r   e   k   l   a   m   a
Zaloguj się, aby obserwować  
Obserwujący 0
rickeln

WIRUSY NA KOMPUTERZE

Witam, mam problem, komputer z którego korzysta mój starszy został zainfekowany przez wirusy, których ni /cenzura/ nie da się usunąć. Na komputerze zainstalowany jest ESET SMART SECURITY z aktualną bazą wirusów, po starcie systemu i zalogowaniu się na konto użytkownika pojawia się migający komunikat, że wykrył on wirusy, więc oczywiście daję skanowanie dysku, znalazł je i poddał je kwarantannie. Wyłączam/włączam komputer i ponownie ten komunikat, bla bla bla, połączenie zostało przerwane i wymienia te pliki które zostały poddane kwarantannie. Próbowałem skasować je ręcznie, więc wchodzę do systemu poprzez tryb awaryjny i je kasuję, ponownie uruchamiam komputer i ten sam komunikat, wchodzę w folder gdzie one były, patrzę a one się pojawiają, już nie wiem co mam robić. Nod podaje, że są one odmianą konia trojańskiego. Znajdują się we folderze C:\Windows i mają takie nazwy:

lsve01.exe

360mon.dll <-- C:\Windows\system32

zhuxian.exe

yy.exe

qn.exe

daojian.exe

ct.exe

dixia.exe

feiyne8.exe

w komunikacie Noda, że połączenie zostało przerwane widnieją takie adresy www

http://www.555du.com

http://www.weiai999.3322.org

i to z nich najprawdopodobniej ściągają się wirusy... :/

Może ktoś wie jak mam sobie z tym poradzić?

Format nie wchodzi w grę, bo może to nic nie dać.

Logi:

ComboFix

ComboFix 08-08-16.01 - Dom 2008-08-17 19:04:38.1 - FAT32x86

Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.268 [GMT 2:00]

Running from: C:\Documents and Settings\Dom\Pulpit\ComboFix.exe

 * Created a new restore point

 * Resident AV is active



WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED 

.


(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\SystemCertificates\My

C:\Documents and Settings\All Users\lljydf16.ini

C:\Documents and Settings\All Users\lljydf32.ini

C:\Documents and Settings\Dom\Cookies\dom@nuggad[1].txt

C:\Documents and Settings\Dom\Cookies\dom@onet[2].txt

C:\Documents and Settings\Dom\Cookies\dom@showit[2].txt

C:\Documents and Settings\Dom\Cookies\dom@smileycentral[2].txt

C:\Documents and Settings\Dom\Cookies\dom@tradedoubler[2].txt

C:\Documents and Settings\Dom\Dane aplikacji\Microsoft\SystemCertificates\My

C:\Documents and Settings\LocalService\Dane aplikacji\Microsoft\SystemCertificates\My

C:\Documents and Settings\NetworkService\Dane aplikacji\Microsoft\SystemCertificates\My

C:\Program Files\FunWebProducts

C:\WINDOWS\system\llzjy080814.exe

C:\WINDOWS\system32\360mon.dll

C:\WINDOWS\system32\adsntzt.nls

C:\WINDOWS\system32\BeepEx.sys

C:\WINDOWS\system32\bootvidgj.nls

C:\WINDOWS\system32\catsrvwl.nls

C:\WINDOWS\system32\comuidsg.nls

C:\WINDOWS\system32\dispexcb.nls

C:\WINDOWS\system32\dpvvoxmh.nls

C:\WINDOWS\system32\lweurqhx.nls

C:\WINDOWS\system32\SkypeComm.dll

C:\WINDOWS\system32\slbiopfs2.nls

C:\WINDOWS\system32\tscfgwmijxsj.nls


.

(((((((((((((((((((((((((   Files Created from 2008-07-17 to 2008-08-17  )))))))))))))))))))))))))))))))

.


2008-08-17 18:22 . 2008-08-17 19:03	34,775	--a------	C:\WINDOWS\lvse01.exe

2008-08-17 18:21 . 2008-08-17 19:03	11,415	--a------	C:\WINDOWS\yy.exe

2008-08-17 18:20 . 2004-08-03 22:44	395,776	--a------	C:\WINDOWS\system32\tmplljydf3.exe

2008-08-17 18:13 . 2008-08-17 19:03	14,335	--a------	C:\WINDOWS\daojian.exe

2008-08-17 18:13 . 2008-08-17 19:03	14,334	--a------	C:\WINDOWS\zhuxian.exe

2008-08-17 18:13 . 2008-08-17 19:03	8,496	--a------	C:\WINDOWS\ct.exe

2008-08-17 18:13 . 2008-08-17 19:03	8,494	--a------	C:\WINDOWS\qn.exe

2008-08-17 18:12 . 2008-08-17 19:03	9,671	--a------	C:\WINDOWS\dixia.exe

2008-08-17 18:08 . 2008-06-24 15:26	






HijackThis

[code]Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:11:26, on 2008-08-17 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe D:\Program Files\ESET\ESET Smart Security\ekrn.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE D:\Program Files\ESET\ESET Smart Security\egui.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O4 - HKLM\..\Run: [egui] "D:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: exlpogj.dll O20 - Winlogon Notify: xy3safe - C:\WINDOWS\system32\360mon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - D:\Program Files\ESET\ESET Smart Security\ekrn.exe O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\Dom\USTAWI~1\Temp\hpdj.exe (file missing) O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- End of file - 5201 bytes

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

fix w hijackthis

O20 - AppInit_DLLs: exlpogj.dll

O20 - Winlogon Notify: xy3safe - C:\WINDOWS\system32\360mon.dll

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:


File::

C:\WINDOWS\lvse01.exe

C:\WINDOWS\yy.exe

C:\WINDOWS\system32\360mon.dll

C:\WINDOWS\system32\tmplljydf3.exe

C:\WINDOWS\daojian.exe

C:\WINDOWS\zhuxian.exe

C:\WINDOWS\ct.exe

C:\WINDOWS\qn.exe

C:\WINDOWS\dixia.exe

C:\WINDOWS\system32\mstmpxmlfun.xml

C:\WINDOWS\system32\tbrqzghb.nls

C:\WINDOWS\system32\exlpogj.dll

C:\WINDOWS\system\dljj32a.dll


Folder::

C:\FOUND.001

C:\FOUND.000

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zaloguj się, aby skomentować

Będziesz mógł dodać komentarz po zalogowaniu się



Zaloguj się
Zaloguj się, aby obserwować  
Obserwujący 0