Setup.exe problem-virus
 

Zadnjih nekoliko tjedana na kompu mi se pojavljuje cudan file. Zove se "setup.exe." s pripadajucim "autorun.inf".
U trenutku kad pisem ovaj text, taj file mi se nalazi u dva foldera koji su shareani izmedu dva kucna kompjutera u WLAN-u. Koliko vidim, sad i jedan i drugi setup.exe koji se nalaze na razlicitim mjestima, imaju 0 KB. Inace, prije kad sam ih brisao, uvijek je setup.exe imao 40KB.
Od softwera protiv ovakvih nametnika imam Spybot S&D, Spyware blaster, a-squared free, Ad-Aware, Spyware Blaster. Spybot ne nalazi nista problematicno, Ad-Aware isto. Avast antivirus i a-squared free isto ne nalaze nikakvih problema prilikom skeniranja "setup.exe" filea, mozda zato sto trenutno imaju 0 KB.
Evo, sad sam u log-u Avasta nasao kako je on nazvao problematicni "setup.exe" file: 29.8.2006 11:29:17 1156843757 SYSTEM 240 Sign of "Win32:Horst-AD [Trj]" has been found in "C:\Documents and Settings\All Users\Documents\setup.exe\[UPX]" file.
Hijack-this isto nije nasao nista sumljivo.
Evo, pretragom cijelog harda, nasao sam ih u slijedecim folderima:

/* admin je maknuo ovu sliku jerbo prelazi pravila netiquette-a */


Sve su to odreda folderi koji su shareani u mrezi...al se fizicki nalaze na kompu koji je prikljucen na net.

Pitanje je slijedece, jel mi nesto promaklo? Sto da napravim?

Disejblat System Restore pa da onda probaš obrisat, ili možda da probaš Avast namjestit da ti skenira pri slijedećem boot-u. Otvoriš Avast, gore Menu -> Schedule Boot-time Scan -> i dolje klik Schedule.

system restore je disablean. avast boot scan je vec napravljen i nije nista otkrio. problem je jer se taj file vraca. iako ja pobrisem sve, i dalje se vrati. prvo kao file od 0KB, kasnije ga detektira AV i onda izbaci alert.
Mogu li ikako saznati koji proces, program ili sta vec radi taj file? on mora od nekud dolaziti...

Otiđi u safe mode pa pobriši taj file i onda počisti komp sa par dobrih registry cleanera , vjerojatno iz samog registrya dolazi problem...

Ova trojka još nije omašila : TuneUp Utilities 2006, Registry Mechanic i Eusing Free Registry Cleaner.

Svaki od njih pretražuje po malo drugačijem "ključu" i zasigurno ti neće obrisati nešto što nebi smjeli.

S TuneUP sam vec cistio registery u par navrata. Brisao sam i cache svih browsera i registery s CCleanerom. Moram jos onda isprobati Eusing i Registery Mechanic. Thx. Javim kak je proslo...

kuc kuc u drvo, za sada sve je super. probao sam ove gore programe, ocistio registery i sve je okej :)

:grrr: taman kad sam se isao pohvaliti da je sve okej, nije : hitthewa

problem se i dalje javlja. dakle probao sam skoro sve programe za koje sam znao ili koje ste preporucili.
na kraju sam odlucio vidjeti sto je uzrok pojavljivanja tog "setup.exe" filea koji je AV prepoznao kao virus.

S File monitorom sam pratio procese koji stvaraju ili mijenjaju fileove na hard disku i nasao sam, al nazalost ne znam sto znaci to sto sam dobio-

dakle ovo je proces koji je "stvorio" virus i uvijek ga nanovno stvara kad izbrisem sve primjerke virusa.
sta je to? koji program? driver?

Nakon neuspješnog riješavanja problema s Kasperskyem i Spybot Search&Destroy 1.4, Probao sam s RMom.

Znači, zasad sam rijesio problem s: Registry Mechanic 5.0.0.144

Vec jedan dan se nije pojavilo nista, a Kaspersky 6, i Spybot 1.4 sam prije instalacije RMa, deinstalirao.
Pa cemo vidit kako će ić dalje.

inače stavi registry mechanic 5.2

evo ovako
ja ne znam zašto se tim zamaraš
nije ništa opasno, ni najmanje, bar ja msilim LOL
uglavnom, htio sam reć da se to događa cijelom domu Ante Starčević
i to na sheranim folderim, jel
i pojavi se opet iznova
Zone alarm ga prepoznaje ko virus
ali očito je bezobasan
eto, ja se ne zamarm time

Kad si tako pametan, koja je razlika izmedju 5.0 i 5.2?

Necu na kompu ništa što netreba biti.
Btw: imaš pravo, to se dogadja na share-anim particijama (u mom slucaju), no eto, komp radi zasad bez problema i nije se pojavio nametnik :)
Nadam se da i neće.

ma neće sto posto
pazi ovo, nama se to pojavilo prije ne znam, više od ta tvoja dva tjedna, reko bi nekih mjesec dana :)
svima, baš svim,a u onaj defaultni folder za shared files
i di još, u upload folder kojeg se može napravit, kojeg recimo ja imam
ugasim upload, nema fajlove, naravno, nakon što ih obrišem, više se ne pojavljuju
nema tu opasnosti, to je nešto very strange, ali sumnjam da je opasno :)
eto, u nas su mislili da neko stavlja viruse u upload, jer se to znalo događat, ali ovo se odma stvori čim pobrišeš, toliko ažuran nije nitko :D

velika nakon što sam stavio 5.2 verziju umjesto 5.1 verzije našao mi je 20ak novih grešaka koje 5.1 nije našao, a tek 5.0

Ono što RM deklarira kao grešku, nije uvijek greška.

da, kod mene u shareanim folderima...al ne izgleda mi bas pitomo + ne volim kad imam nekaj nepoznato na kompu :mad:

sta kaze zone alarm? koji je to virus? kako ga se rijesiti? : cheers2 :rambo:

hm, ne znam koji virus
počinj s win32
al to je preoćenito :D
ali nikao se ne može riješit

:D LOL

ma mora biti neka fora....jesi ti istrazivao koji proces stvara setup.exe i autorun file?

ne, stvarno se ne zamaram
da su veliki megabajt i da se množe onda bi bio zabrinut :D

sram te bilo :D

http://img107.imageshack.us/img107/8...xankqz9.th.png

http://img164.imageshack.us/img164/3...kexexq0.th.png

dosta mi je vec ovog sr*nja :grrr:
dosao mi preko p2p i nikak da ga maknem...sad cu skinuti ove AV, pa isprobati s njima : quake :

Ne budeš li idući puta stavio slike u thumbove, bit će belaja... ;)

Preporuka Kaspersky 6.0

kako znaš da ti je došao preko p2p?

nema preko cega drugog...i vidio sam u par navrata isti file, iste velicine na p2p
jos kad bi mi netko mogao prevesti one gore procese kaj znace(FASTIO_MDL_WRITE_COMPLETE i sl), mozda bih shvatio i tko ili sto ih uporno vraca natrag :rambo:

nadam se da je brzi od BitDefender 8 Free Edition koji je namjeravao 17 sati skenirati hard od 40 giga : nono :

daj ako riješiš javi kako :D
naša cila mreža je s***ana s tim
sad mie se taj setup.exe pretvorio u macromedia instalacijski, ali kad klikneš ništa se ne događa
koji njihov program je na verziji 11??

Ja sam imao ovo još prije tjedan dana... PObjegao je NODu ali zato cim je dobio definiciju ga je skužio... iskljucio sam system restore i skenirao sa NODom onj depth scan, našao ga je na 4 mjesta između ostalog u svss i svchost i stisnuo sam delete uzevsi u obzir mogucu potrebu za reinstalacijom WINa no sve je prošlo 5 i od tad ga nemam... Ako imaš dva kompa u mreži skeniraj drugi jer meni se nakon toga seljakao s burazovog na moj i obratno jer nisam ocistio burazov no kako on ima kespersky i kad sam sebi lupio scan nodom i sebi riješio stvar njegoiv kespersky nije skužio ništa tak da je definitivno NOD riješio sve moje probleme simultativnim radom na oba kompa sa ištekanom mrežom....


EDIT: koliko sam skužio ti samo tražiš setup.exe ostavi ga da pogleda sve an kompu jer se smješta i drugdje,....

damn
znači u nas bi se na 500 kompova trebalo skenirati, da se iskorijeni :D

da

i ja sam skuzio da mi se siri preko mreze izmedu dva kompa, al vec dugo nije presao na drugi komp, sto ne mora znaciti da ovaj na kojem ga nisam nasao, nije zarazen...
kazes da ga je NOD skuzio? hm, ne znam...sad sam skinuo kaspersky, nadam se da je trial fully functional i da cu uspjeti rjesiti se te gamadi : Drone :
ako ne, onda cu isprobati NOD.

Mni ga kaspersky nije pronašao ali ja sam vodio bitku s tim virusom 2 dana od njegove detekcije odnosno pojave i javio mi je nod da je to neka hook nepoznata verzija trojana... nije tad još bio specificirao... Meni je setup.exx bio na disku koji je kompletno sheran na mreži pa se možda zato šetao nije bio samo na kompu koji je sheran..

NOD je riješio sve moje probleme... probaj....

evo, taman dok ovo pisem, na drugom kompu se zacuo neki zvuk ko da je tegljac pregazio macku, to je bio alarm od kasperskya da je pronasao nametnika. naravno setup.exe. 1 file infected....idemo dalje : giljotin :D