Witam wszystkich. mam pewien uporczywy problem, z którym nie moge sobie poradzic.Uzywam avasta i ad-aware. Sprawa ma sie nastepujaco:
1. Przy prawie każdym uruchomieniu kompa avast wykrywa trojana:
"Plik C:WINDOWSsystem32obdwk.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto"
Mimo usuniecia pliku, problem powtarza sie.
2. Przy skanowaniu podczas rozruchu, wykrywa podobne, oto wyciag z raportu:
02/26/2007 19:31
Skanowanie C:
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP61A0026740.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP61A0027754.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP61A0027795.exe jest zarażony przez Win32:Rbot-DFR [Trj], Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP61A0028080.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0028197.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0028605.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:WINDOWSsystem32obdwk.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Liczba przeszukanych katalogów: 2385
Liczba przetestowanych plików: 41709
Liczba zarażonych plików: 7
----------------------------------------
02/26/2007 20:21
Skanowanie C:
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0028826.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0029947.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:WINDOWSsystem32obdwk.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Liczba przeszukanych katalogów: 2389
Liczba przetestowanych plików: 119320
Liczba zarażonych plików: 3
----------------------------------------
02/27/2007 11:03
Skanowanie C:
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0030073.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0030257.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:WINDOWSsystem32obdwk.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Liczba przeszukanych katalogów: 2273
Liczba przetestowanych plików: 122052
Liczba zarażonych plików: 3
3.Wczoraj jeszcze w procesach byl jeden taki podejrzany "urdvxc.exe", ktory po zatrzymaniu odnawial sie, ale podczas wielu prob znalazlem taki plik w systemie i usunalem i problem zniknal, ale skutkiem podejrzewam tago bylo to ze przestalo dzialac mi nero i allplayer
4.Podejrzewam ze problem "siedzi" w rejestrze ale nie wiem jak to naprawic/usunac, dlatego prosze o pomoc.
Oto moj log z hijack this:
Logfile of HijackThis v1.99.1
Scan saved at 19:45:41, on 2007-02-27
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
Crogram FilesAlwil SoftwareAvast4aswUpdSv.exe
Crogram FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32svchost.exe
Crogram FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32RUNDLL32.EXE
CROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSsystem32RunDll32.exe
Crogram FilesCyberLink DVD SolutionPowerDVDPDVDServ.exe
Crogram FilesQuickTimeqttask.exe
C:WINDOWSsystem32ctfmon.exe
Crogram FilesCommon FilesAheadlibNMBgMonitor.exe
Crogram FilesIVT CorporationBlueSoleilBlueSoleil.exe
Crogram FilesM-Audio Audiophile USBDmnma003dmn.exe
C:WINDOWSsystem32wscntfy.exe
Crogram FilesInternet Exploreriexplore.exe
C:WINDOWSsystem32svchost.exe
Cocuments and SettingsTykisPulpithijackthisHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - CROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - crogram filesgooglegoogletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - crogram filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [Network Bridge] C:WINDOWSsystem32netadp.exe
O4 - HKLM..Run: [avast!] CROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [C-Media Speaker Configuration] Cocuments and SettingsTykisPulpitdrvSetup.exe /SPEAKER
O4 - HKLM..Run: [WinampAgent] Crogram FilesWinampwinampa.exe
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [RemoteControl] "Crogram FilesCyberLink DVD SolutionPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [PCSuiteTrayApplication] Crogram FilesNokiaNokia PC Suite 6LaunchApplication.exe -onlytray
O4 - HKLM..Run: [DataLayer] Crogram FilesCommon FilesPCSuiteDataLayerDataLayer.exe
O4 - HKLM..Run: [DAEMON Tools-1033] "Crogram FilesD-Toolsdaemon.exe" -lang 1045
O4 - HKLM..Run: [Lexmark_X79-55] C:WINDOWSsystem32lsasss.exe
O4 - HKLM..Run: [QuickTime Task] "Crogram FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "Crogram FilesCommon FilesAheadlibNMBgMonitor.exe"
O4 - HKCU..Run: [swg] Crogram FilesGoogleGoogleToolbarNotifier1.0.720.3640GoogleToolbarNotifier.exe
O4 - Global Startup: BlueSoleil.lnk = Crogram FilesIVT CorporationBlueSoleilBlueSoleil.exe
O4 - Global Startup: MA003DMN.LNK = Crogram FilesM-Audio Audiophile USBDmnma003dmn.exe
O4 - Global Startup: Microsoft Office.lnk = Crogram FilesMicrosoft OfficeOffice10OSA.EXE
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://CROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - CROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Crogram FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Crogram FilesMessengermsmsgs.exe
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.117.128.162/activex/AxisCamControl.cab
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab
O17 - HKLMSystemCCSServicesTcpip..{503C1AC6-DC48-45B9-A530-C5C1A4C39EB9}: NameServer = 217.144.192.2,217.144.192.33
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - CROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O20 - AppInit_DLLs:
O20 - Winlogon Notify: rpcc - C:WINDOWSsystem32rpcc.dll
O21 - SSODL: odb_set - {98741AA6-00FA-4866-AE62-F7F65F31DB44} - odbcmr32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - Crogram FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - Crogram FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - Crogram FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - Crogram FilesIVT CorporationBlueSoleilBTNtService.exe (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:WINDOWSSystem32urdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe
jesli jeszcze cos trzeba bedzi to napisze. Jesli ktos wie jak naprawic moj problem to bardzo prosze o dokladna instrukcje jak to zrobic.
Z góry dziekuje
1. Przy prawie każdym uruchomieniu kompa avast wykrywa trojana:
"Plik C:WINDOWSsystem32obdwk.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto"
Mimo usuniecia pliku, problem powtarza sie.
2. Przy skanowaniu podczas rozruchu, wykrywa podobne, oto wyciag z raportu:
02/26/2007 19:31
Skanowanie C:
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP61A0026740.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP61A0027754.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP61A0027795.exe jest zarażony przez Win32:Rbot-DFR [Trj], Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP61A0028080.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0028197.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0028605.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:WINDOWSsystem32obdwk.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Liczba przeszukanych katalogów: 2385
Liczba przetestowanych plików: 41709
Liczba zarażonych plików: 7
----------------------------------------
02/26/2007 20:21
Skanowanie C:
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0028826.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0029947.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:WINDOWSsystem32obdwk.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Liczba przeszukanych katalogów: 2389
Liczba przetestowanych plików: 119320
Liczba zarażonych plików: 3
----------------------------------------
02/27/2007 11:03
Skanowanie C:
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0030073.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:System Volume Information_restore{01F60C3D-DF80-487B-8815-BC71763CCEF7}RP62A0030257.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Plik C:WINDOWSsystem32obdwk.sys jest zarażony przez Win32:Trojan-gen. {Other}, Usunięto
Liczba przeszukanych katalogów: 2273
Liczba przetestowanych plików: 122052
Liczba zarażonych plików: 3
3.Wczoraj jeszcze w procesach byl jeden taki podejrzany "urdvxc.exe", ktory po zatrzymaniu odnawial sie, ale podczas wielu prob znalazlem taki plik w systemie i usunalem i problem zniknal, ale skutkiem podejrzewam tago bylo to ze przestalo dzialac mi nero i allplayer
4.Podejrzewam ze problem "siedzi" w rejestrze ale nie wiem jak to naprawic/usunac, dlatego prosze o pomoc.
Oto moj log z hijack this:
Logfile of HijackThis v1.99.1
Scan saved at 19:45:41, on 2007-02-27
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
Crogram FilesAlwil SoftwareAvast4aswUpdSv.exe
Crogram FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32svchost.exe
Crogram FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32RUNDLL32.EXE
CROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSsystem32RunDll32.exe
Crogram FilesCyberLink DVD SolutionPowerDVDPDVDServ.exe
Crogram FilesQuickTimeqttask.exe
C:WINDOWSsystem32ctfmon.exe
Crogram FilesCommon FilesAheadlibNMBgMonitor.exe
Crogram FilesIVT CorporationBlueSoleilBlueSoleil.exe
Crogram FilesM-Audio Audiophile USBDmnma003dmn.exe
C:WINDOWSsystem32wscntfy.exe
Crogram FilesInternet Exploreriexplore.exe
C:WINDOWSsystem32svchost.exe
Cocuments and SettingsTykisPulpithijackthisHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - CROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - crogram filesgooglegoogletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - crogram filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [Network Bridge] C:WINDOWSsystem32netadp.exe
O4 - HKLM..Run: [avast!] CROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [C-Media Speaker Configuration] Cocuments and SettingsTykisPulpitdrvSetup.exe /SPEAKER
O4 - HKLM..Run: [WinampAgent] Crogram FilesWinampwinampa.exe
O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM..Run: [RemoteControl] "Crogram FilesCyberLink DVD SolutionPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [PCSuiteTrayApplication] Crogram FilesNokiaNokia PC Suite 6LaunchApplication.exe -onlytray
O4 - HKLM..Run: [DataLayer] Crogram FilesCommon FilesPCSuiteDataLayerDataLayer.exe
O4 - HKLM..Run: [DAEMON Tools-1033] "Crogram FilesD-Toolsdaemon.exe" -lang 1045
O4 - HKLM..Run: [Lexmark_X79-55] C:WINDOWSsystem32lsasss.exe
O4 - HKLM..Run: [QuickTime Task] "Crogram FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "Crogram FilesCommon FilesAheadlibNMBgMonitor.exe"
O4 - HKCU..Run: [swg] Crogram FilesGoogleGoogleToolbarNotifier1.0.720.3640GoogleToolbarNotifier.exe
O4 - Global Startup: BlueSoleil.lnk = Crogram FilesIVT CorporationBlueSoleilBlueSoleil.exe
O4 - Global Startup: MA003DMN.LNK = Crogram FilesM-Audio Audiophile USBDmnma003dmn.exe
O4 - Global Startup: Microsoft Office.lnk = Crogram FilesMicrosoft OfficeOffice10OSA.EXE
O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://CROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - CROGRA~1SkypePhoneIEPluginSKYPEI~1.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Crogram FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Crogram FilesMessengermsmsgs.exe
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://217.117.128.162/activex/AxisCamControl.cab
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab
O17 - HKLMSystemCCSServicesTcpip..{503C1AC6-DC48-45B9-A530-C5C1A4C39EB9}: NameServer = 217.144.192.2,217.144.192.33
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - CROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O20 - AppInit_DLLs:
O20 - Winlogon Notify: rpcc - C:WINDOWSsystem32rpcc.dll
O21 - SSODL: odb_set - {98741AA6-00FA-4866-AE62-F7F65F31DB44} - odbcmr32.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - Crogram FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - Crogram FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - Crogram FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - Crogram FilesIVT CorporationBlueSoleilBTNtService.exe (file missing)
O23 - Service: Network Windows Service (MSWindows) - Unknown owner - C:WINDOWSSystem32urdvxc.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe
jesli jeszcze cos trzeba bedzi to napisze. Jesli ktos wie jak naprawic moj problem to bardzo prosze o dokladna instrukcje jak to zrobic.
Z góry dziekuje