Irytujący problem z trojanem Win32:Small-EPJ


(Pablo86) #1

Po reinstalce systemu mam problem z trojanem Win32:Small-EPJ. Otóż po zalogowaniu się do internetu avast bez przerwy wyświetla ostrzeżenia o próbie włamania się do systemu tego właśnie trojana co bardzo utrudnia prace na kompie i jest strasznie irytujące, ponadto każdorazowo po starcie systemu avast wykrywa zainfekowany plik w katalogu C:\WINDOWS\system32\drivers. Skany i usuwanie zainfekowanych plików avastem ad-awarem i innymi skanerami online nie skutkuje. Pomocy!

Wklejam logi z HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:48:22, on 2007-09-09

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [SystemOptimizer] .exe "C:\WINDOWS\system32\yxpadnnr.dll",forkonce

O4 - HKLM\..\Run: [AAWTray] C:\Program Files\Lavasoft\Ad-Aware 2007\AAWTray.exe

O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{759EFC25-E9FA-49AC-AD04-C59F8CA27235}: NameServer = 194.204.159.1 217.98.63.164

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: DomainService - Unknown owner - -C:\WINDOWS\system32\jvfhycop.exe (file missing)


--

End of file - 3632 bytes

(jessica) #2

>>Start >>> Uruchom >>> wybierz (lub wpisz) cmd >> zastosować te komendy (po każdej wciśnij "ENTER"):

Ten poniższe wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Ponieważ ten w/w wpis "04" wskazuje jednoznacznie na infekcję "VUNDO", więc na początek daj log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

Nie napisałeś, jaki plik znajduje Avast w folderze "drivers".

jessi


(Pablo86) #3

Log z ComboFix

http://wklej.org/id/54661a5100

Teraz już nie mam pewności jaki plik był zainfekowany ale to było chyba coś takiego:

C:\WINDOWS\system32\drivers\ip6fw.sys

Chyba pomogły twoje rady bo wydaje się że jest już wszyskto w porządku ale jeszcze spójrz na ten log fachowym okiem :slight_smile:

Dziękuje za pomoc!

Może masz jakieś rady jak ustrzec się przed ewentualnie następnymi taki problemami...


(jessica) #4

Nieznane dla mnie pliki.

Jeśli też ich nie znasz, to :

>>Start >>> Uruchom >>> wybierz (lub wpisz) cmd >> zastosować te komendy (po każdej wciśnij "ENTER"):

Widzę, że nie sfiksowałeś w Hijacku tych wpisów, które miałeś sfiksować, więc zrób to teraz.

Ten powyższe wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >>Fix checked.

Potem:

Potem chyba daj log z ComboFixa?

jessi


(Pablo86) #5

te wpisy nie chcą sie sfiksować, próbowałem kilka razy


(Gutek) #6

Pobierz program SDFix

-


(Pablo86) #7

Raport z SDFix:


(Gutek) #8

Teraz daj nowy log z Combo


(Pablo86) #9

log z Combo

http://wklej.org/id/23e2b0f751


(Gutek) #10

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Użyj skanera i daj wynik na forum - http://www.eset.pl/onlinescan