Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Wyszukaj w ofercie 200 tys. produktów TME
Europejski lider sprzedaży techniki i elektroniki.
Proszę, dodaj wyjątek elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Virus remon.sys - pomocy :-(

xray007 07 Paź 2005 15:12 1793 25
  • #1 07 Paź 2005 15:12
    xray007
    Poziom 14  

    Nie moge niczym usunac tego pliku "remon.sys" znajduje sie w folderze "system32", wiem ze to trojan bo moj antywirus wykrywa go jednak nie daje rady z usunieciem. Poczytalem troche o nim na necie i jest jest on zbyt "przyjazny" :P Uzywalem tez KillBox'a ale rozniez bez rezultatow :-(

    Czy moglby mi ktos pomoc?

    Zgory dziekuje


    POZDRAWIAM

    0 25
  • #2 07 Paź 2005 15:14
    md
    Poziom 39  

    Wyłącz przywracanie systemu i usuwaj wirusa w trybie awaryjnym

    0
  • #3 07 Paź 2005 15:18
    xray007
    Poziom 14  

    Uzywalem tez programu Ad-Aware i nic...

    Dodano po 2 [minuty]:

    Jak uruchomic w trybie awaryjnym kompa?

    0
  • #4 07 Paź 2005 15:20
    md
    Poziom 39  

    Podczas włączania komputera wciskasz klawisz F8 (najlepiej cyklicznie np. co 1 sekundę uderzasz w ten klawisz, wtedy łatwiej trafisz w odpowiedni moment)

    0
  • #5 07 Paź 2005 17:01
    xray007
    Poziom 14  

    Jednak nadal to nic nie pomoglo :-(
    Plik niby zostal usuniety ale po uruchomieniu systemu w trybie normalnbym znowu sie pojawil eh

    0
  • #6 07 Paź 2005 17:12
    tronic1
    Spec od komputerów

    Uruchom normalnie kompa,ubij proces w menadżerze zadań,usuń plik,przeskanuj rejestr pod kątem tego pliku,wykasuj wszystko co z nim związane (na wszelki wypadek zró kopię rejestru),przeskanuj dysk w poszukiwaniu tego pliku i ewentualnie wykasuj,wyczyść cache przegladarki.Jak będą problemy z usunięciem użyj Killbox.exe.

    0
  • #8 07 Paź 2005 19:17
    xray007
    Poziom 14  

    Walka z tym trojanem nie bedzie latwa :-(
    Wynokalem wiekszosc rzeczy z tego opisu i nic nie pomoglo eh
    Zrobilem tez skan... znalazl mi tego trojana jednak nie bylo opcji aby go usunal :-(

    Wie ktos moz ejak nzywa sie program microsoftu do usuwania zlosliwego oprogramowania?

    Wszelkie inne sugestie mile widziane, prosze help ;-)

    0
  • #11 07 Paź 2005 20:48
    xray007
    Poziom 14  

    Wielkie dzienki za Wasza pomoc, zabiore sie za to wszystko jutro bo dzisiaj juz nie mam czasu...
    Dam oczywiscie znac jak mi poszlo.
    Podac na forum log z programu HJT?

    Dodano po 31 [minuty]:

    Zauwazylem rowniez ze instaluje sie on jako urzadzenie plug&play...
    Po uruchomieniu MEnadzera urzadzen kiedy daje aby pokazal tez ukryte urzadzenia znajduje tam "remon" wylanczanie i odinstalowywanie nic nie daje :-(

    Moze to da komus jakis pomysl...


    POZDRAWIAM

    Dodano po 24 [minuty]:

    Oto moj log moze bedzie dla kogos pomocny:


    Logfile of HijackThis v1.99.1
    Scan saved at 20:43:02, on 2005-10-07
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\kxmixer.exe
    C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\msstl.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wuauclt.exe
    D:\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [kX Mixer] C:\WINDOWS\system32\kxmixer.exe --startup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Programy\Anti Trojan Elite\TJEnder.exe :NO
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    0
  • #12 07 Paź 2005 21:24
    Kolobos
    Spec od komputerów

    Wylacz ta usluge:
    O23 - Service: BusinessC (BusinessContinuity) - Unknown owner - C:\WINDOWS\msstl.exe
    Plik usun i nie pisz wiecej tylko zrob to co Ci podalem i dopiero napisz o wynikach.

    0
  • #13 08 Paź 2005 08:24
    xray007
    Poziom 14  

    Usluga wylaczona ale pliku takiego nie ma w folderze Windowsa...

    Dodano po 32 [minuty]:

    Wykonalem zalecenia pewnej osoby odnosnie "zabawy" w konsoli odzyskiwania i chyba udalo mi sie pozbyc tego trojana bo juz go nie ma tzn pliku "remon.sys" zobaczymy jak bedzie dalej ;P

    Jednak wydaje mi sie ze narobil on troche "bigosu" w moim kompuetrze...mianowicie mam win xp + SP2 a w centrum zabezpieczen znajduje sie tylko "opcje internetowe", "zapora systemu windows" oraz "aktualizacje automatyczne". Wydaje mi sie ze powinno byc cos jeszcze jak ochrona przed wirusami czy cos... Innym problemem jest to ze po kazdym restarcie "aktualizacje automatyczne" przelanczaja sie na wyl mimo to ze wczesniej sa zalaczone. Kolejnym jest to iz "zapora systemu windows" jest kompletnie nieaktywna nie moge nic tam zmienic tzn zal lub wyl jej. Czy moze miec to jakis zwiazek przez to iz mam zainstalowanego Zone Alarma?

    0
  • #14 08 Paź 2005 10:18
    Kolobos
    Spec od komputerów

    Uruchom sobie regedit i napisz co masz w:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\

    Uruchom sobie tez gpedit.msc w konfiguracji uzytkownika poszukaj opcji o ktorych piszesz i zobacz czy sa wylaczone.

    0
  • #15 08 Paź 2005 11:06
    xray007
    Poziom 14  

    W zalaczniku jest screen mojego rejestru. Uruchomilem gpedit.msc jednak nie moge znalesc nic poza "automatyczna aktualizacja" tzn nie ma systemowego firewall'a oraz ochrony przed wirusami :-(

    0
  • #16 08 Paź 2005 11:07
    xray007
    Poziom 14  

    Teraz zorientowalem sie ze nawet automatyczne aktualizacje nie sa aktywne tzn nic tam nie moge zmienic eh

    0
  • #17 08 Paź 2005 11:20
    md
    Poziom 39  

    Niewiele tak zdziałasz, to robactwo ukrywa uruchomione przez siebie procesy, więc na nic narzędzia typu Hijackthis. Zainstaluj sobie wersję demo ArcaVir, tam masz narzędzie "Raport o elementach systemowych", użyj go, to zobaczysz wiele więcej niż w Hijackthis (na rysunku). Poza tym, ArcaVir rozprawi się z backdoorem w trybie awaryjnym. http://www.arcabit.pl/products_arcavir_for_windows.html

    0
  • #18 08 Paź 2005 11:21
    Kolobos
    Spec od komputerów

    Nie latwiej bylo zapisac galaz rejestru i wkleic te pare linijek?
    Usun te piec wpisow.

    0
  • #19 08 Paź 2005 12:00
    xray007
    Poziom 14  

    Usuniecie tych 5'ciu wpisow nie przynioslo rezultatow. Zaraz zianstaluje ArcaVir i zobaczymy... Czyli mam uruchomic go w trybie awaryjnym? I wtedy rozpoczac skanowanie?

    0
  • #20 08 Paź 2005 16:34
    md
    Poziom 39  

    W tego typu sytuacjach najpierw wyłączamy przywracanie systemu. Program uruchom normalnie i przeskanuj wszystkie dyski - obowiązkowo przeskanuj również dysk C logując się jako inny użytkownik - jeżeli masz kilku użytkowników. Powinno wystarczyć, ale może się zdarzyć, że backdoor już od dawna gości u Ciebie i solidnie się zakorzenił, więc trzeba będzie go usunąć w trybie awaryjnym. Jeżeli przez niedopatrzenie masz dysk z systemem plików FAT32, to możesz również wystartować z bootowalnej płyty CD i użyć programu w wersji DOSowej - będzie łatwiej, bo wirus jest wtedy nieaktywny.

    0
  • #21 08 Paź 2005 20:43
    maromarecki
    Poziom 13  

    Miałem podobną historyjkę z jakimś trojanem w SYSTEM32 i ani Avast ani Kasperski nie potrafiły go usunąć ( znaleźć to dużo programów potrafi). Poświęciłem się.... posadziłem od podstaw XP zrobiłem Ghost'a na DVD i teraz te całe trojany mogą mi....... W ciągu 10 min mam wszystko od podstaw nowe i świeże...

    Ps. Tylko że ja mam troszkę inaczej dyski posadzone i Ghost'em przywracam tylko system...

    0
  • #22 09 Paź 2005 08:24
    xray007
    Poziom 14  

    Poradzilem sobie juz ze wszystkim bez instalowania tego programu...

    Komputer jest czysty ;-)
    Jedynym problemem jest to iz "aktualizacje automatyczne" nie sa aktywne :-(
    Ma ktos jakies sugestie?
    Bawilem sie rejestrem i wydaje mi sie ze wszystko tam jest ok...

    0
  • #23 09 Paź 2005 09:30
    md
    Poziom 39  

    Jesteś nie w porządku, powinieneś opisać jak sobie poradziłeś. Forum jest wymianą doświadczeń i niegrzecznie jest korzystać z pomocy wyłącznie dla siebie. Taka sytuacja może się każdemu przytrafić i wtedy na forum będzie gotowe rozwiązanie.

    0
  • #24 09 Paź 2005 11:36
    xray007
    Poziom 14  

    Racja, moj blad ;-)

    Pierwsze wszedlem do konsoli odzyskiwania i:

    disable remon
    disable rdriv
    disable IpFilterDriver
    ATTRIB -R -S -H C:\WINDOWS\system32\remon.sys
    ATTRIB -R -S -H C:\WINDOWS\system32\rdriv.sys
    DEL C:\WINDOWS\system32\remon.sys
    DEL C:\WINDOWS\system32\rdriv.sys

    Pozniej wykonalem zalecenia (wszystko) z http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FSDBOT%2ECGL&VSect=Sn

    I tak oto poradzilem sobie z tym trojanem ;-)


    Wie ktos moze jak zrobic aktywna "automatyczna aktualizacje"?
    Bo aktualnie nic mi nie sciaga a ja sam nie moge zupelnie nic tam zmieniac.
    Help ;-)

    0
  • #25 09 Paź 2005 12:35
    md
    Poziom 39  

    Teraz to ja też wiem i nawet napiszę ;)
    Aktualizacje automatyczne
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauserv]
    "Start"=dword:00000002

    Centrum Zabezpieczeń
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc]
    "Start"=dword:00000002

    Dodano po 46 [sekundy]:

    md napisał:
    Teraz to ja też wiem i nawet napiszę ;)
    Aktualizacje automatyczne
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauserv]
    "Start"=dword:00000002

    Centrum Zabezpieczeń
    [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc]
    "Start"=dword:00000002


    Wpisy te niepotrzebnie usuwałeś walcząc z wirusem.

    0
  • #26 09 Paź 2005 13:44
    xray007
    Poziom 14  

    Dziwne bo te wszystkie wpisy o ktorych napisales mam w rejestrze...
    W zalaczniku oba klucze do wgladu.

    Dodano po 2 [minuty]:

    Oto te klucze ;-)

    0
TME logo Szukaj w ofercie
Zamknij 
Wyszukaj w ofercie 200 tys. produktów TME
TME Logo