Molim pomoc :(!!!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Sve sam uradila, sigurno je odradjena i dezinfekcija sa Flash_disinfectorom.
Sto se tice tih ostalih fajlova, poslala sam dva, ostala tri ne postoje.


I da, sto se tice onog problema kod ucitavanja Windowsa radi cega sam i pocela sve ovo je rijeseno, Windowsi se normalno ucitavaju, sve je ok, barem tako izgleda za sada. Trebam li jos koji log postaviti?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Dobio sam samo sledeci fajl:
C:\WINDOWS\system32\drivers\szu9c5.sys

Sledeci fajl mi je takodje bitan ako je to taj koji si jos nasla:
C:\WINDOWS\system32\DRIVERS\w8z26zar.sys

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

I drugi sam cini mi se bila poslala, ali evo opet

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

I opet ga nema. Moguce je da taj fajl ima neku zastitu protiv kopiranja.
Probaj da ga kod sebe spakujes u ZIP, i da posaljes taj ZIP.

Mislim da imamo posla sa novim tipom malwarea koji radi na nivou drajvera.
Trazim upload jer ne zelim da ti napamet kazem da ga obrises, pa da ispadne da je to drajver za eki tvoj hardver (i ako je jako mala mogucnost da je u pitanju legitiman drajver).

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ma nema problema, poslat cu ga jos 500 puta ako terba, samo da se rijesim ovoga . Ali, ne mogu ga spakirati nikako, uvijek mi govori da ga koristi nei program,a i kopiranje je zabranjeno. Da brisem naslijepo ili?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Skini Catchme sa sledeceg linka:
http://files.thespykiller.co.uk/catchme.exe

Klikni gore na tab Script i u polje za unos teksta iskopiraj sledeci tekst:

files:
C:\WINDOWS\system32\DRIVERS\w8z26zar.sys

Nakon toga klikni na dugme Run.
Ukoliko je Catchme uspeo da ga iskopira, onda ces na Desktopu imati fajl Catchme.zip. Uploaduj njega preko forme sa sledeceg linka:
http://www.mycity.rs/ambulanta-upload.php

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

OK, poslala sam

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Poslao sam na analizu. Javljam cim stigne neki odgovor.

Dopuna: 13 Okt 2007 9:33

Da javim da nisam zaboravio na ovu temu.
Autor programa GMER mi je javio da ovi drajveri presrecu upisivanje u registry bazu, kao i citanje iz nje.
Razmisljam sada sta i kako da uradimo, a da ne zeznem nesto posto ovo nije neminovno maliciozno, ali teoretski takav drajver moze da sluzi da spreci HijackThis da napravi potpun log.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

OK, nista, ja evo cekam. Samo polako

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Skini program Avenger sa sledeceg linka:
http://swandog46.geekstogo.com/avenger.zip

Na prvom ekranu selektuj Input script manually pa klikni na ikonicu lupe.
U prozoru koji ce se pojavi unesi sledeci tekst:
drivers to unload:
w8z26zar
szu9c5

Klikni na dugme Done.
Vratice te na prvi ekran gde je sada potrebno kliknuti na ikonicu semafora.

Nisam siguran da li ce da ti zatrazi restart, ali sta god da zatrazi to uradi, pa kada Avenger zavrsi svoje ti skini ponovo ComboFix (maltene svakog dana izlazi nova verzija), skeniraj njime i postavi ovde log.
Postavi i novi HijackThis log.