Jump to content

win32/Adware.Virtumonde


Silender
 Share

Recommended Posts

καλησπέρα παλικάρια...

κόλλησα τούτο:

win32/Adware.Virtumonde

googlara και ετρεξα το hijackthis και εδωσα το log στην σελίδα τους και αφαίρεσα τα κακόβουλα στοιχεία...

το πρόβλημα παραμένει...

κάποιο dll μόλις ανοίγουν τα WinXP εμφανίζουν πρόβλημα(δεν τα βρίσκει?είναι μολυσμένα?)

και το NOD32 μου βρίσκει σε διάφορα σημεία το win32/Adware.Virtumonde.

γνωρίζετε κάτι?

αν ναι παρακαλώ ποστάρετε, αν όχι, δεν θα ήθελα να πειραματιστώ καθότι είναι PC εργασίας.

Ευχαριστώ.

Link to comment
Share on other sites

Αρχικά δοκίμασε την free έκδοση του superantispyware και αν δεν καθαρίσεις τότε δοκίμασε το Malwarebytes Anti-Malware 1.28.

Με το δεύτερο καθάρισα υπολογιστή φίλου την προηγούμενη εβδομάδα.

Link to comment
Share on other sites

δοκίμασα το superantispyware το οποίο βρήκε καμιά 20αριά (μέσα στα οποία και το win32/Adware.Virtumonde)

δείχνει να το σβήνει αλλά με ένα δεύτερο scan τα Ξαναβρίσκει...(τα scan μετά από reboot και σε safe mode).

Τώρα δοκιμάζω το δεύτερο...

Link to comment
Share on other sites

δοκίμασα το superantispyware το οποίο βρήκε καμιά 20αριά (μέσα στα οποία και το win32/Adware.Virtumonde)

δείχνει να το σβήνει αλλά με ένα δεύτερο scan τα Ξαναβρίσκει...(τα scan μετά από reboot και σε safe mode).

Τώρα δοκιμάζω το δεύτερο...

1) Κλείσε το system restore

2) Κατέβασε το Ccleaner

3) Τρέξε το ccleaner και τσεκάρισε τα όλα και από τα options->Advanced βγάλε το tick από την πρώτη επιλογή "Only delete..."

και μετά κάνε τους καθαρισμούς...

Link to comment
Share on other sites

Επειδή έχω προσωπική εμπειρία με το συγκεκριμένο, και επειδή είμαι μάλλον ένας από τους λίγους που το βγάλανε χωρίς format (όχι σε δικό μου pc πάντως, τα δικά μου pc's είναι.. αμόλυντα :p) θα πω τα εξής και όποιος θέλει με ακούει: Το virtumonde δουλεύει με dropper. Θα σου έχει γίνει install στα add-ons του IE και έτσι θα σου ρίχνει το virus κάθε φορά που διαγράφεις τα .dll του, ξανά στο system32 με διαφορετικά ονόματα (με ψευδό-τυχαίους χαρακτήρες). Βασικά έχω την εντύπωση πως τα .dll's τα κάνει download από κάπου, γιατί χωρίς internet δεν ξαναενεργοποιείται μετά από μερική αφαίρεση του.

Η λύση είναι να βρεις πρώτα τα dll's που καλούνται από registry και/ή από System config.

Μετά αφού διαγράψεις τις καταχωρήσεις και διαγράψεις και τα απαραίτητα dll's (κατά προτίμηση σε safe mode και logged σαν admin), πάς και απενεργοποιείς το συγκεκριμένο add-on στον IE.

Θα το βρεις έυκολα με συσχέτιση των dll's, των registry keys, κ.λ.π.

Διάφορα antispywares (τσεκαρισμένο με Spybot, Spysweeper, Counterspy, CCleaner κ.α.) αλλά και ειδικά removers που υπάρχουν (virtumonde be gone, vundofix, κ.λ.π.) δεν μπορούν να τον βγάλουν (φαίνεται ότι αφαιρείται αλλά στο επόμενο boot είναι πάλι εκεί).

Αφού τελειώσεις με τα παραπάνω, reboot και scan με κάποιο σοβαρό Antispyware για να δεις αν υπάρχουν "υπολλείματα" του virus, και φυσικά θα τα διαγράψεις.

Υ.Γ. Φιλική συμβουλή: Το system restore ΜΗΝ το κλείνετε, εκτός αν είστε 100% σίγουροι ότι μπορείτε να αντιμετωπίσετε τα διάφορα προβληματάκια που λύνει, μόνοι σας. Αλλά γενικά το S.R. σε περιπτώσεις που έχουμε virus dropper, μπορεί να σώσει κόσμο!!!

Edited by Candyman
Link to comment
Share on other sites

Το λοιπόν...

το ξεφορτώθηκα με το δεύτερο πρόγραμμα που μου προτείνατε(malwarebits Antimalware).

To πρόβλημα που μου εμφανίζεται τώρα είναι πως ο υπολογιστής μου κάνει reboot σε άσχετα χρονικά διαστήματα και χωρίς προειδοποίηση(όπως όταν πατάμε το reset στο κουτί).

μου το έχει κάνει 2 φορές από εχθές το βράδυ.

any thoughts???

ΥΓ: Candyman thanks για το επεξηγηματικότατο πόστ. Δεν είχα προλάβει να το διαβάσω πριν.

Link to comment
Share on other sites

lol

φορματ?

δεν έκανα φορμάτ τότε που έιχα τον ιό, τώρα που τον έβγαλα θα κάνω?

το φορμάτ δεν παίζει απλά να γίνει στον συγκεκριμένο υπολογιστή(κανενα System Restore πάει κι έρχεται), όπως είπα δεν είναι στο σπίτι μου... υπολογιστής ταμείο σε νετ-καφέ είναι με sql και δε συμαζεύεται...

Αφού τελειώσεις με τα παραπάνω, reboot και scan με κάποιο σοβαρό Antispyware για να δεις αν υπάρχουν "υπολλείματα" του virus, και φυσικά θα τα διαγράψεις.

για παράδειγμα?

για πρότεινε κάποιο...

Edited by Silender
Link to comment
Share on other sites

το συγκεκριμένο (Virtumonde) το είχα κολλήσει κι εγώ κάμποσες φορές. Ο Spybot το βρίσκει και το διαγράφει.

Φίλε μου, το virtumonde υπάρχει σε εκατοντάδες παραλλαγές.

Δυστυχώς το Spybot δεν το διαγράφει εντελώς. Ναι μεν το βρίσκει αλλά δεν το σβήνει σωστά! Ξέρω τι σου λέω.. (σημειωτέον το Spybot το χρησιμοποιώ κι εγώ και το θεωρώ εξαιρετικό για free antispyware. Χωλαίνει όμως σε real time protection).

Όπως είπα παραπάνω, υπάρχει droper. Το Spybot διαγράφει μόνο τα dll's αλλά όχι τον droper.

Αν θες να το ελέγξεις κατά πόσο ισχύει, ψάξε στο system32 φάκελο για αρχεία dll's με τα ονόματα που καλούνται από το registry και το msconfig->startup. Όταν ανοίξεις IE την επόμενη φορά o dropper ενεργοποιείται και σε ξαναμολύνει. Πιστεύω ότι δεν το έχεις κολλήσει πολλές φορές όπως λές, απλά το διαγράφεις και απλά κάποια στιγμή σου ξαναεμφανίζεται. Τώρα ίσως κάποιο νεότερο antispyware να το βγάζει σωστά, αν και χλωμό το βλέπω.

Αυτά... φιλικά. :)

Edited by Candyman
Link to comment
Share on other sites

Super Antispyware, Anti-Malware και Spybot καθαριζουν τα virtumondo variants.

Πρεπει ολα τα scan να ειναι full scan Και οχι quick γιατι χωνει διαφορα parts βαθια και δεν τα βλεπουν με quick.

Link to comment
Share on other sites

Από εχθές το απόγευμα μέχρι και τώρα η κατάσταση είναι οκ... ίσως τελικά και να μήν έχει σχέση με τον ιό. 27 ώρες ανοιχτό το PC.

Μάλλον πρέπει να ρίξω ένα εσωτερικό ξεσκονισματάκι σε VGA και δε συμμαζεύεται εκεί μέσα...

Link to comment
Share on other sites

Πριν 3 μήνες είχα κολήσει και εγώ αυτό τον ιό. Η μόνη λύση που βρήκα μετά από πολλές ώρες ψαξίματος ήταν το Spybot, αλλά manual advanced mode. Αφού τελικά τον έσβησα και ησύχασα, έχασα τη λίστα με τα εγκατεστημένα προγράμματα και προβλήματα ταχύτητας και αστάθεια. Δεν ξέρω τι να πω, μάλλον ο ιός, $$$$$ το σύστημα. Τελικά σώθηκα με φορμάτ!!! Ελπίζω για σένα να μην είναι αυτή η λύση!!!καλή επιτυχία.

Link to comment
Share on other sites

  • 2 months later...
το συγκεκριμένο (Virtumonde) το είχα κολλήσει κι εγώ κάμποσες φορές. Ο Spybot το βρίσκει και το διαγράφει.

Το Virtumonde έμαθα ότι είναι dynamic...δηλαδή δεν έχει σταθερή θέση/όνομα...όσες φορές κι αν το σβήσει το ΣπάιΜποτ δεν καταφέρνεις τίποτα...Παλιο-Windows...:weep:

Link to comment
Share on other sites

  • 2 weeks later...

φίλε δοκίμασε να ψάξεις στο startup μήπως βρεις κάτι "ξένο" και δες αν είναι απενεργοποιημένη η αυτόματη επανεκκίνηση γιατί μπορεί να βγάζει BSOD και να εκκινεί αυτόματα

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.