzenie loga. IP: *.crowley.pl 21.09.08, 14:15
                                      witam, mam ten sam problem. Ale jak sprawdzić jaka jest nazwa pliku, w jakim
                                      pliku siedzi? TZN co wpisac po "del" w lini poleceń? pozdrawiam
                                      • Gość: Kolobos Re: Prośba o sprawdzenie loga. IP: *.escom.net.pl 21.09.08, 18:30
                                        Zamiast nudzic daj log z combofix, a na przyszlosc przeczytaj CALY watek, a nie tylko losowo wybrane wyrazy..
                                        • Gość: gedzior Re: Prośba o sprawdzenie loga. IP: *.gdynia.mm.pl 24.09.08, 08:57
                                          Wielkie dzieki za ten wątek :)
                                          Ostatnio wlazlem na google i nic nie chcialo mi tam dzialac. Nigdy wczesniej nie
                                          slyszalem o robakach, ktore blokowalyby dostep do jakichkolwiek stron, dlatego
                                          mocno sie zdziwilem. Zaczalem skanowanie Avastem, ktory jakos niebardzo chcial
                                          mi pomoc. Google nie dziala, wiec trzeba bylo inaczej sobie poradzic i w koncu
                                          trafilem na to forum:)
                                          Juz mam dosyc tego robaka, wiec zabieram sie do naprawy wg. zalecen z tego
                                          wątku. Zobaczymy czy sie uda...
Inne wątki na temat:
Pełna wersja