Wirusy na komputerze


(N9neboy) #1

Witam, mam problem, komputer z którego korzysta mój starszy został zainfekowany przez wirusy, których ni /cenzura/ nie da się usunąć. Na komputerze zainstalowany jest ESET SMART SECURITY z aktualną bazą wirusów, po starcie systemu i zalogowaniu się na konto użytkownika pojawia się migający komunikat, że wykrył on wirusy, więc oczywiście daję skanowanie dysku, znalazł je i poddał je kwarantannie. Wyłączam/włączam komputer i ponownie ten komunikat, bla bla bla, połączenie zostało przerwane i wymienia te pliki które zostały poddane kwarantannie. Próbowałem skasować je ręcznie, więc wchodzę do systemu poprzez tryb awaryjny i je kasuję, ponownie uruchamiam komputer i ten sam komunikat, wchodzę w folder gdzie one były, patrzę a one się pojawiają, już nie wiem co mam robić. Nod podaje, że są one odmianą konia trojańskiego. Znajdują się we folderze C:\Windows i mają takie nazwy:

lsve01.exe

360mon.dll <-- C:\Windows\system32

zhuxian.exe

yy.exe

qn.exe

daojian.exe

ct.exe

dixia.exe

feiyne8.exe

w komunikacie Noda, że połączenie zostało przerwane widnieją takie adresy www

http://www.555du.com

http://www.weiai999.3322.org

i to z nich najprawdopodobniej ściągają się wirusy... :confused:

Może ktoś wie jak mam sobie z tym poradzić?

Format nie wchodzi w grę, bo może to nic nie dać.

Logi:

ComboFix

ComboFix 08-08-16.01 - Dom 2008-08-17 19:04:38.1 - FAT32x86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.268 [GMT 2:00]

Running from: C:\Documents and Settings\Dom\Pulpit\ComboFix.exe

 * Created a new restore point

 * Resident AV is active



WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED 

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\SystemCertificates\My

C:\Documents and Settings\All Users\lljydf16.ini

C:\Documents and Settings\All Users\lljydf32.ini

C:\Documents and Settings\Dom\Cookies\dom@nuggad[1].txt

C:\Documents and Settings\Dom\Cookies\dom@onet[2].txt

C:\Documents and Settings\Dom\Cookies\dom@showit[2].txt

C:\Documents and Settings\Dom\Cookies\dom@smileycentral[2].txt

C:\Documents and Settings\Dom\Cookies\dom@tradedoubler[2].txt

C:\Documents and Settings\Dom\Dane aplikacji\Microsoft\SystemCertificates\My

C:\Documents and Settings\LocalService\Dane aplikacji\Microsoft\SystemCertificates\My

C:\Documents and Settings\NetworkService\Dane aplikacji\Microsoft\SystemCertificates\My

C:\Program Files\FunWebProducts

C:\WINDOWS\system\llzjy080814.exe

C:\WINDOWS\system32\360mon.dll

C:\WINDOWS\system32\adsntzt.nls

C:\WINDOWS\system32\BeepEx.sys

C:\WINDOWS\system32\bootvidgj.nls

C:\WINDOWS\system32\catsrvwl.nls

C:\WINDOWS\system32\comuidsg.nls

C:\WINDOWS\system32\dispexcb.nls

C:\WINDOWS\system32\dpvvoxmh.nls

C:\WINDOWS\system32\lweurqhx.nls

C:\WINDOWS\system32\SkypeComm.dll

C:\WINDOWS\system32\slbiopfs2.nls

C:\WINDOWS\system32\tscfgwmijxsj.nls


.

((((((((((((((((((((((((( Files Created from 2008-07-17 to 2008-08-17 )))))))))))))))))))))))))))))))

.


2008-08-17 18:22 . 2008-08-17 19:03	34,775	--a------	C:\WINDOWS\lvse01.exe

2008-08-17 18:21 . 2008-08-17 19:03	11,415	--a------	C:\WINDOWS\yy.exe

2008-08-17 18:20 . 2004-08-03 22:44	395,776	--a------	C:\WINDOWS\system32\tmplljydf3.exe

2008-08-17 18:13 . 2008-08-17 19:03	14,335	--a------	C:\WINDOWS\daojian.exe

2008-08-17 18:13 . 2008-08-17 19:03	14,334	--a------	C:\WINDOWS\zhuxian.exe

2008-08-17 18:13 . 2008-08-17 19:03	8,496	--a------	C:\WINDOWS\ct.exe

2008-08-17 18:13 . 2008-08-17 19:03	8,494	--a------	C:\WINDOWS\qn.exe

2008-08-17 18:12 . 2008-08-17 19:03	9,671	--a------	C:\WINDOWS\dixia.exe

2008-08-17 18:08 . 2008-06-24 15:26	






HijackThis

[code]Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:11:26, on 2008-08-17 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe D:\Program Files\ESET\ESET Smart Security\ekrn.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE D:\Program Files\ESET\ESET Smart Security\egui.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O4 - HKLM..\Run: [egui] "D:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice O4 - HKLM..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan\_unicode.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: exlpogj.dll O20 - Winlogon Notify: xy3safe - C:\WINDOWS\system32\360mon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - D:\Program Files\ESET\ESET Smart Security\ekrn.exe O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\Dom\USTAWI~1\Temp\hpdj.exe (file missing) O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- End of file - 5201 bytes


(huber2t) #2

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\lvse01.exe

C:\WINDOWS\yy.exe

C:\WINDOWS\system32\360mon.dll

C:\WINDOWS\system32\tmplljydf3.exe

C:\WINDOWS\daojian.exe

C:\WINDOWS\zhuxian.exe

C:\WINDOWS\ct.exe

C:\WINDOWS\qn.exe

C:\WINDOWS\dixia.exe

C:\WINDOWS\system32\mstmpxmlfun.xml

C:\WINDOWS\system32\tbrqzghb.nls

C:\WINDOWS\system32\exlpogj.dll

C:\WINDOWS\system\dljj32a.dll


Folder::

C:\FOUND.001

C:\FOUND.000

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link