FONForum
http://www.fonforum.org/

VIrus ili spyware ali gadan! POMOC!
http://www.fonforum.org/viewtopic.php?f=8&t=6564		 Stranica 1 od 1
Autoru:  Ripper [ 25.05.2006. 11:22:09 ]
Tema posta:  VIrus ili spyware ali gadan! POMOC!
Pre svega zamolio bih moderatore da mi ne brisu post zbog pominjanja "Adobe Acrobata 7 sa keygenom", jer je neopohodno da ga pomenem! :)

Dakle posle sveže reinstalacije Win XPa SP2, instalirao sam Autopatcherom za may 2006 sve potrebne update, LookNStop firewall i Kaspersky Antivirus 6.00.300 (uglavnom final verziju).
Sve je bilo OK dok nisam skinuo gorepomenuti torrent, instalirao ga i pokušao da pokrenem Keygen...pri pokretanju keygena ništa se nije desilo, odmah sam pomislio da je trojanac i skenirao ceo folder Kasperskyjem i NIŠTA!
Posle restarta računara firewall je detektovao da keygen.exe hoće da se poveže na internet, ja sam to odbio i onda otkrio da mi je homepage u IEu siv tj da ne može da se promeni, i da su mi "disabled by administrator" tj onemogućeni MSCONFIG, REGEDIT i TASKBAR... (uvek mi izbaci tu poruku)
E da keygen.exe se pojavio u folderu Program Files\windowsupdate\keygen.exe (koji sam obrisao iz safemoda ali i u njemu su mi ova 3 od gore disableovana)
Napominjem da KAV, AdAware i Spybot ne nalaze ništa od spywarea i virusa na celom kompu!
POMOĆ! :zgran:
Autoru:  Pirossi [ 25.05.2006. 12:17:54 ]
Tema posta: 
Prvo, kao u "Autostopersko vodiču kroz galaksiju - NE PANIČI :)

Ukoliko ti ne dozvoljava da pozoveš Task Manager sa Ctrl-Alt-Delete restartuj F8 pa idi u Safe mode i probaj tamo isto.

... ili, još, elegantnije rešenje, skini sa http://ghisler.fileburst.com/fsplugins/procfs.zip plugin za Total Commander koji dozvoljava da (privremeno) gasiš procese kao da brišeš fajlove. Nađi sumnjive procese i isključi ih.

Dakle poenta je da prvo isključiš proces koji te muči tj. koji ti brani pristup svemu a posle gosposdski odeš u Msconfig i u Startup delu ga otčekiraš.

Simple as cooked beans.

edit:
Evo ti lista esencijalnih procesa na WinuXP (kod mene) koje ne bi trebalo da ugasiš preko onog plugina, sve ostalo možeš. Možda je jedino Kasperski zaštićen od ovakvog isključivanja - njega ćeš ručno:
Citiraj:
alg.exe
csrss.exe
explorer.exe
lsas.exe
nvsvc32.exe (ukoliko imaš NVidia grafičku)
services.exe.
smss.exe
svchost.exe (i njegove inkarnacije)
System.exe
vsmon.exe
wdmon.exe
Autoru:  Ripper [ 25.05.2006. 14:38:42 ]
Tema posta: 
Probao sam i u Safe modu da skeniram KAVom 6 ali nista nije nasao! MSCONFIG nije zabranjen od administratora nego IZBRISAN!!! :aaa:
A skinuo sam plugin za Total Commander i 2 procesa su mi bila sumnjiva "System" i "System Process" jer kada ih pregledam sa F3 za poreklo stoji "???" a za datum nesto tipa "16.06.1601." za sve ostale procese stoji 25. maj 2006. !
E sad problem je sto ne mogu da ubijem nijedan od njih ni iz TCa ni iz Task Managera u Safe modu!
Napominjem MSCONFIG je skroz obrisan!
AUuuu...
Autoru:  Pirossi [ 25.05.2006. 14:55:37 ]
Tema posta: 
au, džebote, šta si ti zakačio?!

koju verziju WinXP-a imaš? Običan? SP1? SP2?

ovi imaš msconfig da downloaduješ:
http://www.spywareinfo.com/~merijn/winfiles.html

btw, ukoliko imaš instalacioni disk XP-a trebalo bi da probaš sa repair opcijom. tako ćeš zadržati sve instalirane programe i podešavanja.

edit:
oh da, i molim te baci, baci taj KAV ili se ne pouzdaj u njega. to ti je smeće.

edit2:
proučavajući tvoj problem nađoh i na ovaj prog:
Citiraj:
xp_emegencyutil.exe - Creates usable copies of REGEDIT, MSCONFIG and Task Manager
v1.2 - 07/26/2004
© Doug Knox

This small VB 6 utility will create a usable backup copy of Taskmgr.exe, MSConfig.exe and Regedit.EXE in a new folder, called C:\EmergencyUtils. The new copies will be named Copy_of_Taskmgr.exe, Copy_of_MSConfig.exe and Copy_of_Regedit.com.

These programs are extremely helpful, and usually necessary in helping to rid your computer of a viral infection. Many virus programs will intercept these programs, based on their original file name, and prevent them from running. The alternate copies will not encounter this problem. Simply navigate to the C:\EmergencyUtils folder and double click the file you need to run


naravno, ovo tek kad rešiš problem sa virusom, ili trojancem, whatever.
Autoru:  Bageri [ 25.05.2006. 15:21:17 ]
Tema posta: 
Mozes da koristis TaskInfo(http://www.iarsn.com/taskinfo.html).

Sa njim mozes da vidis sve procese na kompu(skroz sve, cak i npr. start menu), pretrazi kroz njega i nadji taj keygen.

Ubi ga iz njega. Ako ti bude restartovao win nemaj brige. To samo znaci da je zakacen na neki od esencijalnih procesa (cesto na winlogon), pa da ne moze da ga ugasi bez gasenja sistema. Posle restarta startovace OS bez njega i mozes bez problema da ga fizicki uklonis.
Autoru:  Ripper [ 25.05.2006. 18:00:46 ]
Tema posta: 
Heh...sad MsConfig sam oporavio tj kopirao sa onog linka i on ga vise ne brise... ali u njemu se nista sumnjivo ne vidi!

Ponovo mi je napravio winupdates folder (koji sam izbrisao ranije iz safe moda) samo ovog puta HIDDEN!!! (Ljudi taj glupi keygen je imao samo 9 kb a pravi cuda! :aaa )

Regedit i taskmanager su u normal modu i dalje blokirani...
Jednom mi je ubio i ceo Win sa plavim ekranom i kad sam posle restarta pogledao u history-ju firewall sta se desilo napisao mi je
"...nesto u fazonu da je kom pokusao da se poveze sa samim sobom mulitple times i da je zato pukao !!!!! "

Tako da se ja vise ne nerviram nego sam impresioniran!....

Posto ga nista ne nalazi ide reinstall ovog svezeg XPa pa sta da se radi...
Autoru:  Painbringer [ 25.05.2006. 18:32:26 ]
Tema posta: 
Postoji velika sansa da je u pitanju neki rootkit.
Deluje tako jer ti je, najverovatnije, hakovan Administrator nalog (buduci da ne mozes da pokreces MSCONFIG i REGEDIT). Usput, ako je rootkit u pitanju, nema sanse da "vidis" te procese, jer su oni skriveni (rootkit presrece sve pozive koji se upucuju OS-u i prosledjuje ih sebi, pa onda odlucuje sta da radi s njima).
Pogledaj da li na internetu postoje neki anti-rootkit alati koje mozes da skines.
Najverovatnije je modifikovana i citava boot sekvenca, ali se u MSCONFIG-u to ne primecuje, jer rootkit odredjuje sta ces videti a sta ne.
Autoru:  Pirossi [ 25.05.2006. 18:37:01 ]
Tema posta: 
bez obzira o kakvom se visprenom (a zlonamernom) programu radi on mora da opstavlja negde tragove i mora da se izvrši tj. pokrene.

ne bi bilo loše i da skeniraš aktivne procese sa odličnim programom HijackThis (trenutna verzija 1.99.1)

da nije možda ovaj crv tvoj nemesis:
W32/Alcra-b
Ukoliko jeste evo i saveta za uklanjanje:
How to remove W32/Alcra-b

e sad, nisi nam rekao ni da si skoro instalirao win. onda i nemaš puno posla.
ja moj ne bih reinstalirao ni za karton vinjaka.

offtopic:
Pain, burazeru, fotka je zakon ali je malo spam-asta i "javlja" mi se da ti neće dugo stajati u potpisu ::D
Autoru:  Ripper [ 25.05.2006. 20:12:45 ]
Tema posta: 
Ode Windows, odoše i problemi! Ljudi hvala vam na pomoći ali nekako mi 2 sata reinstalacije pravi manje problema nego čačkanje!
Ovom virusčiću svaka čast! Nikad bolji tj gori nisam video! (a nadam se i da neću) Ukoliko neko hoće da ga analizira neka skine Adobe Acrobat 7 torrent sa www.torrentz.com 10tak dana star i analizira keygen.exe... Mogao bi da posluži i kao diplomski na FONu :))

Nadam se da je ovo kraj mojih muka... :)
Autoru:  Pirossi [ 25.05.2006. 20:15:16 ]
Tema posta: 
još da počneš da koristiš legalan softver ::D
Autoru:  Painbringer [ 25.05.2006. 22:09:20 ]
Tema posta: 
@Pirossi:
Hvala na komplimentima, bas sam se trudio da pronadjem neku dobru sliku! Inace, na tom sajtu se nalayi jedna fenomenalna galerija sa zaista sjajnim slikama.
Autoru:  RazbojNick [ 25.05.2006. 22:12:19 ]
Tema posta: 
Ripper je napisao:
Ode Windows, odoše i problemi! Ljudi hvala vam na pomoći ali nekako mi 2 sata reinstalacije pravi manje problema nego čačkanje!
Ovom virusčiću svaka čast! Nikad bolji tj gori nisam video! (a nadam se i da neću) Ukoliko neko hoće da ga analizira neka skine Adobe Acrobat 7 torrent sa www.torrentz.com 10tak dana star i analizira keygen.exe... Mogao bi da posluži i kao diplomski na FONu :))

Nadam se da je ovo kraj mojih muka... :)

Ne zaboravi da ponovo instaliras Adobe Acrobat i registrujes ga :mrgreen: :mrgreen:
Autoru:  Ripper [ 25.05.2006. 22:34:06 ]
Tema posta: 
$#%$#$ni Adobe Acrobat...sad cu da skinem Acrobat Reader ko i sav normalan svet... :) Uzgred Windows je svez, cist i updateovan tako da se nadam da je taj glupi (tj prepametni :D ) virus history!
Autoru:  Luda Ameba [ 25.05.2006. 22:47:02 ]
Tema posta: 
NOD32 naravno orginal ;)
Autoru:  Milex [ 25.05.2006. 23:37:14 ]
Tema posta: 
Sad će on naći neki keygen za NOD preko torrenta... :lol:
Autoru:  RazbojNick [ 26.05.2006. 08:52:54 ]
Tema posta: 
Ripper je napisao:
$#%$#$ni Adobe Acrobat...sad cu da skinem Acrobat Reader ko i sav normalan svet... :) Uzgred Windows je svez, cist i updateovan tako da se nadam da je taj glupi (tj prepametni :D ) virus history!

Skini FoxIt Reader (~1.20 MB).
Stranica 1 od 1 Sva vremena su u UTC + 1 sat
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/