Problem

Problem

offline
  • Pridružio: 04 Jul 2012
  • Poruke: 3
  • Gde živiš: Banja Luka

Napisano: 04 Jul 2012 16:57

Pozdrav svima.
Imam jedan problem koji me vec neko vrijeme muci pa bi mi bilo drago kad bi neko pomogao.
Dakle radi se o ovome.
Vec dva mjeseca sam primijetio da se sa racunarom nesto drugo desava.
Najprije je to pocelo sa jnestajanjem pojedinih .exe ikonica no to sam zanemario (mislio nije nista strasno).Nakon nekog vremena problem je sve vise postajao ozbiljniji pa je tako i vecina mojih exe datoteka bivala zarazena.Jednostavno nestane sa desktopa ili ju ocita kao da uopste ne postoji (programi,igrice itd...).Sam se restartuje.
Trazeci na google-u pronadjem moguci problem.Win32Sality koji zarazi sve aktivne exe datoteke u sistemu.Programi su sporije radili,sporije je otvaralo foldere i ostalo.
Problem sam pokusavao rijesiti sa SalityKiller koji "lijeci" zarazene fajlove.
Ali i to je kratko trajalo..problemu nikad kraja.
Pokusavao sam problem rijesiti i sa MBAM-om ali uzalud.
Sta vise moguce je da sve ovo izaziva i drugi problem ali ni ja sam nisam siguran te sam odlucio da pomoc potrazim na vasem forumu koji sam dobro prosudio po temama u Ambulanti nadati se da ce i meni ovde biti od pomoci.
Koristim kablovski internet 3048/256 kb/ps.


.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 10.5.1
Run by Savanovic at 2:40:25 on 2012-07-04
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1033.18.511.53 [GMT -12:00]
.
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
D:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
svchost.exe
C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
d:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Documents and Settings\Savanovic\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Savanovic\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Savanovic\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Savanovic\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Java\jre7\bin\javaw.exe
d:\Program Files\Hard Disk Sentinel\HDSentinel.exe
C:\Documents and Settings\Savanovic\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Savanovic\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Savanovic\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
.
============== Pseudo HJT Report ===============
.
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\oracle\javafx 2.1 runtime\bin\ssv.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\oracle\javafx 2.1 runtime\bin\jp2ssv.dll
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [Google Update] "c:\documents and settings\savanovic\local settings\application data\google\update\GoogleUpdate.exe" /c
uRun: [DAEMON Tools Pro Agent] "d:\program files\daemon tools pro\DTAgent.exe" -autorun
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [nwiz] nwiz.exe /install
mRun: [WinSys2] c:\windows\system32\winsys2.exe
mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [SkyTel] SkyTel.EXE
mRun: [Alcmtr] ALCMTR.EXE
mRun: [Malwarebytes' Anti-Malware] "d:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [Hard Disk Sentinel] "d:\program files\hard disk sentinel\HDSentinel.exe" /AUTORUN
mPolicies-system: EnableLUA = 0 (0x0)
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
TCP: DhcpNameServer = 217.23.192.9 217.23.192.14
TCP: Interfaces\{05EA2B82-B72F-4F61-B092-B0A04C80442C} : DhcpNameServer = 217.23.192.9 217.23.192.14
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\wpdshserviceobj.dll
SecurityProviders: msapsspc.dll, schannel.dll, credssp.dll, digest.dll, msnsspc.dll
.
============= SERVICES / DRIVERS ===============
.
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [2012-7-3 242240]
R2 MBAMService;MBAMService;d:\program files\malwarebytes' anti-malware\mbamservice.exe [2012-7-3 654408]
R3 amsint32;amsint32;\??\c:\windows\system32\drivers\nkgjj.sys --> c:\windows\system32\drivers\nkgjj.sys [?]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-7-3 22344]
S4 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys --> c:\windows\system32\drivers\mbamswissarmy.sys [?]
.
=============== Created Last 30 ================
.
.
==================== Find3M  ====================
.
2012-07-04 14:20:35   103140   ----a-w-   C:\lqox.pif
2012-07-04 08:05:00   242240   ----a-w-   c:\windows\system32\drivers\dtsoftbus01.sys
2012-07-04 07:52:19   315392   ----a-w-   c:\windows\HideWin.exe
2012-05-05 07:29:50   143872   ----a-w-   c:\windows\system32\javacpl.cpl
2012-05-05 07:29:22   772504   ----a-w-   c:\windows\system32\npDeployJava1.dll
2012-05-05 07:29:16   687504   ----a-w-   c:\windows\system32\deployJava1.dll
.
============= FINISH:  2:41:22.65 ===============


mycity.rs/must-login.png



Kada pokrenem sneniranje GMER-om automatski se restartuje sto mi ne dozvoljava da do kraja bavim posao.
Ako uspije postavim naknadno.

Dopuna: 04 Jul 2012 17:00

MBAM log:


mycity.rs/must-login.png

Dopuna: 04 Jul 2012 17:06

RootRepeal log:


mycity.rs/must-login.png

rip
  • argus  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 27 Apr 2008
  • Poruke: 9160
  • Gde živiš: Prokuplje

Ovako stoje stvari. Sality je jos uvek aktivan.

Mi u ambulanti ne cistimo Sality virus jer ga je nemoguce ocistiti iz aktivnog Windowsa. Dobices uputstvo kako da se najbrze i najsigurnije oslobodis tog virusa (fajl infektora).


Virus Sality je inficirao sve particije.


Potrebno je uraditi sledece:


Formatirati sistemsku particiju, obicno je to C:\

Kad zavrsi instalacija Operativnog Sistema nikako ne otvarati druge particije, da ne bi doslo do reinfekcije.

Instalirati drajver za Lan (pozeljno sa CD-a), ukoliko nemas CD, preuzeti drajver sa interneta, sa drugog racunara i narezati na CD (ne na flash drive).
Instalirati drajver da bi dobio internet konekciju.
Kod OS Windows7 obicno je Lan vec u funkciji, jer Windows7 poseduje genericke drajvere za mrezu.

Preuzeti sa interneta na desktop Antivirus, instalirati i skenirati kompletan HDD (sve particije).

Brisati sve sto Antivirus nadje.

Nakon toga nastaviti instalaciju drajvera i programa.


-------------------------------------------


Postoji velika verovatnoca da su flash drajvovi (ukoliko ih imas) zarazeni ovim virusom.

Preporučujem ti da koristiš program MCShield za zaštitu USB memorijskih uređaja.

Program možeš preuzeti sa ovog linka. Nakon instalacije priključiš USB memorijske uređaje, koji će biti skenirani. Na kraju skeniranja ćeš dobiti izveštaj da je uređaj čist ili obaveštenje o uklonjenom malware-u



Ukoliko imas neko pitanje slobodno pitaj.


.

offline
  • Pridružio: 04 Jul 2012
  • Poruke: 3
  • Gde živiš: Banja Luka

Napisano: 04 Jul 2012 18:13

Koji mi je AntiVirus u ovom trenutku najpouzdaniji ?

Dopuna: 04 Jul 2012 18:16

Sistemsku particiju mogu da formatiram.
Da li isto moram i sa ostale dvije posto na njima imam muzike,filmova i ostalog...?

rip
  • argus  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 27 Apr 2008
  • Poruke: 9160
  • Gde živiš: Prokuplje

Napisano: 04 Jul 2012 18:36

Ja licno za uklanjanje ove infekcije koristim Avast i koristim boot time scan opciju koju doticni poseduje.
Svi relevantni antivirusi uklanjaju Sality, ali tek posle formatiranja sistemske particije (uputstvo).

Citat:Da li isto moram i sa ostale dvije posto na njima imam muzike,filmova i ostalog...?

Ne moras, vazno je da ne otvaras te particije pre nego ih antivirus ne skenira i ocisti.


Problem zbog cega je nemoguce ocistiti Sality iz aktivnog Windowsa je taj, sto prilikom instalacije i sam antivirus bude inficiran, znaci neupotrebljiv u daljem radu.
Prilikom formata i instalacije novog Windowsa isti nije zarazen, pa je samim tim i instalacija antivirusa bezbedna i on postaje efikasan.

Postoji i varijanta da narezes neki resque AV na CD i da skeniras HDD, ali to traje dugo a ishod je neizvestan. Pitanje je da li ce Windows raditi kako treba posle takvog tretmana.

Dopuna: 04 Jul 2012 18:37

Filmovi, muzika, slike, dokumenta, nisu zarazena Salityem.

offline
  • Pridružio: 04 Jul 2012
  • Poruke: 3
  • Gde živiš: Banja Luka

Napisano: 04 Jul 2012 19:11

Evo odradio sam formatiranje sistemske particije.
Radim sve po uputstvu.
Instalirao sam Aviru i upravo mi skenira kompletne particije.
Nisam otvarao nista prije skeniranja dok mi to potpuno ne odradi.
Za sada nista nije pronaslo od infekcija.
Budem u toku i javim rezultate.
Inace HVALA TI PUNO !

Dopuna: 04 Jul 2012 21:31

Ovako.
Odradio sam sve po uputstvu.
Skinuo Avast i odradio kompletno skeniranje.
Pronasao je infekcija tipa Sality i sve je obrisalo bez problema.
Aplikacije i programi koji ranije nisu mogli sada rade bez problema.
MCShield radi kao singerica Wink
Za sada mi kompic odlicno radi ako bude kakvih daljnjih problema ja javim.

Hvala mnogo na pomoci Wink

Respect +++++++

rip
  • argus  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 27 Apr 2008
  • Poruke: 9160
  • Gde živiš: Prokuplje

Nece biti problema, bez brige.

Ako imas flash memoriju, slobodno je proveri, MCShield ce odmah reagovati ukoliko je zarazena.


Pozdrav.

Ko je trenutno na forumu
 

Ukupno su 775 korisnika na forumu :: 37 registrovanih, 9 sakrivenih i 729 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3028 - dana 22 Nov 2019 07:47

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: A.R.Chafee.Jr., aljosa7, bobanrakidjic, BRATORIII, bulovic, celik, darkangel, dekir, doom83, Drug pukovnik, havoc995, hermann.kottmann, ikan, indja, ivan979, Khaless, Kos93, Marko Marković, mercedesamg, nebojsagogic, ozz2, Pakito93, Parker2, pein, Profica, proka89, repac, rovac, sokars, vasa.93, Vexon, vlvl, Voivoda, zdrebac2, zoranis, Živković, 79693