Witam, mam problem, komputer z którego korzysta mój starszy został zainfekowany przez wirusy, których ni /cenzura/ nie da się usunąć. Na komputerze zainstalowany jest ESET SMART SECURITY z aktualną bazą wirusów, po starcie systemu i zalogowaniu się na konto użytkownika pojawia się migający komunikat, że wykrył on wirusy, więc oczywiście daję skanowanie dysku, znalazł je i poddał je kwarantannie. Wyłączam/włączam komputer i ponownie ten komunikat, bla bla bla, połączenie zostało przerwane i wymienia te pliki które zostały poddane kwarantannie. Próbowałem skasować je ręcznie, więc wchodzę do systemu poprzez tryb awaryjny i je kasuję, ponownie uruchamiam komputer i ten sam komunikat, wchodzę w folder gdzie one były, patrzę a one się pojawiają, już nie wiem co mam robić. Nod podaje, że są one odmianą konia trojańskiego. Znajdują się we folderze C:\Windows i mają takie nazwy:
lsve01.exe
360mon.dll <-- C:\Windows\system32
zhuxian.exe
yy.exe
qn.exe
daojian.exe
ct.exe
dixia.exe
feiyne8.exe
w komunikacie Noda, że połączenie zostało przerwane widnieją takie adresy www
i to z nich najprawdopodobniej ściągają się wirusy…
Może ktoś wie jak mam sobie z tym poradzić?
Format nie wchodzi w grę, bo może to nic nie dać.
Logi:
ComboFix
ComboFix 08-08-16.01 - Dom 2008-08-17 19:04:38.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.268 [GMT 2:00]
Running from: C:\Documents and Settings\Dom\Pulpit\ComboFix.exe
* Created a new restore point
* Resident AV is active
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\SystemCertificates\My
C:\Documents and Settings\All Users\lljydf16.ini
C:\Documents and Settings\All Users\lljydf32.ini
C:\Documents and Settings\Dom\Cookies\dom@nuggad[1].txt
C:\Documents and Settings\Dom\Cookies\dom@onet[2].txt
C:\Documents and Settings\Dom\Cookies\dom@showit[2].txt
C:\Documents and Settings\Dom\Cookies\dom@smileycentral[2].txt
C:\Documents and Settings\Dom\Cookies\dom@tradedoubler[2].txt
C:\Documents and Settings\Dom\Dane aplikacji\Microsoft\SystemCertificates\My
C:\Documents and Settings\LocalService\Dane aplikacji\Microsoft\SystemCertificates\My
C:\Documents and Settings\NetworkService\Dane aplikacji\Microsoft\SystemCertificates\My
C:\Program Files\FunWebProducts
C:\WINDOWS\system\llzjy080814.exe
C:\WINDOWS\system32\360mon.dll
C:\WINDOWS\system32\adsntzt.nls
C:\WINDOWS\system32\BeepEx.sys
C:\WINDOWS\system32\bootvidgj.nls
C:\WINDOWS\system32\catsrvwl.nls
C:\WINDOWS\system32\comuidsg.nls
C:\WINDOWS\system32\dispexcb.nls
C:\WINDOWS\system32\dpvvoxmh.nls
C:\WINDOWS\system32\lweurqhx.nls
C:\WINDOWS\system32\SkypeComm.dll
C:\WINDOWS\system32\slbiopfs2.nls
C:\WINDOWS\system32\tscfgwmijxsj.nls
.
((((((((((((((((((((((((( Files Created from 2008-07-17 to 2008-08-17 )))))))))))))))))))))))))))))))
.
2008-08-17 18:22 . 2008-08-17 19:03 34,775 --a------ C:\WINDOWS\lvse01.exe
2008-08-17 18:21 . 2008-08-17 19:03 11,415 --a------ C:\WINDOWS\yy.exe
2008-08-17 18:20 . 2004-08-03 22:44 395,776 --a------ C:\WINDOWS\system32\tmplljydf3.exe
2008-08-17 18:13 . 2008-08-17 19:03 14,335 --a------ C:\WINDOWS\daojian.exe
2008-08-17 18:13 . 2008-08-17 19:03 14,334 --a------ C:\WINDOWS\zhuxian.exe
2008-08-17 18:13 . 2008-08-17 19:03 8,496 --a------ C:\WINDOWS\ct.exe
2008-08-17 18:13 . 2008-08-17 19:03 8,494 --a------ C:\WINDOWS\qn.exe
2008-08-17 18:12 . 2008-08-17 19:03 9,671 --a------ C:\WINDOWS\dixia.exe
2008-08-17 18:08 . 2008-06-24 15:26
HijackThis
[code]Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:11:26, on 2008-08-17 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe D:\Program Files\ESET\ESET Smart Security\ekrn.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE D:\Program Files\ESET\ESET Smart Security\egui.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O4 - HKLM…\Run: [egui] “D:\Program Files\ESET\ESET Smart Security\egui.exe” /hide /waitservice O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM…\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet’a - D:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet’a - D:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: exlpogj.dll O20 - Winlogon Notify: xy3safe - C:\WINDOWS\system32\360mon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - D:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - D:\Program Files\ESET\ESET Smart Security\ekrn.exe O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\Dom\USTAWI~1\Temp\hpdj.exe (file missing) O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe – End of file - 5201 bytes