PC-HELP.CZ

České diskuzní fórum o počítačích
https://pc-help.cnews.cz/

Problém s Win32/Adware Virtumonde.FP... Vyriešené!

https://pc-help.cnews.cz/viewtopic.php?f=70&t=22265

Stránka 1 z 2

Problém s Win32/Adware Virtumonde.FP... Vyriešené!  Vyřešeno

Napsal: 01 led 2008 10:54
od JANíčOK
Prosím o kontrolu log súboru. Včera a dnes vždy keď sa pripojím na internet NOD mi hlási prítomnosť Win32/Adware Virtumonde.FP aplikácie. Vždy to nainfikuje .dll súbory vo Windows\System32.
Keď dám skontrolovať komplet PC NOD nič nenájde!
Ak viete prosím pomôžte!

Napsal: 01 led 2008 11:01
od fredik
Stáhni si ComboFix (by sUBs) a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem klávesy 1
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

log ComboFix

Napsal: 01 led 2008 11:24
od JANíčOK
Tu je celý log z ComboFixu:

ComboFix 07-12-31.4 - Ján Beňo 2008-01-01 11:17:26.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.507 [GMT 1:00]
Running from: C:\Documents and Settings\Ján Beňo\Plocha\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\FunWebProducts
C:\Program Files\FunWebProducts\ScreenSaver\Images\00C58936.urr
C:\Program Files\FunWebProducts\ScreenSaver\Images\00C6BEF7.urr
C:\Program Files\FunWebProducts\ScreenSaver\Images\00C6D241.dat
C:\Program Files\FunWebProducts\ScreenSaver\Images\101x135\00C6D241.jpg
C:\Program Files\FunWebProducts\ScreenSaver\Images\wrkparam.lst
C:\Program Files\MW
C:\Program Files\MW\TGATool2\TGATool2A.exe
C:\Program Files\MW\TGATool2\unins000.dat
C:\Program Files\MW\TGATool2\unins000.exe
C:\Program Files\MyWebSearch
C:\Program Files\MyWebSearch\bar\History\search2
C:\Program Files\MyWebSearch\bar\Settings\s_pid.dat
C:\WINDOWS\system32\cbxwwwt.dll

.
((((((((((((((((((((((((( Files Created from 2007-12-01 to 2008-01-01 )))))))))))))))))))))))))))))))
.

2008-01-01 11:08 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-12-31 18:03 . 2007-12-31 18:16 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2007-12-31 18:02 . 2008-01-01 11:21 35,980 --ah----- C:\WINDOWS\system32\vsconfig.xml
2007-12-31 09:55 . 2007-12-31 10:05 <DIR> d-------- C:\NEW
2007-12-31 08:15 . 2007-12-31 08:15 <DIR> d--h----- C:\WINDOWS\PIF
2007-12-08 19:56 . 2007-12-31 14:36 0 --a------ C:\FileOut.Cns
2007-12-08 19:56 . 2007-12-31 14:36 0 --a------ C:\FileIn.Cns
2007-12-02 16:50 . 2007-12-02 16:50 <DIR> d-------- C:\Program Files\ELIS

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-01 09:44 --------- d-----w C:\Program Files\Mozilla Thunderbird
2007-12-31 16:33 --------- d-----w C:\Program Files\CyberLink
2007-12-31 06:42 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-29 11:15 --------- d-----w C:\Program Files\AnyReader
2007-11-03 09:00 --------- d-----w C:\Program Files\Gertrudis Pro
2007-09-06 18:07 7,906 ----a-w C:\Program Files\irunin.bmp
2007-09-06 18:07 55,719 ----a-w C:\Program Files\irunin.dat
2007-09-06 18:07 18,226 ----a-w C:\Program Files\irunin.ini
2007-09-06 18:07 16,152 ----a-w C:\Program Files\irunin.lng
2007-09-02 13:39 15,792,436 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_02_14_04_53_full.dmp.zip
2007-09-02 06:32 17,827,220 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_01_22_52_05_full.dmp.zip
2007-09-01 20:50 18,144,769 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_01_21_44_17_full.dmp.zip
2007-09-01 20:50 18,098,218 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_01_21_22_43_full.dmp.zip
2007-09-01 18:43 18,114,202 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_01_11_15_52_full.dmp.zip
2007-09-01 07:31 18,935,240 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_31_18_48_01_full.dmp.zip
2007-08-31 15:27 17,965,913 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_31_16_56_17_full.dmp.zip
2007-08-30 19:12 18,073,229 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_30_20_53_52_full.dmp.zip
2007-08-30 19:11 19,038,364 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_30_19_42_54_full.dmp.zip
2007-08-30 17:49 17,903,906 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_30_19_07_18_full.dmp.zip
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-17 23:49 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-09-13 10:12 139264]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2006-05-16 16:51 57344]
"EPSON Stylus Photo RX620 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.exe" [2004-05-19 19:00 98304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-10-04 13:12 90112 C:\WINDOWS\soundman.exe]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-02-07 10:57 949376]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-08-23 10:26 77824]
"FineReader7NewsReaderPro"="C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" [2003-12-10 00:19 278528]
"EPSON Stylus Photo RX620 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.exe" [2004-05-19 19:00 98304]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 20:05 344064]
"pdfFactory Pro Dispečér v2"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" [2005-03-29 21:40 483328]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-03-16 11:34 755480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-17 23:49 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrkp32]
winrkp32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2005-08-05 20:05 344064 --a------ C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue SpeedUpMyPC]
2006-12-06 16:59 4820992 --a------ C:\Program Files\Uniblue\SpeedUpMyPC\SpeedUpMyPC.exe

R2 MSSQL$AUTODESKVAULT;SQL Server (AUTODESKVAULT);"C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" [2007-02-13 07:08]
R2 pqeauto.database.dbmonitor.GMG;pqeauto.database.dbmonitor.GMG;C:\Program Files\BHPS\Gmg\bin\DBMonService.exe -sn"pqeauto.database.dbmonitor.GMG" []
R2 pqeauto.energy.mappermonitor;pqeauto.energy.mappermonitor;C:\Program Files\BHPS\Pmap1\bin\MapperMonService.exe -sn"pqeauto.energy.mappermonitor" []
R2 pqeauto.engine.tomcatmonitor.GMG;pqeauto.engine.tomcatmonitor.GMG;C:\Program Files\BHPS\Gmg\bin\TomcatMonService.exe [2007-07-31 16:02]
R2 UxTuneUp;TuneUp Theme Extension;C:\WINDOWS\System32\svchost.exe [2004-08-17 23:49]
R3 dsnpfd;DeskSoft Service;C:\WINDOWS\system32\DRIVERS\dsnpfd.sys [2007-03-15 11:09]
R3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 11:29]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-04 07:04]
S3 FlarionDTM;Flarion DTM Network Interface;C:\WINDOWS\system32\DRIVERS\FlrnDTM.sys [2005-05-26 13:06]
S3 SQLWriter;SQL Server VSS Writer;"C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2006-04-14 09:04]
S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2004-06-24 02:54]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Contents of the 'Scheduled Tasks' folder
"2007-12-07 16:16:45 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-01 11:21:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus Photo RX620 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.EXE /P31 "EPSON Stylus Photo RX620 Series" /M "Stylus Photo RX620" /EF "HKCU"??????????????????????????????4??????w|??w ?w?? ?p\O?dl?w?l?w?O?w???w?tf?????9??w?P?w8???????O??????????????????????????wx??w8???????9??w????????????[??w???????????????????????????????|?????????tf?????????????????sJ?wr??w???w8???????????*???????????3???`?%?????B???????4????h?w8???????????????????????????????T????h?w?????????????H??????????????-??w???????????????w????????8???????????`??

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-01 11:26:52 - machine was rebooted [J n Beĺo]
C:\qoobox\ComboFix-quarantined-files.txt 2008-01-01 10:26:45

Napsal: 01 led 2008 12:34
od fredik
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok)
Zkopíruj do něj následující text označený zeleně:

Kód: Vybrat vše

REGEDIT4

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrkp32]

Pak dej Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: fix.reg
Uložit jako typ: tak tam vyber Všechny soubory
Ulož si daný soubor na plochu
Na ploše by se měl objevit soubor Obrázek fix.reg spusť ho vyskočí hláška kde odklikni Ano poté je další hláška kde odklikni OK

Dej sem nový log z HJT

Napsal: 01 led 2008 14:24
od JANíčOK
Všetko som urobil tak ako si napísal. Zasielam nový log z HJT. Zatiaľ veľmi pekne ďakujem!

Napsal: 01 led 2008 16:01
od fredik
Jdi přes Start -> Spustit... a napiš do okna tento příkaz označený modře ComboFix /u (mezi comobofix a /u musí být mezera) a dej Ok.

Spusť znovu HijackThis a zaškrtni v něm okénka před řádky:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunCasino.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunCasino.exe (file missing)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
po zaškrtnutí klikni na tlačítko Fix Checked

Máš tam starou verzi Javy tak proveď její update:
- Stáhni si poslení verzi Java Runtime Environment (JRE) 6 Update 3
- Posuň se dolů kde je napsáno Java Runtime Environment (JRE) 6 Update 3 a klikni na tlačítko Download
- Zatrhni možnost kde je napsáno: Accept License Agreement
- Stránka se ti znovu načte.
- Klikni na odkaz pro stažení: Windows Offline Installation, Multi-language a ulož si ho na disk
- Ukonči běžící programy které máš spuštěné, hlavě webový prohlížeč
- Jdi přes Start -> Ovládací panely -> Přidat nebo odebrat programy a odinstaluj všechny staré verze Javy
- Podívej se po položkách s názvem Java Runtime Environment (JRE or J2SE)
* příklady starých verzí v Přidat nebo odebrat programy:
    J2SE Runtime Environment 5.0
    J2SE Runtime Environment 5.0 Update 8
    Java 2 Runtime Environment, SE v1.4.2
- Odinstaluj je přes tlačítko Změnit nebo odebrat nebo Odebrat
- Odinstaluj postupně po sobě případné všechny staré verze Javy
- Po skončení odinstalovaní restartuj Pc.
- Pak už jen spusť instalaci poslední verze ze souboru jre-6u3-windows-i586-p.exe, který sis stáhl na začátku.

Máš ještě problémy?

Napsal: 01 led 2008 16:24
od JANíčOK
Vyzerá, že je to už všetko v poriadku! Veľmi pekne ďakujem za pomoc. Zrejme by nebolo zle občas zaslať log z HJT na preventívnu kotrolu.

Napsal: 01 led 2008 18:44
od fredik
Jasně můžeš si nechat jednou za čas zkontrolovat preventivně log. Určitě se ti na to někdo podívá.

Nemáš za co.

Napsal: 02 led 2008 19:46
od JANíčOK
Od včera sa mi prestali skrývať ikonu v oznamovacej oblasti. Prikladám obrázok. Môže to mať niečo spoločné s Win32/Adware Virtumonde.FP, alebo čo je to?

Napsal: 02 led 2008 20:27
od fredik
Souvislost by to nemělo mít. Zkus se případně mrknout jak to máš nastavené u jednotlivých položek skrývání.

Napsal: 02 led 2008 20:31
od JANíčOK
Tak som to preklikol, pri jednej položke som nastavil vždy skryť, potom som to vrátil na skryť pokiaľ nie je aktívne a už sa to normálne skrývalo. Po reštarte sa to zase nechce skrývať.

Napsal: 02 led 2008 20:48
od fredik
S tím ti moc neporadí, ale pokud po najetí byly ty programy aktivní tak bude trvat nějakou dobu než se zase skryjí. Občas bych řek že si to dělá co chce :smile:
Časové pásmo: UTC+02:00
Stránka 1 z 2
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/