KwaseK
(Fr3m3n)
28 Styczeń 2007 13:57
#1
Mam problem z trojanem : nazywa sie hide_evr2.sys. (plik znajduje się w folderze systemowym)
Usunąłem go antywirusem i jest ok, ale jak ponownie uruchomie komputer to się znowu pojawia (stąd nieśmiertelność), tak samo jest w przypadku użycia kwarantanny (w niej mam przeszło 10 tego samego pliku), bardzo przeszkadza mi ten wirus, gdyż występują debugowania programów, co powoduje ze niemogę ich uruchomić, i przez to niemoge np. przywrócić systemu . Zatrzymuje także gry i inne niektóre programy. Bardzo proszę o pomoc
Logfile of HijackThis v1.99.1 Scan saved at 15:03:55, on 2007-01-28 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\DAEMON Tools\daemon.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\Restore\rstrui.exe C:\Program Files\Gadu-Gadu\gg.exe C:\WINDOWS\system32\Restore\rstrui.exe C:\Program Files\Opera\Opera.exe C:\Documents and Settings\User\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [CTHelper] CTHELPER.EXE O4 - HKLM…\Run: [updReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM…\Run: [Jet Detection] “C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe” O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe” O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM…\Run: [ssAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [ttool] C:\WINDOWS\9129837.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Multimedia Keyboard Driver.lnk = ? O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip…{D6B663D4-7730-4124-A842-4D6610AC6160}: NameServer = 194.204.159.1,194.204.152.34 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
adam9870
(adam9870)
28 Styczeń 2007 14:05
#2
W logu tylko:
Usuń plik ręcznie w trybie awaryjnym, a wpisy HJT.
Po wykonaniu proszę pokazać komplet logów ponieważ to może być rootkit ze sterownikiem oraz mogą być jeszcze inne pliki z tzw. losową nazwą.
[*:3k9wnk52]
SilentRunners . Jeżeli podczas uruchamiania silenta pokaże się jakiś błąd, to proszę podać jego dokładną treść.
KwaseK
(Fr3m3n)
28 Styczeń 2007 14:08
#3
chciałbym dodać ze w trybie awaryjnym tez go usuwałem i gdy wykonałem (tzn usunąłem) ten plik, to po ponownym uruchomieniu to samo jest (tzn znowu sie pojawia)
adam9870
(adam9870)
28 Styczeń 2007 14:10
#4
Dobrze, ale proszę zrobić to co napisałem i następnie pokazać logi, o które prosiłem. Jeśli rzeczywiście jest ten szkodnik, o którym piszesz to w logach powinien być widoczny i wtedy skutecznie go usuniemy.
adam9870
(adam9870)
28 Styczeń 2007 14:51
#6
Użyj narzędzia Rustock.b-fix .
Usuń folder ręcznie będąc w trybie awaryjnym.
Przeskanuj plik na stronie http://virusscan.jotti.org/ lub http://www.virustotal.com/vt/ , a jeśli okaże się szkodnikiem to usuń go ręcznie będąc w trybie awaryjnym.
Po wykonaniu pokaż tylko dwa nowe logi z Gmer’a oraz ewentualnie raport z Rustock.b-fix.
adam9870
(adam9870)
28 Styczeń 2007 16:34
#8
Proszę wkleić log wykonaniu przy takim ustawieniu:
Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
adam9870
(adam9870)
28 Styczeń 2007 17:36
#9
W logu są widoczne dwie szkodliwe usługi
Masz Deamon Toolsa dlatego uruchom system w trybie awaryjnym i jak zostaniesz spytany czy ładować sterownik Deamona (sptd.sys) to nie zgadzasz się. W tym celu naciskach klawisz Esc. Następnie uruchom Gmera, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych. I następnie w Gmerze:
W zakładce Usługi skasuj z prawokliku usługę cel90xbe oraz hide_evr2
W zakładce CMD z zaznaczoną opcją CMD.EXE wklej:
W zakładce CMD z zaznaczoną opcją REGEDIT.EXE wklej:
W zakładce Procesy kliknij Zabij wszystko . Teraz poczekaj cierpliwie aż zniknie pulpit etc.
W zakładce CMD i klikasz Uruchom przy zaznaczonej opcji CMD.EXE i REGEDIT.EXE .
Teraz reset i nowy log z Gmer’a wykonany na opcji usługi + pokazuj wszystko.
KwaseK
(Fr3m3n)
28 Styczeń 2007 18:09
#10
skasowałem z prawokliku usługę cel90xbe ale niemogę nadal skasować hide_evr2.sys, tzn przy próbie skasowania wyskakuje :
Błąd 0xC0000010 : Usługa “hide_evr2” niezostała usunięta
http://www.fotosik.pl/pokaz_obrazek/a72f5952ea26e787.html
adam9870
(adam9870)
28 Styczeń 2007 18:29
#11
W takim razie zrobimy nieco inaczej.
Uruchom system w trybie awaryjnym bez sptd.sys tak jak poprzednio. W gmerze w zakładce CMD z zaznaczoną opcją CMD.EXE wklej:
i kliknij na Uruchom.
KwaseK
(Fr3m3n)
28 Styczeń 2007 18:34
#12
chciałbym dodać ze jednak udało mi się go usunąć, poprostu musiałem zrestartowacć kompa, ale potem jak kazałeś mi to zrobić :
to po uruchom powiedziało ze nieznalazło takiego pliku (poprostu poprzez usługe został usuniety(chyba))
teraz dodam tego loga z gm’era :
są jeszcze jakies wirusy ?