Skini ovaj alat i procitaj instrukcije pazljivo...

http://www.softpedia.com/get/Antivirus/VundoFix.shtml

Hvala Binary Mind na predlogu, skenirao sam sa VundoFix-om sinoć, i kao i sada što si mi preporučio, ali nije našao ništa. Skenirao sam i sa HijackThis i probao ovaj fajl mlljh.dll da na razne načine obrišem (sa strahom da mi se Windows više neće probuditi) ali nije mi uspevalo da ga obrišem.
Sada si mi dao ideju i možda je i uspelo; našao sam taj fajl mlljh.dll i jednostavno ga levim klikom prevukao u VundoFix (iako ga ne tretira kao zaražen fajl) i kliknuo da ga obriše. Nakon restarta Windowsa, ovog fajla više nije bilo.
Onda sam išao u regedit i tamo pretražio svaki ostatak od mlljh.dll fajla, našao sam 2-3 key-a i obrisao ih.
Sada ni Trojan Remover ne pronalazi ništa sumnjivo.
Izskeniraću još i SpyBot S&D-om jer ga je on nalazio, pa ću videti koliko sam bio uspešan.

Ipak, kada sam ih obrisao, nakon restarta mi se pojavio IE prozorčić da pokušava da otvori neku internet stranicu, sam od sebe (šta je sad, opet...)?!
Da li treba da obrišem i BackUp što je VundoFix napravio u C:\VundoFix Backups\ ???

Nije ga više ni SpyBot Search & Destroy našao, čini mi se da sam ga se rešio...

Ponovo ja,
NISAM GA SE REŠIO!!!
Otvorio sam novu temu bio zbog toga što sam imao neki problem sa automatskim pokretanjem prozora Internet Explorera da hoće da otvori neku stranicu. Sada sam skontao da ovo ima veze sa ovim VIRTUMONDE virusom jer sam polako skontao kako on funkcioniše:
negde/nešto automatski pokreće kroz proces explorer.exe vezu sa internetom (ne bukvalno konekciju, nego hoće da ili otvori neku stranicu ili, što sam poprilično siguran, da skine neki fajl veličine oko 300-310 kb i smesti ga u c/Windows/system32, što se onda tretira kao VIRTUMONDE). Kada upalim kompjuter, iako ništa ne radim, nakon par minuta, pojavi mi se prozorčić "Work OffLine", da internet sadržaj nije mogao da se otvori/skine bez internet konekcije, pa ponuđeno da li hoću da pokušam ponovo ili da radim offline. Šta god da kliknem od ponuđenog, prozor se zatvori i sam aktivira ponovo nakon nekoliko minuta.
Juče sam skinuo Spyware Doctor 5 i on je našao VIRTUMONDE i obrisao ga, čak me je i njegova zaštita u realnom vremenu zaštitila AUTOMATSKOG skidanja novog X fajla od oko tih 300kb. Spyware Doctor, kao i Trojan Remover ga je našao i obrisao, ali negde u sistemu imam taj šugavi automatizam (koji se ne tretira kao virus niti spyware od strane bilo kog antivirus/antispyware/antiadware programa) koji hoće da skine fajl koga kasnije prepoznaju kao VIRTUMONDE.

MOLIM VAS, ako neko zna, kako da se rešim ove stvari što mi uporno skida taj VIRTUMONDE fajl sa neta, kako da saznam koji je to proces u explorer.exe procesu da ga ukinem/prepoznam/obrišem. Gledam u Task Manager-u i imam Process Explorer, ali ne kontam koji je to proces što aktivira skidanje tog fajla sa neta. Čini mi se da sve ovo ovako funkcioniše jer se i taj VIRTUMONDE još i zove DOWNLOADER. Ispada da nije aktivan dok sebi ne skine taj fajl...

Posto Virtumonde spada u tzv. SmitFraud varijacije kojih ima mali milion skini SmitFruadFix i probaj sa njim... Link za SmitFraudFix postoji na ovom forumu na vise mesta posto su mnogo ljudi bili inficirani raznim vrstama SmitFraud-a.

Takodje pogledaj ovaj sajt:

http://www.spyware-techie.com/virtumonde-removal-guide/

I na tom sajtu ima link za skidanje SmitFraudFix-a i instrukcije kako da se resis Virtumonda (Vundo Trojanac) koji je stvarno dosadan trojanac. Kad budes ovo sve pozavrsavao okaci HiJackThis! log. Koristi stariju verziju 1.99.1 koju takodje mozes naci ovde na ES-u ako uradis pretragu na ovom forumu...

_{[Ovu poruku je menjao Binary Mind dana 20.11.2007. u 00:36 GMT+1]}

Hvala na odgovoru, pokušaću baš na način kao što si rekao!
A jeste dosadan... stvarno!

Opet ja, uradio sam onako kako si mi preporučio Binary Mind, po onom sajtu, izštampao sam celu tu stranicu, skinuo SmitfraudFix i uradio to u Safe Modu, ali mi se čini da nije ništa našao. Na tom sajtu ima 2 načina za čišćenje, lakši i teži, i oba sam uradio ali ništa. Za sada mi najviše pomaže Spyware Doctor 5 koji s vremena na vreme nakon manuelnog skeniranja foldera System32 nađe 1,2...5 Virtumonde fajlova i očisti ih, ali ubrzo nakon restarta, ili i bez restarta, meni se opet pojavi prozorčić "Work Offline" (sliku sam uploadovao). Ne znam kako, verovatno nakon kratkog boravka na internetu, ali vremenom se u System32 folderu naprave zaraženi DLL fajlovi, njih oko 2-5.

Instalirao sam i ZoneAlarm Firewall, apdejtovao ga, da bih skontao šta to pokreće ovaj "Work Offline" prozor, ali nije mi se reklo. Uh...

Da li mi možeš pomoći oko jedne stvari;
pomoću kog programa bih mogao da saznam koji je to proces koji mi iz čista mira startuje ovaj prozorčić "Work Offline", da bi mogao da mu uđem u trag, da skontam koji fajl je pokretač? Gledam u TaskBaru i Process Explorer-u ali ne kontam...

PS: Imam jedan sumnjiv fajl, C:\WINDOWS\SYSTEM32\byxxxwx.dll veličine oko 35kb, a na netu nema informacija čiji je on deo, pa jel mi možeš pomoći kako da ga obrišem? Probao sam VundoFix-om, ali nije uspelo. Nisam siguran kako se sa sigurnošću brišu DLL fajlovi...

IPAK, evo uloadovao sam taj fajl C:\WINDOWS\SYSTEM32\byxxxwx.dll na KASPERSKY File Scanner i kaže:

Attention!

Kaspersky Anti-Virus has detected a virus in the file you have submitted.

Scanned file: byxxxwx.dll - Infected
byxxxwx.dll - infected by not-a-virus:AdWare.Win32.Virtumonde.apj


Moraću instalirati KAV7 da on to pročačka!

Glupo pitanje ali da li si iskljucio system restore? Moras otkriti gde mu je jazbina.

Da. Iskljuci System Restore (mada ja uvek polazim od sebe, a meni je System Restore uvek iskljucen) i izbrishi taj fajl rucno, tako sto ces ga ubiti u Task Manager-u naci ga u system32 i izbrisati... Posle toga ponovo odradi po onim instrukcijama iz linka sto sam prilozio i okaci HiJackThis! log. Skeniraj verzijom 1.99.1. Nacices je ovde ako uradis pretragu za HiJackThis!...

Ups, nije mi bio isključen System Restore, sad sam ga isključio!
Sad sam i instalirao i apdejtovao KAV7 pa ću uraditi skeniranje celog kompa.
Evo i HijackThis log-a...
Hvala vam!

KAV7 je prepoznao i obrisao fajl byxxxwx.dll kao Virtumonde i to bez po muke, a ja ga nisam mogao nikako obrisati. Spyware Doctor ga nije ni prepoznao kao spyware.
Da kucnem u drvo, onaj prozorčić "Work Offline" mi se već nakon 3-4 restarta nije pojavljivao.
Nadam se da sam se rešio ovog Trojanca...
Evo i HijackThis loga nakon dezinfekcije i deratizacije sa KAV7.
Hvala Binary Mind i pantic68, nadam se da se neću morati vraćati ovde sa novim problemima!!!

Dobar je log. Sad slobodno mozes da ukljucis System Restore ako mislis da ti treba. Ja ga licno nikad ne koristim, ali opet dovoljno znam o Windows XP-u da mislim da mi System Restore na mojim racunarima ne treba kao opcija...

OK Hvala Binary Mind, ja se baš i ne razumem u taj HijackLog i mislim da kada bih gledao po njemu, uklonio bih sve nepoznate stvari i to je to. Sad, koliko to ima smisla, ne znam...
Uglavnom problem je rešen!
Pozz

Work ofline prozorcic (samo jednom,kad ga ugasim nema ga vise),mozilla se restartuje,nestaju ikonice is taskbara... - virtualmonde!
SpyBot ga nadje,kao izbrise ali on je naravno ponovo tu.Vidim,problem je rijesenn sa KAV 7...ali...

Ja kad instaliram KAV 7 i dodjem do toga da pise zavrseno uspjesno,klikni na next to start instaling wizard,kliknem i nista se ne desava...cekam,cekam...i nista...
KAV se nalazi na listi programa ali ne radi.
Masina je inace dosta stara (samim tim i spora) pa ne znam da li je to mozda problem...

Pokusacu sad ove ostale stvari sto su savjetovane na ovoj stranici a ako neko zna sta je problem sa KAV-om pomoc bi dobro dosla.Inace sam potpuni pocetnik sto se tice virusa (par godina bez icega izlazio na net,bez problema)...

edit: samo jos da dodam par stvari na ovu zadnju recenicu...
Koliko sam ja shvatio iz ovih tutorijala treba da se napravi VCDM ili nesto slicno prije brisanja ili popravljanja ovih stvari.Sta je to? Ne bi bas uzivao u reinstaliranju OS-a a za sad mi ovaj vundo ne smeta nesto puno pa...
A evo i hijackdis log-a od prije 2 minuta...ni tu se ne razumijem bas najbolje...

I jos jedan edit...
Je li,kako da nadjem safe mode na Win XP? Nije mi srecom trebao jos od moje 98-ce (ne sjecam se ni kako sam ga tamo nalazio),a na F8 mi otvara bios opcije...tako da sam skeniranja sa SpyBot-om vrsio u normal modu.
I naravno,system restore mi je uvijek iskljucen,da li to utice na vracanje sistema u normal mode posle?
Smijem li ista pokusavati iz SafeModa ako ne izvrsim te pripreme (VCDM i to..) ?









_{[Ovu poruku je menjao Nije bitno dana 02.01.2008. u 15:52 GMT+1]}

Dobar si, Nije Bitno, lepo si opisao sta je problem... ali ja ti bas i ne mogu pomoci. U Hijack Log se bas i ne razumem. Mogao si nam ostaviti bar podatke o jačini tvoje mašine... čisto zbog uvida u to koji antivirus mozes imati. A za Safe mod, pa dok ti se sistem diže, klikaj F8, i onda ce ponuditi kako želiš da startujes! Ali ako je bas tako, da ti se na taj način pali BIOS, onda sačekaj da ti odgovori neko pametniji... Moj problem je nestao sa Kasperskym kao da ga nije ni bilo, a pre njega sam se patio 3 dana da se dezinfikujem. KAV ga obrisao i bez najobičnijeg restarta...
Ajd, pogledacu ja tvoj log.

EDIT: Što se tiče loga, meni su Virtumondi uvek bili u System32 folderu i to kratkog naziva, oko 5 slova!!!! Tako da obrati pažnju na čudne fajlove. Ako imaš vremena, aploaduj sumnjive na www.virustotal.com ili www.kaspersky.com/scanforvirus a preporucujem ti da to uradis sa npr fajlovima (ako su jos tamo):
C:\WINDOWS\system32\vtutr.dll
C:\WINDOWS\system32\vturomm.dll
C:\WINDOWS\system32\pmnli.dll
C:\WINDOWS\system32\sstqq.dll
C:\WINDOWS\system32\klogon.dll

Pentium 3, 1 Ghz,128 RAM,XP SP2...
Naravno,dok konacno ne iskopam SD RAM nedje ne mislim nositi jos neki antivirus na grbaci koji ce da mi prozdere i ovo malo RAM-a sto imam...
Kolko se ja sjecam,na 98-ci mi je SafeMode bio na neki drugi F...sad sam probao nekoliko i nista...

Sad cu ponovo skenirati jer u ovaj log ne mogu da se snadjem pa cu provjeriti www.kaspersky.com/scanforvirus

E vidis,bas zbog toga sto si ti sve lagano zavrsio sa Kasperskim ja se oslanjam na njega pa ne pokusavam nista drugo :)
Nego,mene su isprepadale neke poruke na forumu koje su isle ovako...

1. poruka:
skenirao sam u safe modu i sad ne mogu da ga vratim u normalan

2.poruka:
reinstalirao sam sistem

Pojma nemam sta se njima desavalo ali ja bi da izbjegnem gorenavedeni proces.Po mojem iskustvu ne vidim sta bi moglo da sprecava povratak u normalni rezim,posle safe moda ali ipak da provjerim prije nego to uradim.
A ovo dolje je SpyBot log u koji se tek ne razumijem...

Sto se tice Kasperskog,konkretno,desava se ovo:

Instalacija je uspjesno zavrsena.
Click next to start Initial setup Wizard.
Prvi put posle klika na next nista se nije desilo,kad sam pokusao drugi put instalaciju racunar se restartovao,sad treci put se restartovao explorer (je l' to kad nestanu sve ikunice,start meni,taskbar itd?)...

edit:

Evo i novog skeniranja...
Sad ima samo 1 "entries"...da li to znaci da ga je malo "sredio",bar trenutno?
Da li su ovi ostali opasni?

C:\\WINDOWS\\system32\\awtsr.dll

http://img2.imagetitan.com/img.php?image=8_7238.jpg



_{[Ovu poruku je menjao Nije bitno dana 03.01.2008. u 16:02 GMT+1]}

Krenuo sam da skeniram na www.kaspersky.com/scanforvirus ali fajla C:\\WINDOWS\\system32\\awtsr.dll ladno nema...
Work offline se nije upalio ovaj put...mada nesto ne vjerujem da je otisao...

Aj skeniracu ponovo da vidim je li tu...

Nadam se da si pročitao kako sam ja opisao kako mislim da se VIRTUMONDE ponaša, kako on funkcioniše:
negde/nešto automatski pokreće kroz proces explorer.exe vezu sa internetom, ne bukvalno konekciju, nego hoće da ili otvori neku stranicu ili, što sam poprilično siguran, da skine neki fajl veličine do 310 kb i smesti ga u c/Windows/system32, što se onda tretira kao VIRTUMONDE. Dakle, da li si primetio možda da kad ga pomocu Spybot S&D "kao" obrišeš, nakon toga se konektujes, da li si primetio da kao da nešto skidaš sa neta, neki protok na internetu ka tebi, a da nisi ništa pokrenuo?
Mislim da je to jedan od simptoma: kao obrišeš ga, a kasnije on sebi ponovo skine neke delove, da bi se aktivirao. Često ga još i zovu DOWNLOADER!

Zadnjih dana nisam ni bio blizu racunara pa nista nisam ni pokusavao.Osim instaliranja Avasta i uklanjanja istog (win32: virtob je kao virus????),oce cijeli disk da mi pobrise a nidje ne nadjoh da je taj virtob opasan...
Uglavnom,osim downloadera imam i ovaj win32.delf,valjda u se njega lakse rijesiti...

Jos ne provalih SafeMode,ne znam i dalje kakav je problem sa KAV-om...
Ako uradim nesto,javicu...

Evo me ja ponovo.Sa drugog usera,sto znaci da je Windows otisao po...

Konacno sam uspio da instaliram neki antivirus,bitdefender ili kako se vec pise.
On je skenirao (ne iz safe moda,nisam nasao) popravio i pobrisao sta je mogao,posle restartovanja kompa imam sledecu situaciju:

nudi mi da se ulogujem (iako toga ranije nije bilo,nikakvih usera) i naravno opalim enter na prazno polje (bez pasworda) i onda se kao uloguje,pojavi se prozorcic loading your perslonal settings,pa odma zatim ide novi sa logging off i ponovo me vrati na pocetak.
Onda ja provalim safe mode (da ne objasnjavam kako jer je jako cudno),pokusam ponovo ali se desavaju iste stvari kao ovo gore opisano.

moze li se kako izbjeci format c............................................?

Niko ne zna sta je problem,sta da radim...?
Sta bi mogao da pokusam...bitno mi je da u ova 2 dana rijesim problem,ili reinstalacijom ili jos bolje nekako da se izbjegne..bar za sad...

U tvom slucaju je ponovna instalacija pozeljan sledeci korak.

Pozdrav svima,
ja evo opet zaražen Virtumondom, i samo sam hteo da navedem kako ga sam se rešio;
skeniranja sam obavio sa:

1. Ad-Aware - nije ništa našao
2. Spyware Doctor 6 - pronašao je 2 virusa i obrisao ih
3. Kaspersky Internet Security 7 - nije ništa našao
4. Trojan Remover - našao 2 sumnjiva procesa
5. VundoFix - nije ništa našao

5. SpyBot Search & Destroy - ovaj mali antivirus mi je najviše pomogao, pokazao je šta je zaraženo ali nije ipak uspeo u potpunosti da reši problem; našao je 5-6 Virtumondova u System32 folderu i oko 15 opasnih registry zapisa koje je skenirajuću prilikom dizanja sistema obrisao, ali jedan fajl nije mogao da obriše. Fajl se zvao fccyxxVn.dll i bio je u System32 folderu veličine 45kb. Niko drugi od antivirusa nije prepoznavao ovaj fajl kao sumnjiv osim SpyBot Search & Destroy. Ipak, video sam ga i u rezultatima skeniranja HiJackThis-a ali ni on nije mogao ništa da uradi.
Pošto nisam nikako mogao da obrišem taj fajl fccyxxVn.dll jer je kao proces bio pokrenut startapom i integrisan u Winlogon.exe i Explorer.exe, i nisam mogao ni sa ga preimenujem... nikako da mu priđem, ručno sam ga stavio u karantin Kasperskog i restartovao računar. Kasperskog sam namestio da se podiže sa sistemom. Kada se računar upalio, mogao sam da radim tom fajlu šta sam hteo... ali kada sam ga obrisao, problemi su bili rešeni.

Nadam se da ovo može nekom biti korisno!
Pozz

Isti problem sam imao, gde je Avira prijavljivala virtumonde ali nije bila sposobna da ga ukloni.Pokushavao sam ruchno ali nisam mogao jer ga je WIN koristio. Zato je Trojan Remover uspeo da ga detektuje i ponudi mi opcije od kojih sam izabrao da taj proces zaustavi i preimenuje. Posle toga sam ga ruchno obrisao.
Bash je dobar taj Kaspersky kada nije uspeo Virtumonde da nadje. Zashto ne promenish zashtitu?

...pa nemam pojma, imao sam Avasta jedno vreme i bio je zatajio. Kad sam ga promenio i stavio Kasperskog, KIS je našao neke viruse što je Avast propuštao... sad je Kasperski zatajio... :) Pojma nemam, kombinujem neke FREE i neke "plaćene"...

Postoje varijante tog malware-a (Virtumonde-Vundo), tako da nista ne znaci ako si ga uklonio jednom, da ces ga ukloniti i drugi put na isti nacin.

Kristi, verovatno si u pravu. Mozda smo zakachili razlichite varijante, jer mi je bilo chudno da Vundofix nije pronashao nishta. Nadam se da vishe necu imati problema sa Virtumonde, jer tu su Avira i Trojan Remover.

Ja se od sada najviše pouzdajem u SpyBot Search & Destroy, on je meni našao i jedan fajl od 45 kb koga Trojan Remover nije primećivao a bio je ugrađen u explorer.exe i winlogon.exe. A tek nakon brisanja tog fajla su simptomi nestali.