--> Archiwum Forum
Herr Flick [ Wyjątek Krytyczny ]
Wredny trojan...
Witam.
Zgłaszam się do Was z kolejnym problemem - złapałem jakiegoś trojana o nazwie "Virtumonde".
Próbowałem go traktować różnymi programami : Avastem, Antirootkitem,skanerami online,Spybotem S&D oraz hijackiem - wklejam raport.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:12:13, on 2008-06-27
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Mixer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\igfxsrvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Maxthon2\Maxthon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Maxthon2\Maxthon.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Diablo\Moje dokumenty\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - ‹006F0359-C5F7-49A7-8DE9-0B42B4B0FF4D› - C:\WINDOWS\system32\byXQICRJ.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - ‹06849E9F-C8D7-4D59-B87D-784B7D6BE0B3› - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - ‹1A18F5A3-D1B0-4387-9BC1-2D9A90850D0E› - (no file)
O2 - BHO: Skype add-on (mastermind) - ‹22BF413B-C6D2-4d91-82A9-A0F997BA588C› - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - ‹500DBD6E-6D95-4106-B9A2-DDDCCB2B30D1› - C:\WINDOWS\system32\urqQiffg.dll
O2 - BHO: Spybot-S&D IE Protection - ‹53707962-6F74-2D53-2644-206D7942484F› - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - ‹7131058F-7AC2-4432-94B2-FAF1C3E301EB› - (no file)
O2 - BHO: SSVHelper Class - ‹761497BB-D6F0-462C-B6EB-D4DAF1D92D43› - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - ‹A233B14B-B780-45BF-9D70-CB284114E161› - (no file)
O2 - BHO: (no name) - ‹B2E9727E-16C9-4659-BD69-747F7A3EEED9› - C:\WINDOWS\system32\nnnnOhFW.dll (file missing)
O2 - BHO: (no name) - ‹B46F62E4-6351-4729-9484-AF58BD65B0E7› - (no file)
O2 - BHO: ZoneAlarm Spy Blocker BHO - ‹F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA› - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: ZoneAlarm Spy Blocker - ‹F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA› - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O3 - Toolbar: (no name) - ‹37B85A29-692B-4205-9CAD-2626E4993404› - (no file)
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.09\RivaTuner.exe" /S
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BM13641241] Rundll32.exe "C:\WINDOWS\system32\evgqvqdy.dll",s
O4 - HKLM\..\Run: [105721dd] rundll32.exe "C:\WINDOWS\system32\eoefmjda.dll",b
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - ‹08B0E5C0-4FCB-11CF-AAA5-00401C608501› - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - ‹08B0E5C0-4FCB-11CF-AAA5-00401C608501› - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - ‹77BF5300-1474-4EC7-9980-D32B190E9B07› - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Badanie - ‹92780B25-18CC-41C8-B9BE-3C9C571A8263› - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - ‹DFB852A3-47F8-48C4-A200-58CAB36FD2A2› - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - ‹DFB852A3-47F8-48C4-A200-58CAB36FD2A2› - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - ‹e2e2dd38-d088-4134-82b7-f2ba38496583› - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - ‹e2e2dd38-d088-4134-82b7-f2ba38496583› - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - ‹FB5F1910-F110-11d2-BB9E-00C04F795683› - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - ‹FB5F1910-F110-11d2-BB9E-00C04F795683› - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: ‹0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75› (CKAVWebScan Object) -
O16 - DPF: ‹68282C51-9459-467B-95BF-3C0E89627E55› (MksSkanerOnline Class) -
O16 - DPF: ‹8AD9C840-044E-11D1-B3E9-00805F499D93› (Java Runtime Environment 1.6.0) -
O18 - Protocol: skype4com - ‹FFC8B962-9B40-4DFF-9458-1830C7DD7F5D› - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: urqQiffg - C:\WINDOWS\SYSTEM32\urqQiffg.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 8999 bytes
Szczególnie niepokoją mnie wpisy
O4 - HKLM\..\Run: [BM13641241] Rundll32.exe "C:\WINDOWS\system32\evgqvqdy.dll",s
O4 - HKLM\..\Run: [105721dd] rundll32.exe "C:\WINDOWS\system32\eoefmjda.dll",b .
Cholerstwo ciągle się regeneruje i wyłącza mi aktualizacje windy oraz jest prawdopodobną przyczyną braku działania Opery (pisałem o tym w dwóch innych wątkach).
Jak się tego pozbyć?
Znalazłem stronę
i teoretycznie jest opisane jak to usunąć ale wolałbym się upewnić i posłuchać innych opinii oraz wskazówek,a także oczekuję wypowiedzi na temat działania programów takich jak VundoFix czy też ComboFix.
A może wystarczy zrobić to o czym napisano w linku?
kamil0749 [ Konsul ]
Przez usuwanie tojanow zawsze jest ryzyko ze usuniesz czesac systemu
ja na twoim miejscu przeinstalowalbym system
jedyne wyjscie
Herr Flick [ Wyjątek Krytyczny ]
Oo panie - a któż to Ci takich głupot nagadał?
Usuwałem już masę takiego typu rzeczy ale z tym mam poważny problem... jak już pisałem.
W całej mojej karierze tylko raz wirus posadził mi system na tyle,że postanowiłem go przeinstalować.
settoGOne [ Pretorianin ]
mnie combofix nie pomogl;/
Herr Flick [ Wyjątek Krytyczny ]
No właśnie ja też z nim mam problemy...
łup
Rezor [ broken_thoughts ]
To narzędzie Ci pomoże:
Trojan Remover 6.6.9.2533
Korzystałem pare razy z niego i za każdym razem wszystko ładnie wyczyścił.
mirencjum [ operator kursora ]
Automatyczna analiza po wklejeniu loga w okienko na tej stronie:
i naciśnięciu analiza wykazała wartości, które mają X. Niby powinno się je zaznaczyć w tym programiku który Ci wygenerował ten log i nacisnąć Fix.
Zawsze lepiej zabezpieczyć się nowym punktem przywracania systemu
Herr Flick [ Wyjątek Krytyczny ]
Rezor --> problem w tym,że Spybot widzi trojana przy każdym skanie ale potem on i tak się odradza.
Ale mimo to i tak sptóbuję,wszak nic lepszego narazie mi nie pozostało :)
Mirencjum---> dzięki za linkę,po paru skanach jak narazie jest w porządku.
Ciekawe czy tak zostanie...?
Nimreh [ Pretorianin ]
Miałem identyczny problem z 3 dni temu. Większość stron www nie działała. Najpierw zaznaczyłem, zeby ten .dll się nie uruchamiał wraz z Windą. Później w trybie awaryjnym pousuwuałem wszystkie nieznane biblioteki .dll. I w ten sposób pozbyłem się tego shitu :)
NicK [ Smokus Multikillus ]
Van Persie [ KanonieR ]
Raz miałem 250 trojanów na kompie.I co?I nic.Obeszło się bez przeinstalowywania systemu.I wszystko działa już od pół roku jak należy,choć przez dwa dni,podczas ataku,komp wariował.
Herr Flick [ Wyjątek Krytyczny ]
Nie będę zakładał nowego tematu,a podbiję ten - chodzi o taką sprawę,że chyba dalej coś mi siedzi w systemie.
Zrobiłem kilka skanów ale ten badziew w kółko się odradza...
Właśnie skończyłem skanowanie Kasperskym online ale nie jestem pewien czy on pousuwał zarażone pliki.
Kiedy zaznaczam pliki,które mam wysłać (o co z tym biega??) wyskakuje informacja,że trzeba je wybrać ręcznie i dopiero wysłać.
Ale jak mam to zrobić skoro ścieżka dostępu jest np. taka : C:\System Volume Information\_restore‹E9EBFB1A-A206-4F61-91D9-053AF454CA9B›\RP121\A0044702.dll
Zainfekowanych: Trojan.Win32.Monderc.gen
a status pliku (zresztą wszystkie pokauje jako "pominięty" .
Co ja mam robić z tym fantem?
Herr Flick [ Wyjątek Krytyczny ]
łup
pomocy..
simian-raticus [ Konsul ]
Nie wiem skąd naciągnełes takiego syfu albo co instalowałeś ale jak programiki żadne nie pomogą to formatuj swego grata ;)