Win32/Adware.Virtumonde.BQ Program w hgggefc.dll




FALCONcom - 07 Kwi 2007 18:49
Witam serdecznie.

Mój problem polega na tym, że załapałem wira, którego nie mogę usunąć.
Siedzi on w pliku hgggefc.dll, do którego odnosi się proces winlogon.exe.

Oto komunikat z NOD32:
Plik może być usunięty. Zaleca się przygotowanie kopii ważnych danych przed wykonaniem czynności usuwania zainfekowanego pliku. Zdarzenie miało miejsce podczas próby dostępu do pliku przez program: \??\C:\WINDOWS\system32\winlogon.exe.

Niestety pliku nie mogę usunąć a oczywiście procesu winlogon.exe nie mogę zatrzymać. Może mi ktoś pomóc z tym wirusem??



Kolobos - 07 Kwi 2007 19:05
Wklej na forum w zalaczniku log z comboscan (wczesniej sciagnij hijackthis z ktorego korzysta comboscan).


FALCONcom - 07 Kwi 2007 20:51
Scan w załączniku jak prosiłeś. Nie wiedziałem dokładnie, o który Ci chodzi ale wkleiłem 2.


Kolobos - 07 Kwi 2007 21:34
Log z hjt jest juz zawarty w logu z comboscan.

Uzyj:
http://www.atribune.org/ccount/click.php?id=4
http://www.atribune.org/content/view/25/2/
http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixVundo.exe
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

W hjt usun:
O2 - BHO: (no name) - {1E67485A-97BB-4B58-9854-F4B7161EF796} - C:\WINDOWS\system32\ssqrr.dll
O2 - BHO: (no name) - {1F1CA64A-2776-400E-B77E-F203BF7B7F2F} - (no file)
O2 - BHO: (no name) - {2080854E-EC13-49AA-90E4-4011E815431a} - C:\WINDOWS\system32\wocsulbr.dll (file missing)
O2 - BHO: (no name) - {27CA571B-14D3-4937-B387-BE72FA7A0F87} - C:\WINDOWS\system32\hgggefc.dll
O2 - BHO: (no name) - {2B27AE81-E28A-4A2E-ADB9-6BE46F14D391} - (no file)
O2 - BHO: (no name) - {532901F3-AA60-45AE-A7B7-D0616968091B} - (no file)
O2 - BHO: (no name) - {57E218E6-5A80-4f0c-AB25-83598F25D7E9} - C:\WINDOWS\system32\kfhficjj.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {B9B906F0-3558-403D-80BC-2A996AFFDBF6} - (no file)
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\naragwwq.dll",setvm
O20 - Winlogon Notify: hgggefc - C:\WINDOWS\SYSTEM32\hgggefc.dll
O20 - Winlogon Notify: ssqrr - C:\WINDOWS\system32\ssqrr.dll

Usun z dysku katalog: C:\WINDOWS\exefld

Usun rowniez pliki:
C:\WINDOWS\system32\btfaxwyu.dll
C:\WINDOWS\system32\getfile.dat
C:\WINDOWS\system32\rrqss.bak2
C:\WINDOWS\system32\rrqss.ini2
C:\WINDOWS\system32\rrqss.bak1
C:\WINDOWS\system32\awtqp.dll
C:\WINDOWS\system32\mllji.dll
C:\WINDOWS\system32\ssqrr.dll
C:\WINDOWS\system32\winwim32.dll
C:\WINDOWS\system32\hgggefc.dll

W razie problemow z usuwaniem uzyj killbox'a z zaznaczona opcja delete on reboot.

Po wszystkim przeskanuj system tym:
http://www.pandasoftware.com/activescan/pol/activescan_principal.htm
http://www.spywareinfo.com/xscan.php
http://www.bitdefender.com/scan8/ie.html

Jak juz to wszystko zrobisz to wrzuc nowy log z comboscan.



FALCONcom - 07 Kwi 2007 22:25
Dzięki wygląda na to, że wszystko już jest OK.
Przesyłam również scan.


Kolobos - 07 Kwi 2007 22:57
Tak, log jest juz ok.