Ne znam kako da nazovem ovaj virus

1

Ne znam kako da nazovem ovaj virus

offline
  • Pridružio: 14 Nov 2003
  • Poruke: 324

Naime, stvarno ne znam u koju vrstu spada ovaj moj problem...u spyware, malware, klasičan virus ili nešto deseto.

Naime, juče sam na USB disk odneo kod jednog lika neke fajlove da prebacimo na njegov komp.
U toku prebacivanja jednostavno je njegov komp zakovao, a on mi je tada rekao da ima dan-dva kako ga zeza nešto.
Posle toga ja sam došao kući i na svoj komp priključio taj moj USB disk da obrišem ono što sam odneo do njega.
Pored tog foldera koji sam odneo, postojao je još jedan folder sa istim imenom ali i dodatkom u imenu DATA.
Kada sam kliknuo da vidim šta ima unutra, jednostavno mi je otvorio My Documents.

Posle toga u My Documents a i u tom folderu koji sam odneo kod njega jednostavno se umnožavaju folderi.
Znači, ako se neki folder zove SLIKE, automatski se u tom folderu nalazi još jedan folder sa istim imenom koji se isto tako zove. Kada kliknem na njega otvara mi se My Documents.
Kada sam kliknuo desnim tasterom, vidim da je taj folder ustvari .exe fajl.

Pitanje je:
Kako se zovu ovi nazovi virusi i koje mere da preduzmem?

Ja imam Avast Antivirus Professional (legalno nabavljen) i instalirao sam SpyDoctor najnoviju verziju (legalno nabavljenu).
Ovaj avast ništa ne nalazi, a SpyDoctor je našao neke sumnjive fajlove u Temporary Internet Folderu i obrisao ih, a problem je i dalje prisutan.
Sve sam obrisao, a problem je i dalje tu.

Šta preduzeti?

Hvala unapred



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Prvo, odi na neki od sajtova za online skeniranje, spominjali smo sajtove na koje mozes uploadovati fajl i oni ga proskeniraju razlicitim AV programima.
Pretrazi forum za izrazom Jotti, nacices temu.

E, kada saznas sta si zaglavio, mozda ce biti lakse da se nadje i resenje.
Pomogao bih ti vise, ali nisam za svojim kompom, pa nemam nista pri ruci sto mi treba.



offline
  • Pridružio: 14 Nov 2003
  • Poruke: 324

Hvala bobby, sada sam na poslu, pa ću popodne da vidim.
Fazon je u tome da vidim da mi se taj nazovi virus nije "zavukao" među hard diskove, a imam ih 3 (tri) komada, i preko 300 GB podataka. Ko će da ih sve pretraži i da vidi da li se umnožavaju sami od sebe.

Dopuna: 05 Jun 2006 17:07

Evo ovako:
Došao sam sa posla, iznerviran sam GHOSt-irao sistem (već skoro dve godine držim backup sistemske particije u GHOST fajlu), onda sam malo komp skenirao STINGER-om i HijackThis-om i sada je, čini mi se, sve OK.

Evo postujem i log fajl HijackThis-a:

Logfile of HijackThis v1.99.1
Scan saved at 4:40:16 PM, on 6/5/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\CAPRPCSK.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRAMS\Internet\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Eldar\Desktop\HijackThis.exe

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\System32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,83/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,20/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A011BA1C-B23B-47C7-9103-3FB1905AF896}: NameServer = 82.114.64.3,82.114.64.4
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Izgleda mi OK ovaj log.

offline
  • Pridružio: 07 Jan 2006
  • Poruke: 192
  • Gde živiš: Wien-Leskovac

Imao sam slican problem sa dokumentima u Word-u.Znaci svaki put kad otvorim dokument odah se pojavljivao jos jedan tj.duplirao.Mislim da se radi o Trojan dropper-u.Ubio sam ga sa Kasperskym al mi je nelogicno sto ga je pronasao tek posle nekoliko meseci.A full scan radim dva puta nedeljno

offline
  • Durad 
  • Novi MyCity građanin
  • Pridružio: 29 Maj 2006
  • Poruke: 18

Probaj da sneniras sa Dr.Web CureIT posto ako imas virus to po nekad nece biti prikazano i HijackTHis.
Mozes probati i BlackLight rootkit scanner mada Dr.Web ima i to.

offline
  • SVITAC 
  • Legendarni građanin
  • Pridružio: 28 Apr 2003
  • Poruke: 5919
  • Gde živiš: Beograd

Corleone ::
Znači, ako se neki folder zove SLIKE, automatski se u tom folderu nalazi još jedan folder sa istim imenom koji se isto tako zove. Kada kliknem na njega otvara mi se My Documents.
Kada sam kliknuo desnim tasterom, vidim da je taj folder ustvari .exe fajl.


Tebi je isključeno prikazivanje extenzija za (Windows) poznate vrste fajlova.
Ja bih ti preporučio da to prikazivanje uključiš.

Kad nađeš taj dupli folder odnosno fajl sa *.exe nastavkom .. zipuj ga i pošalji mi na PP .. ili mail .. ako ga već nisi testirao na neki web av skener ..

Imao sam nekoliko slučaja u fotografskim radnjama u beogradu da se
sretnem sa sličnim simptomima ali bez posledica .. osim proste reprodukcije. Ne da su kompjuteri i memorijske kartice bile 'zaražene'
već i sami fotoaparati koje su koristili i povremneo povezivali sa kompjuterom.

Moj ti je savet i da izbrišeš sadržaj TEMP foldera kako korisničkog:
"C:\Documents and Settings\(tvoj user name)\Local Settings\Temp"

Tako i onog windows'ovog:
C:\WINDOWS\Temp

offline
  • Pridružio: 14 Nov 2003
  • Poruke: 324

Momci, hvala vam na odgovorim a i trudu da pomognete.
Za sada mi sve deluje OK.
Skenirao sam komp i Avastom, i Dr. Webom i Stingerom i HijackThisom i SpyDoctorom i za sada je sve OK.

Ako opet počne da se javlja ili ako primetim nešto, javljam se za pomoć.

@SVITAC:
Jesam, te foldere praznim par puta dnevno.

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Sada sam nesto gledao, crv Bagle.g ima istu ikonicu kao folderi u Exploreru. Ovo cisto za informaciju.

offline
  • Pridružio: 14 Nov 2003
  • Poruke: 324

Napokon sam ga ponovo uhvatio....ovaj put Kaspersky je bio "lovac".

Evo screenshot:


Sada je sve OK.
Specijalnost ovih virusa je da "napada" USB diskove i da napravi jedan ključ u registry bazi, tako da se umnožava bez obzira koliko brisali tih foldera.

Ko je trenutno na forumu
 

Ukupno su 954 korisnika na forumu :: 14 registrovanih, 7 sakrivenih i 933 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: bestguarder, ladro, laki_bb, Lazarus, MikeHammer, nenad81, Parker, sickmouse, SlaKoj, Srky Boy, Trpe Grozni, W123, Zimbabwe, zzapNDjuric99