| Author |
Message
|
xray007
Poziom 14
Joined: 26 Mar 2005
Posts: 152
Location: trzebinia
|
 #1
 07 Oct 2005 14:12 Virus remon.sys - pomocy :-( |
|
|
|
Nie moge niczym usunac tego pliku "remon.sys" znajduje sie w folderze "system32", wiem ze to trojan bo moj antywirus wykrywa go jednak nie daje rady z usunieciem. Poczytalem troche o nim na necie i jest jest on zbyt "przyjazny" :P Uzywalem tez KillBox'a ale rozniez bez rezultatow :-(
Czy moglby mi ktos pomoc?
Zgory dziekuje
POZDRAWIAM
|
|
| Back to top |
|
 |
md
Poziom 24
Joined: 14 Jun 2004
Posts: 4508
|
#2
07 Oct 2005 14:14 Re: Virus remon.sys - pomocy :-( |
|
|
|
Wyłącz przywracanie systemu i usuwaj wirusa w trybie awaryjnym
|
|
| Back to top |
|
|
xray007
Poziom 14
Joined: 26 Mar 2005
Posts: 152
Location: trzebinia
|
#3
07 Oct 2005 14:18 Re: Virus remon.sys - pomocy :-( |
|
|
|
Uzywalem tez programu Ad-Aware i nic...
Dodano po 2 [minuty]:
Jak uruchomic w trybie awaryjnym kompa?
|
|
| Back to top |
|
|
md
Poziom 24
Joined: 14 Jun 2004
Posts: 4508
|
#4
07 Oct 2005 14:20 Re: Virus remon.sys - pomocy :-( |
|
|
|
Podczas włączania komputera wciskasz klawisz F8 (najlepiej cyklicznie np. co 1 sekundę uderzasz w ten klawisz, wtedy łatwiej trafisz w odpowiedni moment)
|
|
| Back to top |
|
|
xray007
Poziom 14
Joined: 26 Mar 2005
Posts: 152
Location: trzebinia
|
#5
07 Oct 2005 16:01 Re: Virus remon.sys - pomocy :-( |
|
|
|
Jednak nadal to nic nie pomoglo :-(
Plik niby zostal usuniety ale po uruchomieniu systemu w trybie normalnbym znowu sie pojawil eh
|
|
| Back to top |
|
|
tronic1
Poziom 26
Joined: 06 Feb 2005
Posts: 20011
Location: Police, Alesund-Norwegia
|
#6
07 Oct 2005 16:12 Virus remon.sys - pomocy :-( |
|
|
|
Uruchom normalnie kompa,ubij proces w menadżerze zadań,usuń plik,przeskanuj rejestr pod kątem tego pliku,wykasuj wszystko co z nim związane (na wszelki wypadek zró kopię rejestru),przeskanuj dysk w poszukiwaniu tego pliku i ewentualnie wykasuj,wyczyść cache przegladarki.Jak będą problemy z usunięciem użyj Killbox.exe.
|
|
| Back to top |
|
|
md
Poziom 24
Joined: 14 Jun 2004
Posts: 4508
|
|
| Back to top |
|
|
Google
|
| #
07 Oct 2005 16:14 |
|
|
|
|
|
| Back to top |
|
|
xray007
Poziom 14
Joined: 26 Mar 2005
Posts: 152
Location: trzebinia
|
#8
07 Oct 2005 18:17 Re: Virus remon.sys - pomocy :-( |
|
|
|
Walka z tym trojanem nie bedzie latwa :-(
Wynokalem wiekszosc rzeczy z tego opisu i nic nie pomoglo eh
Zrobilem tez skan... znalazl mi tego trojana jednak nie bylo opcji aby go usunal :-(
Wie ktos moz ejak nzywa sie program microsoftu do usuwania zlosliwego oprogramowania?
Wszelkie inne sugestie mile widziane, prosze help ;-)
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26223
Location: Warszawa
|
|
| Back to top |
|
|
tronic1
Poziom 26
Joined: 06 Feb 2005
Posts: 20011
Location: Police, Alesund-Norwegia
|
|
| Back to top |
|
|
xray007
Poziom 14
Joined: 26 Mar 2005
Posts: 152
Location: trzebinia
|
#11
07 Oct 2005 19:48 Re: Virus remon.sys - pomocy :-( |
|
|
|
Wielkie dzienki za Wasza pomoc, zabiore sie za to wszystko jutro bo dzisiaj juz nie mam czasu...
Dam oczywiscie znac jak mi poszlo.
Podac na forum log z programu HJT?
Dodano po 31 [minuty]:
Zauwazylem rowniez ze instaluje sie on jako urzadzenie plug&play...
Po uruchomieniu MEnadzera urzadzen kiedy daje aby pokazal tez ukryte urzadzenia znajduje tam "remon" wylanczanie i odinstalowywanie nic nie daje :-(
Moze to da komus jakis pomysl...
POZDRAWIAM
Dodano po 24 [minuty]:
Oto moj log moze bedzie dla kogos pomocny:
Logfile of HijackThis v1.99.1
Scan saved at 20:43:02, on 2005-10-07
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\kxmixer.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\msstl.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [kX Mixer] C:\WINDOWS\system32\kxmixer.exe --startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Programy\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26223
Location: Warszawa
|
#12
07 Oct 2005 20:24 Virus remon.sys - pomocy :-( |
|
|
|
Wylacz ta usluge:
O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe
Plik usun i nie pisz wiecej tylko zrob to co Ci podalem i dopiero napisz o wynikach.
|
|
| Back to top |
|
|
xray007
Poziom 14
Joined: 26 Mar 2005
Posts: 152
Location: trzebinia
|
#13
08 Oct 2005 07:24 Re: Virus remon.sys - pomocy :-( |
|
|
|
Usluga wylaczona ale pliku takiego nie ma w folderze Windowsa...
Dodano po 32 [minuty]:
Wykonalem zalecenia pewnej osoby odnosnie "zabawy" w konsoli odzyskiwania i chyba udalo mi sie pozbyc tego trojana bo juz go nie ma tzn pliku "remon.sys" zobaczymy jak bedzie dalej ;P
Jednak wydaje mi sie ze narobil on troche "bigosu" w moim kompuetrze...mianowicie mam win xp + SP2 a w centrum zabezpieczen znajduje sie tylko "opcje internetowe", "zapora systemu windows" oraz "aktualizacje automatyczne". Wydaje mi sie ze powinno byc cos jeszcze jak ochrona przed wirusami czy cos... Innym problemem jest to ze po kazdym restarcie "aktualizacje automatyczne" przelanczaja sie na wyl mimo to ze wczesniej sa zalaczone. Kolejnym jest to iz "zapora systemu windows" jest kompletnie nieaktywna nie moge nic tam zmienic tzn zal lub wyl jej. Czy moze miec to jakis zwiazek przez to iz mam zainstalowanego Zone Alarma?
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26223
Location: Warszawa
|
#14
08 Oct 2005 09:18 Virus remon.sys - pomocy :-( |
|
|
|
Uruchom sobie regedit i napisz co masz w:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\
Uruchom sobie tez gpedit.msc w konfiguracji uzytkownika poszukaj opcji o ktorych piszesz i zobacz czy sa wylaczone.
|
|
| Back to top |
|
|
xray007
Poziom 14
Joined: 26 Mar 2005
Posts: 152
Location: trzebinia
|
#15
08 Oct 2005 10:06 Re: Virus remon.sys - pomocy :-( |
|
|
|
W zalaczniku jest screen mojego rejestru. Uruchomilem gpedit.msc jednak nie moge znalesc nic poza "automatyczna aktualizacja" tzn nie ma systemowego firewall'a oraz ochrony przed wirusami :-(
| Description: |
|
| Filesize: |
24.31 KB |
|
|
|
| Back to top |
|
|
xray007
Poziom 14
Joined: 26 Mar 2005
Posts: 152
Location: trzebinia
|
#16
08 Oct 2005 10:07 Re: Virus remon.sys - pomocy :-( |
|
|
|
Teraz zorientowalem sie ze nawet automatyczne aktualizacje nie sa aktywne tzn nic tam nie moge zmienic eh
|
|
| Back to top |
|
|
Google
|
| #
08 Oct 2005 10:07 |
|
|
|
|
|
| Back to top |
|
|
md
Poziom 24
Joined: 14 Jun 2004
Posts: 4508
|
#17
08 Oct 2005 10:20 Re: Virus remon.sys - pomocy :-( |
|
|
|
Niewiele tak zdziałasz, to robactwo ukrywa uruchomione przez siebie procesy, więc na nic narzędzia typu Hijackthis. Zainstaluj sobie wersję demo ArcaVir, tam masz narzędzie "Raport o elementach systemowych", użyj go, to zobaczysz wiele więcej niż w Hijackthis (na rysunku). Poza tym, ArcaVir rozprawi się z backdoorem w trybie awaryjnym. http://www.arcabit.pl/products_arcavir_for_windows.html
| Description: |
|
| Filesize: |
3.7 KB |
|
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26223
Location: Warszawa
|
#18
08 Oct 2005 10:21 Virus remon.sys - pomocy :-( |
|
|
|
Nie latwiej bylo zapisac galaz rejestru i wkleic te pare linijek?
Usun te piec wpisow.
|
|
| Back to top |
|
|
Google
|
| #
08 Oct 2005 10:21 |
|
|
|
|
|
| Back to top |
|
|
xray007
Poziom 14
Joined: 26 Mar 2005
Posts: 152
Location: trzebinia
|
#19
08 Oct 2005 11:00 Re: Virus remon.sys - pomocy :-( |
|
|
|
Usuniecie tych 5'ciu wpisow nie przynioslo rezultatow. Zaraz zianstaluje ArcaVir i zobaczymy... Czyli mam uruchomic go w trybie awaryjnym? I wtedy rozpoczac skanowanie?
|
|
| Back to top |
|
|
md
Poziom 24
Joined: 14 Jun 2004
Posts: 4508
|
#20
08 Oct 2005 15:34 Re: Virus remon.sys - pomocy :-( |
|
|
|
W tego typu sytuacjach najpierw wyłączamy przywracanie systemu. Program uruchom normalnie i przeskanuj wszystkie dyski - obowiązkowo przeskanuj również dysk C logując się jako inny użytkownik - jeżeli masz kilku użytkowników. Powinno wystarczyć, ale może się zdarzyć, że backdoor już od dawna gości u Ciebie i solidnie się zakorzenił, więc trzeba będzie go usunąć w trybie awaryjnym. Jeżeli przez niedopatrzenie masz dysk z systemem plików FAT32, to możesz również wystartować z bootowalnej płyty CD i użyć programu w wersji DOSowej - będzie łatwiej, bo wirus jest wtedy nieaktywny.
|
|
| Back to top |
|
|
maromarecki
Poziom 11
Joined: 28 Aug 2005
Posts: 69
|
#21
08 Oct 2005 19:43 Re: Virus remon.sys - pomocy :-( |
|
|
|
Miałem podobną historyjkę z jakimś trojanem w SYSTEM32 i ani Avast ani Kasperski nie potrafiły go usunąć ( znaleźć to dużo programów potrafi). Poświęciłem się.... posadziłem od podstaw XP zrobiłem Ghost'a na DVD i teraz te całe trojany mogą mi....... W ciągu 10 min mam wszystko od podstaw nowe i świeże...
Ps. Tylko że ja mam troszkę inaczej dyski posadzone i Ghost'em przywracam tylko system...
|
|
| Back to top |
|
|
xray007
Poziom 14
Joined: 26 Mar 2005
Posts: 152
Location: trzebinia
|
#22
09 Oct 2005 07:24 Re: Virus remon.sys - pomocy :-( |
|
|
|
Poradzilem sobie juz ze wszystkim bez instalowania tego programu...
Komputer jest czysty ;-)
Jedynym problemem jest to iz "aktualizacje automatyczne" nie sa aktywne :-(
Ma ktos jakies sugestie?
Bawilem sie rejestrem i wydaje mi sie ze wszystko tam jest ok...
|
|
| Back to top |
|
|
md
Poziom 24
Joined: 14 Jun 2004
Posts: 4508
|
#23
09 Oct 2005 08:30 Re: Virus remon.sys - pomocy :-( |
|
|
|
Jesteś nie w porządku, powinieneś opisać jak sobie poradziłeś. Forum jest wymianą doświadczeń i niegrzecznie jest korzystać z pomocy wyłącznie dla siebie. Taka sytuacja może się każdemu przytrafić i wtedy na forum będzie gotowe rozwiązanie.
|
|
| Back to top |
|
|
xray007
Poziom 14
Joined: 26 Mar 2005
Posts: 152
Location: trzebinia
|
#24
09 Oct 2005 10:36 Re: Virus remon.sys - pomocy :-( |
|
|
|
Racja, moj blad ;-)
Pierwsze wszedlem do konsoli odzyskiwania i:
disable remon
disable rdriv
disable IpFilterDriver
ATTRIB -R -S -H C:\WINDOWS\system32\remon.sys
ATTRIB -R -S -H C:\WINDOWS\system32\rdriv.sys
DEL C:\WINDOWS\system32\remon.sys
DEL C:\WINDOWS\system32\rdriv.sys
Pozniej wykonalem zalecenia (wszystko) z http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FSDBOT%2ECGL&VSect=Sn
I tak oto poradzilem sobie z tym trojanem ;-)
Wie ktos moze jak zrobic aktywna "automatyczna aktualizacje"?
Bo aktualnie nic mi nie sciaga a ja sam nie moge zupelnie nic tam zmieniac.
Help ;-)
|
|
| Back to top |
|
|
md
Poziom 24
Joined: 14 Jun 2004
Posts: 4508
|
#25
09 Oct 2005 11:35 Re: Virus remon.sys - pomocy :-( |
|
|
|
Teraz to ja też wiem i nawet napiszę ;)
Aktualizacje automatyczne
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauserv]
"Start"=dword:00000002
Centrum Zabezpieczeń
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc]
"Start"=dword:00000002
Dodano po 46 [sekundy]:
| md wrote: |
Teraz to ja też wiem i nawet napiszę ;)
Aktualizacje automatyczne
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauserv]
"Start"=dword:00000002
Centrum Zabezpieczeń
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc]
"Start"=dword:00000002 |
Wpisy te niepotrzebnie usuwałeś walcząc z wirusem.
|
|
| Back to top |
|
|
xray007
Poziom 14
Joined: 26 Mar 2005
Posts: 152
Location: trzebinia
|
#26
09 Oct 2005 12:44 Re: Virus remon.sys - pomocy :-( |
|
|
|
Dziwne bo te wszystkie wpisy o ktorych napisales mam w rejestrze...
W zalaczniku oba klucze do wgladu.
Dodano po 2 [minuty]:
Oto te klucze ;-)
|
|
| Back to top |
|
|
