Wirus Win32/Daonol.AC trojan w System32

Witam.

Mam problem… Otóż Nod32 wykrył mi wirusa “Win32/Daonol.AC trojan”. Po usunięciu pliku (winlogon.exe) nadal go wykrywa, gdyż plik ten tworzy się na nowo i cały czas (co chwilkę) pokazuje mi się okno komunikatu z Nod’a.

Bardzo proszę o pomoc z usunięciem tego wirusa. :frowning:

Screen z Nod32:

http://images44.fotosik.pl/261/01ddc38e4abcea28.jpg

Log z HijackThis:

http://wklej.org/id/280755/

***********

Dzisiaj już został zainfekowany plik rundll32.exe

Widzę, że wirus ‘ciągnie’ do plików .exe

Nie chciałbym robić reinstall’ki Windows’a.

A co do tego pliku ze screen’a “…\Temp\qxvakmo.dat” to w ogóle go tam nie ma, więc nie wiem.

Log z OTL:

http://wklej.org/id/280753/

Log z SRENG:

http://wklej.org/id/280757/

Przepraszam, teraz powinno być dobrze z log’ami.

Zawartość logów wklejasz na wklej.org, wklej.to lub nopaste.pl, a w poście dajesz link.

Pokaż logi z narzędzi:

:arrow: OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

:arrow: System Repair Engineer

Wszystko zrobione według instrukcji, tylko z SRENG zrobiłem Scan tak, jak było zaznaczone tzn. wszystko, bo linki do obrazków z instrukcji nie działają.

Jak już to linki do logów wstawiaj w nowych postach, a nie wszystko wstawiasz do pierwszego.

Uruchom SREng -> System Repair -> zakładka Browser Addons -> kolumna CLSID1 -> odszukaj i usuń:

{E19ADC6E-3909-43E4-9A89-B7B676377EE3}

{92780B25-18CC-41C8-B9BE-3C9C571A8263}

{FB5F1910-F110-11D2-BB9E-00C04F795683}

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.

Log po uruchomieniu kompa po Fix’ie z OTL:

http://wklej.org/id/280776/

Dodane 17.02.2010 (Śr) 12:32

Nowy log z OTL:

http://wklej.org/id/280782/

Dodane 17.02.2010 (Śr) 12:33

Aha… Nadal jest ten sam problem.

W takim razie podaj dokładną ścieżkę do tego pliku.

Jeśli to faktycznie jest w C:\WINDOWS\system32\winlogon.exe , to:

Zastosuj Combofix.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Pokaż log.

No właśnie jest on w *C:\WINDOWS\system32*

ale ten wirus łapie powoli po kolei każde .EXE

Bo na początku cały czas pokazywał w winlogon.exe , potem w rundll32.exe , a teraz jest w C:\WINDOWS\system32\wbem\wmiapsrv.exe

Ale cały czas w katalogu system32.

Dodane 17.02.2010 (Śr) 13:20

I czy dalej mam zrobić to co powyżej Combofix’em, bo na ten czas to nie jest w winlogon.exe??

Zastosuj jednak Combofix, bo to wygląda poważnie…

Czy ja mam w Combofix’ie łączyć się ze stroną “www.download.microsoft.com” w celu ściągnięcia/aktywowania ‘konsoli Odzyskiwania’ bo powiedziało, że mam wyłączoną?

Tak, zainstaluj ją.

Log z Combofix’a:

http://wklej.org/id/280828/

Dodane 17.02.2010 (Śr) 14:24

Jak na razie nic nie wykrywa :smiley:

Czy wygląda na OK??..

…I Dzięki. Podziwiam osoby, co mają do takiego czegoś głowę. Wielki Szacunek!

Dodane 17.02.2010 (Śr) 14:27

Aha… i jeżeli wszystko wygląda dobrze to czy mogę pousuwać foldery: _OTL , ComboFix , Qoobox?

I jeszcze pokazały mi się dwa pliki: cmldr i Boot.bak - czy je też mogę usunąć?

Mnie samego dziwi poprawienie się sytuacji, skoro Combofix usunął tylko jeden dziwny plik: c:\docume~1\KRZYSI~1\USTAWI~1\Temp\qxvakmo.dat + c:\windows\system32\ieuinit.inf, który szkodliwy na pewno nie był.

Wykonaj: Start -> Uruchom… -> Combofix /uninstall

Uruchom OTL i kliknij w nim CleanUp.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP

Wykonaj pełny skan Dr.Web CureIt.

Gdy będą wirusy, pokaż raport.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

No i zaktualizuj system do stanu Service Pack 3.

Tych plików nie usuwaj, gdyż są one niezbędne do uruchomienia systemu.

Czy zamiast CCleaner może być TuneUp Utilities (1-click Maintenance)??

A co do Autostartu to mogę powyłączać w Uruchom -> msconfig -> Zakładka Uruchamianie ??

Nie używałem nigdy TuneUp, więc nie wiem do czegoż ta funkcja służy.

Tak.

I czemu jak zrobiłem:

Wykonaj: Start -> Uruchom… -> Combofix /uninstall

to chce znowu żebym wyłączył antyvirusa? Czy to ma znowu scan’a robić??

Dodane 17.02.2010 (Śr) 14:49

Tego ‘CureIt’ nie chce mi pobrać.

Na pewno wpisałeś poprawnie polecenie?

Służy ono do odinstalowania Combofixa.

Ok. Przepraszam. Już odinstalowało. A CureIt już pobiera, po prostu kliknąłem w tekście na stronie ‘pobierz z naszej witryny’ bo ten całkiem na dole nie idzie (przynajmniej u mnie). Zaraz zrobię resztę.

Dodane 17.02.2010 (Śr) 15:46

Po CleanUp w OTL chciało uruchomić komp’a na nowo i teraz mi pokazuje przy uruchamianiu do wyboru dwie opcje (Konsola Odzyskiwania i Windows do wyboru, w ciągu 2 sekund)…

i tu pytanie: Czy mogę to jakoś zmienić, aby ładował się automatycznie sam Windows, może we Właściwości -> Mój komputer -> Zaawansowane -> Uruchamianie i odzyskiwanie (i jak)??

A co do Dr.Web to jest w trakcie ‘skanowania pełnego’ i jeszcze trochę poskanuje (z godzinkę przynajmniej), wcześniej zrobiłem ‘skanowanie szybkie’ i było czyściutko.

CCleaner’a ściągnąłem w razie czego i też wyczyściłem rejestr.

I jeżeli odinstalowałem to SPTD to czy teraz mam to z powrotem zainstalować?

[quote

I jeżeli odinstalowałem to SPTD to czy teraz mam to z powrotem zainstalować?

Dopiero niedawno skończył pełne skanowanie Dr.Web i …

…znalazł 3 zainfekowane pliki (tzn.podejrzane), które znajdowały się w katalogu " **…\ESET\INFECTED**" - od razu usunąłem (nie do wyleczenia).

Jak na razie wszystko jest pięknie-ładnie.

Bardzo dziękuję za pomoc. :slight_smile: Jeszcze raz wielki Szacunek!