Problem z Win32:Trojan-gen

[Tykis]

Witam wszystkich. mam pewien uporczywy problem, z którym nie moge sobie poradzic.Uzywam avasta i ad-aware. Sprawa ma sie nastepujaco:
1. Przy prawie każdym uruchomieniu kompa avast wykrywa trojana:

"Plik C:WINDOWSsystem32obdwk.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto"

Mimo usuniecia pliku, problem powtarza sie.
2. Przy skanowaniu podczas rozruchu, wykrywa podobne, oto wyciag z raportu:

02/26/2007 19:31
Skanowanie C:
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP61A0026740.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP61A0027754.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP61A0027795.exe jest zarażony przez Win32:Rbot-DFR [Trj], Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP61A0028080.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0028197.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0028605.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:WINDOWSsystem32obdwk.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto

Liczba przeszukanych katalogów: 2385
Liczba przetestowanych plików: 41709
Liczba zarażonych plików: 7

----------------------------------------
02/26/2007 20:21
Skanowanie C:
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0028826.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0029947.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:WINDOWSsystem32obdwk.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto

Liczba przeszukanych katalogów: 2389
Liczba przetestowanych plików: 119320
Liczba zarażonych plików: 3

----------------------------------------
02/27/2007 11:03
Skanowanie C:
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0030073.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0030257.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:WINDOWSsystem32obdwk.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto

Liczba przeszukanych katalogów: 2273
Liczba przetestowanych plików: 122052
Liczba zarażonych plików: 3

3.Wczoraj jeszcze w procesach byl jeden taki podejrzany "urdvxc.exe", ktory po zatrzymaniu odnawial sie, ale podczas wielu prob znalazlem taki plik w systemie i usunalem i problem zniknal, ale skutkiem podejrzewam tago bylo to ze przestalo dzialac mi nero i allplayer

4.Podejrzewam ze problem "siedzi" w rejestrze ale nie wiem jak to naprawic/usunac, dlatego prosze o pomoc.

Oto moj log z hijack this:
Logfile of HijackThis v1.99.1
Scan saved at 19:45:41, on 2007-02-27
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
Crogram FilesAlwil SoftwareAvast4aswUpdSv.exe
Crogram FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32svchost.exe
Crogram FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32RUNDLL32.EXE
CROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSsystem32RunDll32.exe
Crogram FilesCyberLink DVD SolutionPowerDVDPDVDServ.exe
Crogram FilesQuickTimeqttask.exe
C:WINDOWSsystem32ctfmon.exe
Crogram FilesCommon FilesAheadlibNMBgMonitor.exe
Crogram FilesIVT CorporationBlueSoleilBlueSoleil.exe
Crogram FilesM-Audio Audiophile USBDmnma003dmn.exe
C:WINDOWSsystem32wscntfy.exe
Crogram FilesInternet Exploreriexplore.exe
C:WINDOWSsystem32svchost.exe
Cocuments and SettingsTykisPulpithijackthisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - CROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - crogram filesgooglegoogletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - crogram filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [Network Bridge] C:WINDOWSsystem32netadp.exe
O4 - HKLM..Run: [avast!] CROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [C-Media Speaker Configuration] Cocuments and SettingsTykisPulpitdrvSetup.exe /SPEAKER
O4 - HKLM..Run: [WinampAgent] Crogram FilesWinampwinampa.exe
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [RemoteControl] "Crogram FilesCyberLink DVD SolutionPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [PCSuiteTrayApplication] Crogram FilesNokiaNokia PC Suite 6LaunchApplication.exe -onlytray
O4 - HKLM..Run: [DataLayer] Crogram FilesCommon FilesPCSuiteDataLayerDataLayer.exe
O4 - HKLM..Run: [DAEMON Tools-1033] "Crogram FilesD-Toolsdaemon.exe" -lang 1045
O4 - HKLM..Run: [Lexmark_X79-55] C:WINDOWSsystem32lsasss.exe
O4 - HKLM..Run: [QuickTime Task] "Crogram FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "Crogram FilesCommon FilesAheadlibNMBgMonitor.exe"
O4 - HKCU..Run: [swg] Crogram FilesGoogleGoogleToolbarNotifier1.0.720.3640GoogleToolbarNotifier.exe
O4 - Global Startup: BlueSoleil.lnk = Crogram FilesIVT CorporationBlueSoleilBlueSoleil.exe
O4 - Global Startup: MA003DMN.LNK = Crogram FilesM-Audio Audiophile USBDmnma003dmn.exe
O4 - Global Startup: Microsoft Office.lnk = Crogram FilesMicrosoft OfficeOffice10OSA.EXE
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://CROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - CROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Crogram FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Crogram FilesMessengermsmsgs.exe
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.117.128.162/activex/AxisCamControl.cab
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab
O17 - HKLMSystemCCSServicesTcpip..{503C1AC6-DC48-45B9-A530-C5C1A4C39EB9}: NameServer = 217.144.192.2,217.144.192.33
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - CROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O20 - AppInit_DLLs:
O20 - Winlogon Notify: rpcc - C:WINDOWSsystem32rpcc.dll
O21 - SSODL: odb_set - {98741AA6-00FA-4866-AE62-F7F65F31DB44} - odbcmr32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - Crogram FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - Crogram FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - Crogram FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - Crogram FilesIVT CorporationBlueSoleilBTNtService.exe (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:WINDOWSSystem32urdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe

jesli jeszcze cos trzeba bedzi to napisze. Jesli ktos wie jak naprawic moj problem to bardzo prosze o dokladna instrukcje jak to zrobic.
Z góry dziekuje

 

[fl3a]

Troj/Spy-UL

<System>odbcmr32.dll - detected as Troj/Spy-UL
<Temp>odbcmr32.dll - detected as Troj/Spy-UL
<System>obdwk.sys - detected as Troj/NTRootK-BF

Troj/Spy-UL creates the file <System>obdwk.sys and registers it as a new system driver service named "mcemgr" with a display name of "mcemgr"and a startup type of automatic, so that it is started automatically during system startup.[/b]

Zrob logi przy pomocy narzedzia gmer. Obydwa komponenty odbcmr32.dll oraz obdwk.sys znajduja sie w Twoim systemie. Warto jednak sprawdzic przed usunieciem ich czy nie ma innych elementow szkodnika. Jesli oba pliki sa widoczne i mozesz je skopiowac to prosilbym o ich kopie.

Usunac je mozesz w nastepujacy sposob (wiecej informacji):

1. Uruchomić Gmera i zniszczyć sterowniki. Przykładowo można to zrobić poprzez wklejenie w zakładce CMD do okna CMD poniższego zespołu komend i wybraniu Uruchom:

gmer -killall
gmer -del file C:WINDOWSsystem32obdwk.sys
gmer -del file C:WINDOWSsystem32odbcmr32.dll
gmer -del service mcemgr
gmer -reboot[/b]

// Nie zauwazylem innych plikow ;/ Naturalnie je tez mozesz zlikwidowac w podobny sposob...

 

[Tykis]

Witam ponownie. Wpisalem do gmera podane komedy ( dopiro dzis niestety) ale zanim wylaczyl sie komp pokazalo sie zatrzymanie krytyczne "blad podczas usuwnia pliku obdwk.sys, podobnie i drugi plik, po czym komunikat "niepoprawny parametr". Od wczoraj komp byl wlaczony tak ze podejrzewam ze ten robak mogl sie rozprzestrzenic albo scianac sobie "kolegów". Oto moj dzisiejszy log z hijack:

Logfile of HijackThis v1.99.1
Scan saved at 17:23:12, on 2007-02-28
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
Crogram FilesAlwil SoftwareAvast4aswUpdSv.exe
C:WINDOWSExplorer.EXE
Crogram FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32svchost.exe
Crogram FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32RUNDLL32.EXE
CROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSsystem32RunDll32.exe
Crogram FilesCyberLink DVD SolutionPowerDVDPDVDServ.exe
Crogram FilesQuickTimeqttask.exe
C:WINDOWSsystem32ctfmon.exe
Crogram FilesCommon FilesAheadlibNMBgMonitor.exe
Crogram FilesIVT CorporationBlueSoleilBlueSoleil.exe
Crogram FilesM-Audio Audiophile USBDmnma003dmn.exe
C:WINDOWSsystem32svchost.exe
Crogram FilesOperaOpera.exe
C:WINDOWSsystem32wuauclt.exe
C:WINDOWSsystem32wscntfy.exe
crogram filesinternet exploreriexplore.exe
Cocuments and SettingsTykisPulpithijackthisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - CROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - crogram filesgooglegoogletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - crogram filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [Network Bridge] C:WINDOWSsystem32netadp.exe
O4 - HKLM..Run: [avast!] CROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [C-Media Speaker Configuration] Cocuments and SettingsTykisPulpitdrvSetup.exe /SPEAKER
O4 - HKLM..Run: [WinampAgent] Crogram FilesWinampwinampa.exe
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [RemoteControl] "Crogram FilesCyberLink DVD SolutionPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [PCSuiteTrayApplication] Crogram FilesNokiaNokia PC Suite 6LaunchApplication.exe -onlytray
O4 - HKLM..Run: [DataLayer] Crogram FilesCommon FilesPCSuiteDataLayerDataLayer.exe
O4 - HKLM..Run: [DAEMON Tools-1033] "Crogram FilesD-Toolsdaemon.exe" -lang 1045
O4 - HKLM..Run: [Lexmark_X79-55] C:WINDOWSsystem32lsasss.exe
O4 - HKLM..Run: [QuickTime Task] "Crogram FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "Crogram FilesCommon FilesAheadlibNMBgMonitor.exe"
O4 - HKCU..Run: [swg] Crogram FilesGoogleGoogleToolbarNotifier1.0.720.3640GoogleToolbarNotifier.exe
O4 - Global Startup: BlueSoleil.lnk = Crogram FilesIVT CorporationBlueSoleilBlueSoleil.exe
O4 - Global Startup: MA003DMN.LNK = Crogram FilesM-Audio Audiophile USBDmnma003dmn.exe
O4 - Global Startup: Microsoft Office.lnk = Crogram FilesMicrosoft OfficeOffice10OSA.EXE
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://CROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - CROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Crogram FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Crogram FilesMessengermsmsgs.exe
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.117.128.162/activex/AxisCamControl.cab
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab
O17 - HKLMSystemCCSServicesTcpip..{503C1AC6-DC48-45B9-A530-C5C1A4C39EB9}: NameServer = 217.144.192.2,217.144.192.33
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - CROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O20 - AppInit_DLLs:
O20 - Winlogon Notify: rpcc - C:WINDOWSsystem32rpcc.dll
O21 - SSODL: odb_set - {98741AA6-00FA-4866-AE62-F7F65F31DB44} - odbcmr32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - Crogram FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - Crogram FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - Crogram FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - Crogram FilesIVT CorporationBlueSoleilBTNtService.exe (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:WINDOWSSystem32urdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe

Niestety nie wiem jak zrobic log za pomoca gmera, musicie mnie poinstruowac. Co dalej??

 

[fl3a]

W lgach HJT nic nie widze podejrzanego...

W gmer klikasz na zakladke "Rootkit" - zaznaczasz wszystkie opcje i klikasz "Szukaj". Nastepnie logi kopiujesz klikajac na "kopiuj" i wklejajac do utworzonego pliku txt. Jesli gmer stwarzal by problemy w postaci restartu komputera (bsod) mozesz odszukac plik "gmer_uninstall.cmd" znajdujacy sie w katalogu C:Windows i uruchomic go. Nastepnie pobrac RkU i nim przeskanowac system klikajac na zakladke "Raport" i nastepnie przycisk "Scan". Tu musisz recznie zaznaczyc wygenerowany raport i wkleic do pliku txt. Uwaga jesli mimo skanu systemu gmer'em chcesz przeskanowac go za pomoca RkU musisz wpierw odinstalowac gmer'a! Oba lub jeden log zalacz do odpowiedzi - dzieki temu bedzie wiadomo co i w jaki sposob usunac!

 

[Tykis]

Dzieki za porady. Jak narazie wszysko w porzodku, podane wczesnij przez pliki usunalem z trybu awaryjnego, narazie jest ok, jesli cos sie pojawi z poprzednich problemów to zastosuje sie do instrukcji. Aha, jeszcze cos, tym razem avast- czesciej ostatnio pojawia mi sie na srodku ekranu prostokat z logiem avast script bloker ktory wczesniej wyskakiwal tylko przy uruchamianiu internet explorer, teraz pojawia sie bez otwarcia przegladarki i np jak gram sobie w NFS =] zwija mi sie wszystko na pasek i opisany wczesniej ekranik na momencik i czysto...Wiem ze moge go wylaczyc, ale nie chce, jest jakis inny sposob?

 

[fl3a]

Nie uzywalem nigdy Avast'a wiec nie mam pojecia... Moze ktos kto uzywa bedzie mial sensowne wytlumaczenie... Mimo to warto profilaktycznie przeskanowac system ktoryms ze wspomnianych skanerow...