Poslao: 05 Jun 2006 09:39
|
offline
- Corleone
- Ugledni građanin
- Pridružio: 14 Nov 2003
- Poruke: 324
|
Naime, stvarno ne znam u koju vrstu spada ovaj moj problem...u spyware, malware, klasičan virus ili nešto deseto.
Naime, juče sam na USB disk odneo kod jednog lika neke fajlove da prebacimo na njegov komp.
U toku prebacivanja jednostavno je njegov komp zakovao, a on mi je tada rekao da ima dan-dva kako ga zeza nešto.
Posle toga ja sam došao kući i na svoj komp priključio taj moj USB disk da obrišem ono što sam odneo do njega.
Pored tog foldera koji sam odneo, postojao je još jedan folder sa istim imenom ali i dodatkom u imenu DATA.
Kada sam kliknuo da vidim šta ima unutra, jednostavno mi je otvorio My Documents.
Posle toga u My Documents a i u tom folderu koji sam odneo kod njega jednostavno se umnožavaju folderi.
Znači, ako se neki folder zove SLIKE, automatski se u tom folderu nalazi još jedan folder sa istim imenom koji se isto tako zove. Kada kliknem na njega otvara mi se My Documents.
Kada sam kliknuo desnim tasterom, vidim da je taj folder ustvari .exe fajl.
Pitanje je:
Kako se zovu ovi nazovi virusi i koje mere da preduzmem?
Ja imam Avast Antivirus Professional (legalno nabavljen) i instalirao sam SpyDoctor najnoviju verziju (legalno nabavljenu).
Ovaj avast ništa ne nalazi, a SpyDoctor je našao neke sumnjive fajlove u Temporary Internet Folderu i obrisao ih, a problem je i dalje prisutan.
Sve sam obrisao, a problem je i dalje tu.
Šta preduzeti?
Hvala unapred
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
Poslao: 05 Jun 2006 10:35
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Prvo, odi na neki od sajtova za online skeniranje, spominjali smo sajtove na koje mozes uploadovati fajl i oni ga proskeniraju razlicitim AV programima.
Pretrazi forum za izrazom Jotti, nacices temu.
E, kada saznas sta si zaglavio, mozda ce biti lakse da se nadje i resenje.
Pomogao bih ti vise, ali nisam za svojim kompom, pa nemam nista pri ruci sto mi treba.
|
|
|
|
Poslao: 05 Jun 2006 16:07
|
offline
- Corleone
- Ugledni građanin
- Pridružio: 14 Nov 2003
- Poruke: 324
|
Hvala bobby, sada sam na poslu, pa ću popodne da vidim.
Fazon je u tome da vidim da mi se taj nazovi virus nije "zavukao" među hard diskove, a imam ih 3 (tri) komada, i preko 300 GB podataka. Ko će da ih sve pretraži i da vidi da li se umnožavaju sami od sebe.
Dopuna: 05 Jun 2006 17:07
Evo ovako:
Došao sam sa posla, iznerviran sam GHOSt-irao sistem (već skoro dve godine držim backup sistemske particije u GHOST fajlu), onda sam malo komp skenirao STINGER-om i HijackThis-om i sada je, čini mi se, sve OK.
Evo postujem i log fajl HijackThis-a:
Logfile of HijackThis v1.99.1
Scan saved at 4:40:16 PM, on 6/5/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\CAPRPCSK.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRAMS\Internet\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Eldar\Desktop\HijackThis.exe
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\System32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,20/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A011BA1C-B23B-47C7-9103-3FB1905AF896}: NameServer = 82.114.64.3,82.114.64.4
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
|
|
|
|
|
Poslao: 05 Jun 2006 17:39
|
offline
- Pridružio: 07 Jan 2006
- Poruke: 192
- Gde živiš: Wien-Leskovac
|
Imao sam slican problem sa dokumentima u Word-u.Znaci svaki put kad otvorim dokument odah se pojavljivao jos jedan tj.duplirao.Mislim da se radi o Trojan dropper-u.Ubio sam ga sa Kasperskym al mi je nelogicno sto ga je pronasao tek posle nekoliko meseci.A full scan radim dva puta nedeljno
|
|
|
|
Poslao: 05 Jun 2006 18:05
|
offline
- Durad
- Novi MyCity građanin
- Pridružio: 29 Maj 2006
- Poruke: 18
|
Probaj da sneniras sa Dr.Web CureIT posto ako imas virus to po nekad nece biti prikazano i HijackTHis.
Mozes probati i BlackLight rootkit scanner mada Dr.Web ima i to.
|
|
|
|
Poslao: 05 Jun 2006 18:05
|
offline
- SVITAC
- Legendarni građanin
- Pridružio: 28 Apr 2003
- Poruke: 5919
- Gde živiš: Beograd
|
Corleone ::
Znači, ako se neki folder zove SLIKE, automatski se u tom folderu nalazi još jedan folder sa istim imenom koji se isto tako zove. Kada kliknem na njega otvara mi se My Documents.
Kada sam kliknuo desnim tasterom, vidim da je taj folder ustvari .exe fajl.
Tebi je isključeno prikazivanje extenzija za (Windows) poznate vrste fajlova.
Ja bih ti preporučio da to prikazivanje uključiš.
Kad nađeš taj dupli folder odnosno fajl sa *.exe nastavkom .. zipuj ga i pošalji mi na PP .. ili mail .. ako ga već nisi testirao na neki web av skener ..
Imao sam nekoliko slučaja u fotografskim radnjama u beogradu da se
sretnem sa sličnim simptomima ali bez posledica .. osim proste reprodukcije. Ne da su kompjuteri i memorijske kartice bile 'zaražene'
već i sami fotoaparati koje su koristili i povremneo povezivali sa kompjuterom.
Moj ti je savet i da izbrišeš sadržaj TEMP foldera kako korisničkog:
"C:\Documents and Settings\(tvoj user name)\Local Settings\Temp"
Tako i onog windows'ovog:
C:\WINDOWS\Temp
|
|
|
|
Poslao: 05 Jun 2006 21:13
|
offline
- Corleone
- Ugledni građanin
- Pridružio: 14 Nov 2003
- Poruke: 324
|
Momci, hvala vam na odgovorim a i trudu da pomognete.
Za sada mi sve deluje OK.
Skenirao sam komp i Avastom, i Dr. Webom i Stingerom i HijackThisom i SpyDoctorom i za sada je sve OK.
Ako opet počne da se javlja ili ako primetim nešto, javljam se za pomoć.
@SVITAC:
Jesam, te foldere praznim par puta dnevno.
|
|
|
|
Poslao: 06 Jun 2006 17:00
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Sada sam nesto gledao, crv Bagle.g ima istu ikonicu kao folderi u Exploreru. Ovo cisto za informaciju.
|
|
|
|
Poslao: 09 Jun 2006 11:56
|
offline
- Corleone
- Ugledni građanin
- Pridružio: 14 Nov 2003
- Poruke: 324
|
Napokon sam ga ponovo uhvatio....ovaj put Kaspersky je bio "lovac".
Evo screenshot:
Sada je sve OK.
Specijalnost ovih virusa je da "napada" USB diskove i da napravi jedan ključ u registry bazi, tako da se umnožava bez obzira koliko brisali tih foldera.
|
|
|
|