Złośliwy trojan, odradzajacy się od razu w Windzie, pomocy!

Witam,

mam taki otóż problem. Posiadam XP’ka SP3 z firewall’em Sygate’a i Antivir’em Personal Edition Classic. Dzisiajj zrobiłem skan systemu i wykryło mi plik o nazwie onw.lyg w katalogu WINDOWS (antywirus rozpoznaje go jako Trojan: TR/Daonol.D). Próbowałem sam go usunąć, jednak normalnie mam odmowę dostępu, byłem wiec w trybie awaryjnym, usunąłem go i sam po dosłownie 1-2 sekundach powraca mi w to samo miejsce. Antivir wykrył go jako trojana, zaznaczam opcję by go usunął to za chwilę od nowa komunikat ten sam lub plik po prostu zmienia nazwę z onw.lyg na onw.lygxx lub onw.lygxxxxxx (i ta liczba iksów rośnie). Proszę pomóżcie mi jak tego gada usunąć, bo mnie mocno niepokoi. Dodam, że udało mi się go stamtąd usunąć, to pojawił się w pliku ‘C:\RECYCLER\S-1-5-21-1229272821-1606980848-1801674531-1003\Dc1.zip’ pod tą samą postacią, jednak pomimo pokazywania ukrytych plików nie widzę pliku RECYCLER, nie mam pojecia jak go odnaleźć.

tu macie log z ComboFix’a:

http://www.wklej.org/id/135037/?zawin=0

tu zaś raport ze skana całego systemu przez Antivir’a:

http://www.wklej.org/id/135041/?zawin=0

Z góry dziękuję za odpowiedzi i pomoc oraz jeżeli zauważycie jakieś inne wirusy/trojany oprócz tego. Aaa i dodam, że nie jestem bardzo zaawansowanym użytkownikiem (zielonym też nie ;p) więc w przypadku pomocy prosiłbym o możliwie dokładne wyjaśnienie co bym musiał zrobić.

Pozdrawiam,

Rybi.

Nie mam XP, więc nie jestem pewien, ale jest taka opcja w Folder Options jak pokazywanie plików systemowych? Defaultowo jest włączone ukrywanie, wyłącz to (jeżeli to jest folder systemowy).

W logu nic nie ma.

Wyłącz na chwilę przywracanie systemu - XP/Vista

Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

Przeczyść dysk i rejestr CCleaner’em.

Wpisz w start => uruchom => cmd taki tekst

C:\RECYCLER\ to kosz. Może trzeba go opróżnić?

W tym wypadku zwykłe opróżnij kosz nie da rady i trzeba cały folder skasować.

ściagnij SPYBOT zainstaluj .przeskanuj i powinno byc ok ściągnij takze darmową wersję Comodo Internet Security .zainstaluj i przeskanuj. wywal swojego antywira i zapore tu masz wszystko -pozdrawiam

Dodane 14.08.2009 (Pt) 20:51

jeszcze raz ja jak by co pisz na GG 4338505 :slight_smile:

pokolei więc:

ciemnowidz, zrobiłem to co chciałeś:

wyłaczyłem przywracanie systemu.

Log z Malwarebytes Anti-Malware:

http://wklej.org/id/135217/?zawin=0

Przeczyscilem dysk i rejestr CCleaner’em -> wykrył kilkadziesiąt błędów w rejestrze (ok 150), które zdołał ‘naprawić’ i już nie mam żadnego. Jeśli chodzi o uruchomienie cleaner’a to nie udało mi się zakończyć całkowicie czyszczenie przy włączonej opcji “usuwaj dane z wolnej przestrzeni dyskowej” (zatrzymywało się przy 97% pomimo czekania 3,5h), natomiast gdy wyłączałem tą opcję czyszczenie zostało zakończone pomyślnie i kilka bajtów było usuwane.

Zaś po wpisaniu w konsoli: “rd /s /q c:\recycler” otrzymywalem wiadomosc: ‘nie można odnaleźć określonego pliku’

MaRa:

nie myśl, że nie próbowałem opróżnić kosza, co moim zdaniem od początku i tak by nic nie pomogło =/

tomj:

Zainstalowalem spybot’a, oto efekty:

http://img39.imageshack.us/i/spybotl.jpg/

Naprawiłem te problemy. Teraz po kolejnym sprawdzeniu przez SpyBot’a uzyskałem komunikat: “Gratulacje! Nie znaleziono żadnych bezpośrednich zagrożeń”. Zaś jeśli chodzi o Twoją radę to dziękuję, jeszcze przed Twoim postem zmieniłem firewall’a z przestarzałego już Sygate’a na Comodo. Jeśli chodzi o program antywirusowy to wolę pozostać przy AntiVir Personal Edition.

Na koniec puściłem jeszcze całkowity skan systemu, tym razem nie wychwycił już tych błędów, oto log:

http://wklej.org/id/135218/?zawin=0

Czy mam rozumieć, że po tej całodziennej walce przy użyciu ComboFix’a, Comodo, Antivir’a, Malwarebytes Anti-Malware’a, CCleaner’a i SpyBot’a pokonałem to dziadostwo i nie mam już zawirusowanego komputera?

Pewnie został już skasowany. Więc nic więcej nie ma.

Tego nie musisz zaznaczać. Zwykłemu użytkownikowi komputera ta opcja jest niepotrzebna.

Skoro po problemie to dziękuję ślicznie za pomoc :slight_smile:

pozdrawiam