|
|||||||||||
22.08.2007., 02:06
|
#1 |
|
Premium
Datum registracije: Aug 2007
Lokacija: Zagreb,Sesvete
Postovi: 139
|
(riješeno) Žilavi virus - molim pomoć
Prije nekoliko dana skinuo sam s torrenta neke programe od kojih je jedan od njih bio virus, a ja sam prije toga iskopčao Avast av  . Iskočila je hrpa trojanaca (oko 20), ukopčao sam Avast, skenirao i sve ih je obrisao. Restartao sam komp, kad odjednom nije htio ući u win nego je stao na log on screenu. Jedino sam mogao ući kroz ALT+CTRL+DEL i na Run i Explorer naredbu. Kad sam se connectao na net, opet ista stvar, downloada se hrpa virusa, Avast ih sve poskida, ali ne i onaj glavni koji ih pokreće.Mislim si ja, nema veze, win su stari i spori i puknem novu instalaciju. Instalirao sam samo drivere da se mogu spojit na net, spojim se, kad opet isto - hrpa trojanaca (ali sad Avast nije bio instaliran). Restartam komp, ali ništa od ulaska u win već BSOD. Pretpostavio sam da se virus nakotio na nekoj 2.oj particiji (imam ih 3). Odlučio sam formatirat hard i opet nove win dignut. Sve je uspješno prošlo, na win sam sve drivere i programe instalirao i za zaštitu stavio Avast, Spybot,Zonealarm i Spyware Terminator. Spojio sam se na net, krenuo updateat ove programe kad ono opet - virusi (ali ovaj put samo 2). Ne shvaćam kako su uspjeli preživjet formatiranje harda  . I opet u win kod log on screena zapne, samo ALT+CTRL+DEL + RUN pa explorer.exe pali. I kad ostavim komp konektanim na net, pa restartam, pa uđem u win, Avast javlja hrpu 'Suspicious messagea (preko 100), kao da komp šalje e-mailove nekim sumnjivim adresama s kojih onda valjda skine viruse. Kako da se riješim virusa? -Os je Windows XP SP2 Home Edition, bez najnovijih updatea -Spybot je našao Virtumonde, neki txt file, izbrisao ga je i više ništa ne nalazi -kod connectanja na net se pojave 2 virusa: win32:small-gwm(trj) i win32:agent-hkj - Avast ih detektira i obriše i mogu normalno koristit komp sve dok su Zonealarm i Avast ukopčani, osim log on screen-a Hijackthis: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe C:\Program Files\Avast4\aswUpdSv.exe C:\Program Files\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\Spyware Terminator\sp_rsser.exe C:\Program Files\Avast4\ashMaiSv.exe C:\Program Files\Avast4\ashWebSv.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe C:\Program Files\ZoneAlarm\zlclient.exe C:\PROGRA~1\Avast4\ashDisp.exe C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\WinClamAVShield\sp_clamsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\TEMP\VRR10.tmp C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Semper\Desktop\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.hgspot.hr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.hgspot.hr R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" O4 - HKLM\..\Run: [UnlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Windows Framework] C:\WINDOWS\TEMP\frmwrk.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=www.hgspot.hr O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe (file missing) O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Program Files\WinClamAVShield\sp_clamsrv.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
|
22.08.2007., 07:36
|
#2 |
|
Beskorisna bitanga...
Datum registracije: Aug 2004
Lokacija: Sesvete (Zg)
Postovi: 6,956
|
Stari moj vjerojatno ti je zaraženo ono s čega si dizao te programe (ako si ubio sve particije onda neki DVD disk vjerojatno ili više njih jel tako?) a inače ima i mnogo programa koji imaju u svom sastavu trojance, posebno razni pirato releasi i neki mali programi, čak i vrlo popularni tipa BSPlayera, raznih Tweakera itd... Sad da ti dam prvo par savjeta... 1) NIKAD ne stavljaj dva ili više antivirusa (vidim da imaš win clam i avast) u isto vrijeme jer jedan drugome samo smetaju barem ne kao rezident, ako oćeš imati više njih stavi jednog kao rezident a ostale stavi samo za on demand skeniranje fajlova... Adaware/Malware/Spyware alati i Antivirusi se mogu kombinirati bez problema... 2) Ako skidaš s neta već stvari prvo ih preskeniraj sa Avastom sa zadnjim updateovima PRIJE nego ih pokrećeš... I ovako uvjek postoji šansa da je unutra nešto što još nije obrađeno i katalogizirano ali je puno manja... 3) Raznorazni winstlyeri i sl programi su ti pravo LEGLO gamadi a ionako njima useri obično klikaju dalje, dalje, dalje bez ikakvog razmišljanja (mislim dosta ljudi to i ovako radi ali ne tolko) samo da što prije vide svoju ljepu temicu... A kako rade i gomilu izmjena po low level sistem fajlovima - valjda ti nemoram crtati kako je lako tu ugradit i sakrit gamad... 4) Ne koristi IE posebno ne ako je verzija 6 jer to je katastrofično propusno za trojane i gamad koja ti preko njegovih zjapećih rupčaga ulazi direktno u komp i skoro nema šanse da prije ili kasnije nešto ne uđe kakvu god ostalu zaštitu koristio sa spyware s&d i adawareom i naravno nekim AV alatom je moguće malo popravit stvar ali ne pretjeano... Dakle ako baš nije životno bitno da je to IE onda koristi FF2 ili Operu... Tebi savjetujem sljedeće, ljepo ti odnesi te svoje backupe ili diskove kod nekog frenda koji zna kako se postupa sa takvom gamadi da ti sve to fino izskenira i da vidi što je zaraženo i što treba baciti... I onda sve strgati na disku i onda iće sve ponovo raditi... I to ne da samo formatiraš nego sve particije u onom setup screenu od windowsa di se bira destination obrisati i napraviti nove da se sve prepiše... Ako nemaš takvoga onda ti ne preostaje drugo nego sve opet preformatirati sam i instalirati sa mobo CDa najnužnije drivere sa službenih stranica skinuti te A-v i inealate BAZ ikakvih crackova i sl primjenjivati na njima samo čisti legit i to adaware, avast, spybot s&d minimalno mora bit gore u residentnoj formi dignuto i updateamo i izvrćena imunizacija u sbybotu... Onda skineš tweak UI i ugasiš u njemu Autostart za CDe i removable medija i onda možemo polakao početi skenirati na tvom kompu te diskove sa programima da se vidi di je gamad, i to skenirati jedan po jedan folder i jedan po jedan čisti program tj instalaciju vraćati na disk i kad si razdvojio što valja a što je zaraženo onda te DVDe zapali vani na malom oltaru...
__________________
-- Have a nice day... |
|
|
|
|
|
|
|
Oglas
|
|
|
22.08.2007., 17:52
|
#3 | |||
|
Premium
Datum registracije: Aug 2007
Lokacija: Zagreb,Sesvete
Postovi: 139
|
Citiraj:
Citiraj:
Pod 2: bila je moja greška jer sam iskopčao Avast da komp bude brži (win su bili stari preko godinu dana) Pod 3: winstyler je iz Tune-up Utilities-a 2006, pomoću njega sami ugasio većinu 'kozmetičkih' detalja u win - komp pokušavam održavati da bude što manje opterećen od beskorisnih programa i raznoraznih gluposti Pod 4: Firefox već odavno koristim - IE je tu samo radi win update-a Citiraj:
-btw, dok sam ovo pisao, iskočio mi je Avast s porukom da je detektirao u C:\windows\temp\frmwrk.exe Win32:Virut i to s opcijom da ga mogu i repairat; taj mi se virus/worm još do sada nije pojavio |
|||
|
|
|
|
22.08.2007., 18:23
|
#4 |
|
Beskorisna bitanga...
Datum registracije: Aug 2004
Lokacija: Sesvete (Zg)
Postovi: 6,956
|
Hmmmm... Ako si siguran da su svi mediji čisti onda nešto drugo ne valja u tome svemu jer nebi ti se smio zadržavati kao što rekoh Adaware i spyware + AV idu ali više različitih AV (npr Clam i avast) nesmiješ imati rezidentne a vidim da su ti dignuti kao servicei u hijacku... Ovo za frenda koji zna s njima sam ti rekao samo da zato da ne otvori naivno disk pa da njemu uleti, ne da bi rekao kako ti neznaš...  Inače efekte možeš pogasit iz shella i TweakUIa sve koje oćeš ali neće ti puno donjeti to ako nemaš stvarno slabu mašinu tipa celer 400-500MHz ili slično... Imaš u MY Computer -> Properties -> Advanced -> Visual Effects pa onda u properties desktopa imaš isto u effects par komada i u TweakUIu imaš pod Explorer settings još neke efekte ako ti ono gore nije dosta... Zlo je u tome što nemaš u Hijacku ništa što bi mi izgledalo kao proces adawarea ili nečega što znači da je nešto baš zaraženo ili je sakriveno kao jedan od ovih servicea a to je ovako teško reć... vakako sve skini onda (backupiraj prvo normalno sve) ili se upusti u traženje jednog po jednog trojana/virusa ručno što je IMO gubljenje vremena jer je trganje brže, osim ako baš ne moraš po svaku cjenu sačuivati OS nema smisla...
__________________
-- Have a nice day... |
|
|
|
|
22.08.2007., 21:36
|
#5 |
|
N00B
Datum registracije: Oct 2006
Lokacija: Split
Postovi: 3,886
|
Evo ove cetiri stvari bi se mogle maknut iz hijack loga C:\WINDOWS\TEMP\VRR10.tmp O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file) O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Windows Framework] C:\WINDOWS\TEMP\frmwrk.exe |
|
|
|
|
23.08.2007., 13:18
|
#8 |
|
Od nonine sestre kunjado
Datum registracije: Dec 2006
Lokacija: (Vinjro)
Postovi: 1,130
|
Pod "04" su programi koji se pokreču iz registry-a u startup-u a ti imaš :O4 - HKLM\..\Run: [Windows Framework] C:\WINDOWS\TEMP\frmwrk.exe  znači: to obavezno briši sa HJT-om ,,i ( u safe modu ) nađi taj C:> WINDOWS> TEMP> frmwrk.exe i briši ga .... Nađi i briši i ovo : O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE C:\WINDOWS\TEMP\VRR10.tmp I OČISTI SI KOMP SA CCLEANER-om |
|
|
|
|
23.08.2007., 14:08
|
#9 | |
|
Premium
Datum registracije: Aug 2007
Lokacija: Zagreb,Sesvete
Postovi: 139
|
Nakon što sam napisao zadnji post, frmwrk.exe je počeo izvodit neke 'ludosti'. Nakon restartanja više nisam mogao ući u win (kao, ''administrator je disable-ao task manager'' tako da više nikako nisam mogao ući u win). Instalirao sam ponovno win i našao sam prokleti virus na usb flash memoriji pomoću Kasperskog av (na drugim kompovima ga Avast jednostavno nije mogao naći. Sad je s Windowsima sve ok.   Citiraj:
|
|
|
|
|
|
|
|
|
Oglas
|
|
 |
|
|
