Naime od pre izvesnog vremena u start up mi se ugnezdio "siszyd32.exe" koga nikako ne mogu ukloniti. Win patrol me non-stop upozorava na njega. Racunar mi se uzasno usporio a home page promenila iz prazne strane u stranu "websearch". Skenirao sam sa Avastom ali ne nalazi inficirane fajlove. Microsoft Malicious Software Removal Tool takodje nije dao rezultate. Skeniranje sa "Antimalware" lociralo je 50 malware-a koje sam uklonio.
Medjutim svi problemi su i dalje ostali. Molim za pomoc.

Kliknes na start->RUN->i tu ukucas MSCONFIG i stisnes enter...

Kliknes na startup tab,nadjes tvoj problem unchekiras ga da se ne dize sa sistemom restartujes masinu i to bi trebalo da resi problem sa tom gamadi...

Skini Program DDS http://download.bleepingcomputer.com/sUBs/dds.scr
Dvoklikom pokreni DDS
Sacekaj malo, izbacice ti dva loga
kopiraj logove na http://pastebin.com/

klik na send....link kopiraj na forum

Baso jel mozes da mi pojasnis malo te logove sto uvek trazis,nije mi bas jasno druze...

U ovim logovima se nalaze:
- procesi
- R i BHO linije IExplorera
- Startup - Global startup linije
- Firefox linije
- drivers \ services
- folderi i fajlovi

Ovo je ukratko, ima toga jos. Pa skoro sve sto je potrebno za dijagnostiku sistema, nije sve, ali skoro :)
Ne mogu da ti objasnjavam dosta je komplikovano, mora da se uci dosta. Postoji jos alata za dijagnostiku kao na pr.
OTL
RSIT
Gmer - antirootkit alat
HijackThis - verovatno najpoznatiji, ali i najlosiji od svih.

Pa tako mi reci,vidim ja nesto mi sumljivo a i sumnjivo... :D
Super stvar...

samo da pitam zasto je HJT najlosiji?

Najmanje podataka moze da se vidi u njemu. Program je dosta star, nije izlazila nova verzija, pa ja mislim da ima preko 2 godine.
A malware-i nece da cekaju :D

Prva varijanta nije uspela kada sam preko ga RUN unchekirao u start up-u, jer se pored unchekiranog pojavio novi sa istim imenom.

Zatim sam uradio ovo:

Skini Program DDS http://download.bleepingcomputer.com/sUBs/dds.scr
Dvoklikom pokreni DDS
Sacekaj malo, izbacice ti dva loga
kopiraj logove na http://pastebin.com/

klik na send....link kopiraj na forum

http://pastebin.com/m2067ce20

Nadam se da je uspelo.

C:\WINDOWS\AGRSMMSG.exe
Je moj kandidat ;)

C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\BillP Studios\WinPatrol\WinPatrol.exe

Pobiti...

Sve ste pogresili :D

Raleks je si spreman da cistimo. Uradi tacno onako ka sam ti napisao

Skini ovaj program na Desktop http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ugasi privremeno Avast, desni klik na ikonicu pored sata pa zaustavi stalnu zastitu
Pokreni Combofix sa Desktopa (ovo je veoma vazno)
Klikni na yes ili ok za sve sto te pita.
Mozda dodje do restarta, ne diraj nista.
Kad zavrsi komlet skeniranje, izbacice ti log koji ces kopirati isto kao ova dva prva i postaviti link.

Radice najvise 10 min. (50 staza)

kad su ovakve situacije u pitanju trebamo ostaviti Basu da radi. mi ostali kao sto je i basa sam rekao mozemo da se zeznemo :D

Ovo sam pokusao
_____________________________________________
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Program Files\BillP Studios\WinPatrol\WinPatrol.exe

Pobiti...
_____________________________________________

Nije uspelo. Prelazim na sledeci savet.

Sta nije uspelo, napisi zasto nije.

ccc, ma batali to, to su sve legitimni fajlovi, uradi kako sam ti napisao. Ono mogu da se zezaju nemaju viruse, ti radi po mom uputstvu.

Ne, nisi trebao ručno da brišeš, već skini Combo Fix, i uradi ovo što ti je Basa rekao, skeniraj sa njim, Combo Fix će to ukloniti...EDIT: prestiže me basa...

http://www.processlibrary.com/directory/files/wdfmgr/
http://www.processlibrary.com/directory/files/agrsmmsg/
Windows Management Instrumentation Provider Host program - wmiprvse.exe
http://www.processlibrary.com/directory/files/winpatrol/


Vidi sta si hteo da brises.

I hoces mi reci da mu sve ovo zaista treba?

Cenim tvoje znanje ali ne potcenjuj moje...

Ti procesi mu nisu od neke koristi

To nije nase da mi procenjujemo, ja samo trazim maliciozni program i to uklanjam, nista me drugo ne zanima. Ne ulazim u to ko je sta instalirao i zasto mu to treba. Cak i ako naletim na keyloger, ja pitam da li je on instalirao pa tek onda uklanjam. To je pravilo br.1.

Sta ja ***** kad ocigledno pojma nemam...
Jos jednom sam se opekao,a neces ga vise Borise...
Sa srecom trazenje...

Pazi, mozes ti da mu preporucis da deinstalira neki program, ali ne da mu obrises recimo jedan fajl i sta posle, ne radi mi ovaj program, upropastio mi sistem. Nista sto je legitimno se ne dira.

Evo ga taj na sta se zalio

StartupFolder: c:\documents and settings\korisnik\start menu\programs\startup\siszyd32.exe

Jel ga video neko? Ima i ostatke od mywebsearch-a MBAM nije pocistio sve
Ima i drajver koji mora da se brise

S2 ssoftnt4;ssoftnt4; [x]

To sto se vidi u logu, videcemo sta ce CF da kaze.

Stvarno mi je zao sto nisam koder...
Kad sam glup...
A bas sam mislio da mi je dan bio super...

Evo rezultata

http://pastebin.com/m27227b09

Evo sve sam proverio i veoma sam zadovoljan - racunar se vratio iz mrtvih. Combofix je odlican program.

Jedino mi nije jasno zasto "siszyd32.exe" jos uvek stoji u start up-u ali je bitno da je disabled i ne pravi probleme ni posle restarta.

Srecom u prethodnim pokusajima resavanja problema nisam onemogucio C:\WINDOWS\AGRSMMSG.exe obzirom da mi je StartUpMechanic "rekao" da je neophodan za podizanje sistema (ne znam sta bi se desilo), vec sam samo iskljucivao procese preko task menadzera.

Zaista nemam reci kojima bih se zahvalio svima vama na utrosenom trudu i vremenu, forumu sveta kompjutera, a posebno Basa Mrkalj-u na iscrpnim objasnjenima i izvanrednom resenju problema koji me muci vec dva dana.

Na kraju samo jos jedno pitanje. Ubija me radoznalost zbog cega se Combofix mora pokrenuti sa Desktopa?

Jos jednom puno hvala.

Raleks nismo zavrsili. Skini ovaj fajl na desktop
Ugasi AV i levim klikom misa prevuci CFScript na ikonicu Combofixa,

http://i28.tinypic.com/6nxdvq.gif

Kad zavrsi ciscenje, postavi novi log.

Evo novih rezultata:

http://pastebin.com/m6c679872

Jel' sad sve u redu?
Ostaje da deinstaliras Combofix.

Start>Run> Combofix /Uninstall enter i sacekaj da se deinstalira.

Predllazem ti da deinstaliras Ad-Aware, samo ti jede resurse, po meni dosta los program.

Sve je u apsolutnom redu.

"Siszyd32.exe" je nestao iz start up-a, racunar radi odlicno.

Ne znam kako sam uspeo da se zarazim, uglavnom sam izuzetno pazljiv, sto se moze videti iz cinjenice da Windows nisam reinstalirao vec pet godina.

Sada cu deinstalirati Combofix, a ucinicu to i sa Ad-Aware, obzirom da nisam
zadovoljan sa tim programom i instalirati neki drugi antispijunski program.

Sacuvao sam link ka download-u Combofix-a, ako dodjem opet u slicnu situaciju.

Jos jednom najlepse hvala.

Mozes ostaviti malwarebytes i antivirus, ostalo ti nije potrebno. Svakome se desi da navuce neku gamad. U principu nisi imao tesku zarazu jer se malware nalazio u startup-u, a Myweb search je adware, ali pravi dosta problema, to si sa neta dovuko.

Proveri jos jednom ovu lokaciju i ako ga vidis tamo obrisi ga rucno, jer sam se zeznuo kod skripte za taj fajl. Sad ces moci da ga obrises. Na brzinu nisam zagledao.

c:\windows\pss\siszyd32.exe

Na lokaciji c:\windows\pss nalaze se tri stvari:

- boot.ini.backup
- system.ini.backup
- win.ini.backup

Nema ni traga od one gamadi.

Znaci moze da se "zivi" bez Antispijunskih programa?

Evo i ja sam imao isti problem i rešio ga uvim uputstvima, ali sada u device manageru imam situaciju da su iz registra obrisani neki drajveri.
Konkretno, sa žutim kružićem su:
Primary IDE Channel
Secundary IDE Channel
Standard IDE/ESDI Hard disk controller
(kada otvorim ove komponente imam sledeću poruku)
Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19)

Click Troubleshoot to start the troubleshooter for this device.

Međutim sve radi normalno (koliko sam do sada primetio).

Šta sada??

Po kojim uputstvima si radio? Nisi valjda skinuo skidao onu skriptu i pustao je?

Pa skinuo sam skriptu ali sam promenio neke stavke

promenio sam putanje do sisyzd, i obrisao ono što je pisalo za firefox

Ako imas log od Combofixa postavi opvde da ga pogledam, mozda moze nesto da se ucini. I nemoj nikad tako nesto da radis, njegov problem nikako nije isti kao i tvoj. Trebalo je da pitas, ili da postavis log. Ja njemu nisam trazio logove tek onako.
btw.
Ako si obrisao combofix, stvar je svrsena.

http://pastebin.com/m21d4ebef

Kopirao sam combofix.txt iz C:

Jesi na to mislio?

Nisam obrisao combofix

Moras da imas instalacioni CD od windowsa.
Prvo odradi ovo, evo ti skripta, znas kako ide procedura pratio si. Znaci ugasi AV i prevuci skriptu na Combofix.
Posle toga ubaci Instalacioni disk i odradi repair windowsa.

Evo skripte

Baš tako sam i prepravio skriptu ranije. Da li sada samo da odradim Windows repair??

Ako ti je ovaj log zadnji, znaci posle skripte, onda pusti skriptu ponovo, jer je ostao u startupu. Ako je prvi log, onda odradi repair.

Fali ti c:\windows.0\System32\drivers\atapi.sys ... is missing
Repair bi trebalo da resi problem.

Ok, ali su to ipak sistemski procesi. Bolje da pogasi nepotrebne servise i programe nego da ih silom brise i ubija.

Prvo pozdrav svima,

Imam isti problem kao Raleks,

postavio sam log na: http://pastebin.com/m3c6e0230 molim za pomoc, hvala unapred

a evo i log posle CF-a http://pastebin.com/m381d2f11

Raleks nismo zavrsili. Skini ovaj fajl na desktop
Ugasi AV i levim klikom misa prevuci CFScript na ikonicu Combofixa,

http://i28.tinypic.com/6nxdvq.gif

Kad zavrsi ciscenje, postavi novi log.


Захваљујем на овоме, помогло је и мени, нема више сисијаД32 али
остао је нечекиран у стартапу. Видим да је путања до њега друкчија код
Raleks (http://www.sk.co.yu/forum/member.php?u=25516)а него код мене па ево линка са мојим логом:
http://pastebin.com/m9b74c98 у нади да ћете и мени помоћи :dedica:
Хвала још једном, и ово вредело, поздрав из Вршца :ciao:

@Desmo, deinstaliraj D-Tools pre nego pokrenes skriptu i ugasi AV.
Postavi mi log posle ciscenja.

A ja :alealeee: , zasto ste mene preskocili? :facepalm

I za tebe isto vazi da deinstaliras D-tools pre skripte.

Ne pokrecite CF drugari, ako imate problem iznesite ga, pa da vidimo sta moze da se uradi. Ubuduce necu da pisem skripte ako ste pokrenuli CF bez uputstva.

Imam isti problem, uspeo sam da obrisem fajl siszyd32.exe, medjutim izgleda da ga nisam skroz otklonio, jer mi upload radi kao nenormalan, a nista ne radim na kompu. Kada ukucam netstat.exe, prikaze mi da moj kompjuter pokusava da salje podatke na raznorazne mejl servere. Sta da radim, pomagajte!

Narode imam isti problem, doduse za zakasnelom reakciom - pokrenuo sam CF i uradio je analizu racunara. Pre nego sto sam ga pokrenuo pogasio sam sve aktivne programe i anti virus, a CF sam pokrenuo sa Desktopa.
Napravio je fajl tipa txt sto je u prilogu


Molio bih za pomoc oko daljeg postupka uklanjanja virusa.
PS: Posle uklanjaja virusa planiram da uradim reinstalaciju racunara.

Imam isti problem, uspeo sam da obrisem fajl siszyd32.exe, medjutim izgleda da ga nisam skroz otklonio, jer mi upload radi kao nenormalan, a nista ne radim na kompu. Kada ukucam netstat.exe, prikaze mi da moj kompjuter pokusava da salje podatke na raznorazne mejl servere. Sta da radim, pomagajte!

Prvo, ne povezuj ga na internet. Zatim instaliraj neki dvosmjerni firewall (kao što je COMODO ili ZoneAlarm), i onda lociraj ko pokušava da se poveže na net.

Prvo, ne povezuj ga na internet. Zatim instaliraj neki dvosmjerni firewall (kao što je COMODO ili ZoneAlarm), i onda lociraj ko pokušava da se poveže na net.

A kako ga lociram preko tih programa? Ono sto sam provalio jeste da se taj proces sto aktivira spemovanje implantirao u svchost.exe. Ono sto ne znam jeste kako da ga prepoznam koji je od silnih procesa ustvari maliciozan u svchost-u i kako da ga ubijem.

Ne mora da znači da se implantirao tamo. Moguće da samo koristi svchost, kao i svaki drugi program koji se povezuje na Internet.

@Mizika, ma kako si ga pokrenuo sa desktopa kad nisi, drugo Combofix ti je star, kad si ga skinuo. Vec dva dana je povucen sa zvanicnog sajta.

Idi u safe mode i obrisi ove fajlove rucno.

c:\documents and settings\MIHAL_JULIANNA\Start Menu\Programs\Startup\siszyd32.exe
c:\windows\pss\siszyd32.exe

Ja nesto ne vidim da imas antivirus.

Zahvaljujem na odgovorenom problemu.
Moj problem je od ranije pa sam po netu istrazivao, dok nisam nasao ovaj forum a i ujedno se zahvaljujem na ovom forumu.
Combo fix sam skinuo ranije sa neznam i sam kog linka, medjutim kad sam ga pokrenuo trazio mi je da se update sto sam i potvrdio. A sto se tice anti virusa imao sam neki problem s njim tj avastom nije hteo da mi se ugasi pa ni sam iz nekog razloga je prestao da radi pa sam ga obrisao iz racunara. Naravno dok se ne resim ovog virusa posto mi usporava racunar tj trosi mi 100% resursa procesora.

Inace upravo sam pokrenuo XP iz safe moda i obrisao sam fajl koji si mi rekao s tim sto u direktorijumu(folderu) c:\windows\pps nisam nasao fajl s tim imenom
sad je sve ok s racunarom procesor radi normalno

Ok, samo ces morati rucno da obrise CF, ikonicu. Zatim u C obrisi foldere
c:\combofix
c:\qoobox
Onda iskljuci system restore, restartuj pa ponovo ukljuci SR.

Brat od strica mi zapatio taj siszyd32.exe. Krivac je bio AVG, koji nije uspeo da spreci zarazu. Proleteo neki trojan downloader (koji isti nije mogao da detektuje, neki exe fajl koji pocinje na "av_", ne secam se tacnog naziva), koji je posle skinuo pojacanje, ukljucujuci taj siszyd32.exe, koji je inace AVG zatim uklonio, ali ne bez stete (taj siszyd32.exe voli da brise firefox.exe). Posle toga ostatak se ponasao kao "azdaja": ukloni se jedan dao, pa se sam vrati ako se ne ukloni drugi deo. Izbaci se deo iz registija (koristeci "good old" highjackthis, posto je combofix trenutno offline), a on se vrati i slicno. Cak je atapi.sys bio inficiran, sto je dosta otezalo uklanjanje (nekoliko puta samo morao da vracam originalni backup istog iz safe moda, jer se isti stalo posle ponovo inficirao).

Na kraju sam uspeo rucno da uklonim svu gamad. I jedan svchost proces je bio deo virusa, i odma pokusavao da ugasi windows, ako se ubije (srecom znam za "shutdown -a" trik).

5 sati zivota izgubljenih...


P.S.
Da je u pitanju bila Vista ili Win7, sa aktivnim UACom, virus ne bi nikako mogao da se stalno tako povraca u zivot. Jednom bi mogao da proleti nepaznjom korisnika (automatskim prihvatanjem sta kod UAC ponudi), al ne bi nikako moga stalno da menja sistemske fajlove bez ikakvog pitanja. Mislim... stalno inficiranje atapi.sys-a, boze me sacuvaj. :facepalm

Po drugi put, buduci da me je izlgovao ...:o

Oko 22 veceras prvi put u zivotu mi je skocio WinDefender - i prijavio siszyd32.exe. Deny je pao, posle dugug mucenja, ali je WD zaustavio dva sledeca

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \\sysgif32

C:\WINDOWS\Temp\~TMB20F.tmp

Temp sam obrisala, a kljuc nisam uspela da pronadjem u regu, ni rucno ni na search.

WinDef ima u karantinu uhvacen PWS:Win32/Daurso.A

Veceras je prethodno, pri redovnom skeniranju Clam prijavio infekciju u reg bazi, na atapi.sys -- nista nisam dirala, jer em je sistemski, em postoji prijava na Clamu od 2 popodne na sumnju na falsepositive.

siszyd32.exe se smestio u Strtup, i posle neuspesnog brisanja, divljacki, desno dugme del, u drugom pokusaju se uklonio iz startupa, ocito samo link.

Msconfig je i dalje prikazivao siszyd32.exe u Startup-u. Odcekirala, ali masinu nisam restartovala. Proverila iz SpybotS&D i tamo je odcekiran, a msconfig na urednom /auto .

WindowsExplorer ne vidi siszyd32.exe ni u jednom Startup folderu, ali ga u mom profilu /Startup vidi TotalCommander i ne moze da se obrise. Unlocker ne mogu da pokrenem u TC, a iz WE se ne vidi pa ni tu unlocker ne radi.

Blage veze nemam kao me je napao, jer nista nisam skidala, mogao je udje jedino s foruma na kome sam bila, ili kroz mejl a da ga ni jedna od realtime zastita nije videla, sem napola uspesnog WD.

S obzirom na savete koji su ranije dati nista nisam preduzimala od savetovanog, iako sam sve savete iscitala vise puta. Jedino me uznemirava player1-ova poruka, izgleda mi da je sve prilicno gadno.

Molila bih savet sta da pocnem, uzasava me pomisao na prebijanje masine, i podesavanje svega i svacega. Mnogo hvala unapred.

:)

Izgleda da si istu stvar zapatila, kao moj burazer. I tu je bio neki tmp fajl tokodje kao deo infekcije.

Nazalost, nemam neki laki savet za ovo, niti bi mogao da ponovim sve korake koje sam iskoristio da to ovo sredim (od cega je najriskantniji povratak originalnog atapi.sys, ako se to ne uradi kako valja, windows nece moci da se butuje normalno). A ako se ostali devoli virusa ne uklone, veoma lako ce isti ponovo biti inficiran.

Znam samo da je neki av_ nesto fajl proleteo, a da ga antivirus nije detektovao (tek kad sam isti poslao na analizu na virustotal sajt sam saznao da je isti virus).

U memoriji u procesima, dve stavke virusa su stalno bile aktivne. Taj av_ nesto i jedan svchost proces koji je cesto isao do 99% zauzeca. A ako se ubije dolazi ona poruka za shutdown (tada obavezno u command prompt, pa ukucati shutdown -a da se isti prekine). Verovatno bi i sysgif32.exe trebalo da se nadje u istim, ali AVG je njega odma obrisao kod mog brata, pa isti realno nije vise bio na disku (iako su druge komponente virusa stalno stavljali run za njega natrag u registi, ako tu stavku obrisem).

Ja bi gledao da se oni privi ukinu, pa tek onda petlja sa registima (jer ako su aktuelni, stalno ce ponovo se dodavatu u registri).


P.S.
Bilo bi zgodno da postavis log od hijackthis, pa mogu da ti kazem, koje od izlistanih komponenti znam da su taj virus. Mozda malo pomogne.


P.P.S.
Barem u WinXP SP2, pravi atapi.sys je oko 94-95KB, dok je inficirani oko 145KB. Pretragom po windows folderu nasli smo neki bekap sa ispravnim atapi.sys. Koji sam posle iskoristio da zamenim inficirani u save modu. NAPOMENA: Ne raditi isto ako ne znas sta radis, bez atapi.sys windows NE MOZE da se butuje!!! Takodje, ako se ode u device menadzer i pogleda drajver sa Primary/Secondary IDE ATA kontrolere, videce se da je atapi.sys unknown i unsigned, ako je isti inficiran.

Mnogo ti hvala na brzom odgovoru!
Pregledala sam sve, i za sada izgleda ovako.

Na disku su 3 atapi.sys. Jedan na regularnom mestu, sys32, i duzina mu je ~95 iz Win, iz TC 96512, isti takav je i u Windows\ServicePackFiles\i386; treci je u W\sys32\ReinstallBackups i on je manji, iz TC 95360 iz W ~94 .

Buduci da imam SP3, a i manje vise uredno updejtujem Win (prednosti legalnog sfw :) ) pretpostavljam da je ovaj najkraci iz SP2, a da su ova dva kasnije dosla.

Pregled u device manager-u ne pokazuje promenu na Prim/Sec niti na kontroleru, na prva dva potpisan microsoft, a na samom kontroleru drajver masine Intel(R) 82801EB ...

MEdjutim, promena je na drugom mestu, na USB kontroleru. Universal Serial Bus Controllers -- 5x Intel(R)S..B..C..Host , 5x USB Root Hub i u toj grupi, kao sesti Unknown Device, ali je potpisan kao Microsoft 01-Jul-01 ...isto kako i ostali, ali mu je Driver version kratak 5.1.2600.0 umesto 5.1.2600.1106 . Ali je on potpisan Microsoft... Medju karticama tog 6, Unknown Device nema kartica Power i Power Management. Postoji razlika i u kartici Details, i upravo tu nije prepoznat a ID je predugacak da ga kucam. Istini za volju, ovaj cudak moze da bude od skenera, koji ima problema pa malo-malo puca i otkacinje se. Trenutno, osim tog palog skenera nemam nista prikaceno, a zivo ili neophodno. Za sada ga nisam dirala, moda bi ga trebalo ukloniti?

U procesima ne vidim nista, iako je posle one prve nocasnje intervencije kod mene bio neki ~Temp... ubila sam ga jos tada, instinktivno, jer tako nesto tu ne treba da se nalazi, i nije se pojavio ponovo do sada (masina nije gasena).

Mem aktivnost je normalna, nema nikakvih udara, svchost-ovi su uglavnom mirni, ali je SistemIdleProcess prilicno aktivan.

Mislim da si u pravu za redosled poteza. Pokusacu da nadjem i upotrebim hjackthis, ili ono sto je Basa Mrkalj koristio...

Jos jednom, mnogo hvala!


PS

Da dodam i novo "otkrice" - zaista ima nesto tamo gde ne bi smelo nista da brlja, a i vreme odgovara... u sys32, folderi drivers i dllchache imaju datum i vreme promene 14-12-09 22:54 , bas kao sto se i desilo...


PPS
Probala da posaljem iz edita, ali ceo ocito morati nova poruka
Hvala!

Evo i loga iz HJTa , meni ne govori mnogo, osim sto gada vidim u startup-u, al to i tako znam(o).

Nadam se da ce pomoci.


PS

Evo i linka na pastebin po preporukama Base Mrkalja

http://pastebin.com/m366e5e22

Da, log je iznenadjujuce cist. Samo siszyd32.exe u startup sekciji. Dobro je da sad nije nasao stetocine u fajlovima na disku (rece ti negde da si brisala neke rucno), nego je samo u startup sekciji.

Probaj da prosto uklonis isti sa hijackthis (samo ga checkiraj na listi i FIX) i vidi dal ce sam da se vrati. Mozda je u pitanju samo preostali "rep" koji ne radi nista (link ka fajlu koji si vec ranije obrisala). A ako se pak "magicno" vrati sam od sebe (kao sto se kod mene desavalo), onda jos ima neka gamad.


P.S.
Deluje mi da je tvoj atapi.sys cist (jel se isti koristi samo za IDE kontrolere, ako se ne varam, a ako ga tamo u device menadzeru vidi kao potpisanog, onda bi trebalo da je u redu).

@ninam

Skini ovaj program na desktop i raspakuj ga u folder http://swandog46.geekstogo.com/avenger2/download.php
Iskopiraj sledeci tekst u prozor programa

Files to delete:
c:\documents and settings\ninam\start menu\programs\startup\siszyd32.exe
Klikni execute, pa yes 2x i sacekaj, doci ce do restarta. Kad zavrsi okaci izvestaj, tj. log koji dobijes.

Proveri ovaj vajl na ovom linku i postavi izvestaj http://www.virustotal.com/

c:\windows\system32\drivers\vdwbf.sys

Juce sam ukljucio komp i kad ono pocelo sve sporo da radi ko nenormalno. NENORMALNO sporo. Zauzece CPU-a bilo je 100 % iako ja nista nisam radio. Pomislio sam da je virus. Aviru sam ukljucio kad sam trebao da spavam medjutim kad sam se probudio on jos na 4 %!! Skenirao sam u Safe modu, on ga detektovao i sve ali reko kao da je taj fajl zakljucan ili nemam pravo da ga obrisem (ja se logujem na Administratora jer nisam napravio drugi nalog a fajl je syszid32.exe, nalazio se u 'C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\). Kad sam ga restartovao, ono sve lepo normalno lepo radio, ko nov, zauzece CPU-a 0-4 %, ali ja jos jednom skeniram avirom medjutim opet isto. Kad sam otiso na tu lokaciju, sa ukljucenim alatom da vidim hidden fajlove, njega nema! A odem u karantini avire medjutim vidim da je taj fajl u karantini!!! Ne shvatam uopste :n-cc2:
Sta li mu je????? Jel obrisan???? A kad skeniram avirom on ga detektuje, ista prica sve kao da ne moze da ga obrise ali....bre! Opet sve isto u krug.:nov_mad2:
Da li je obrisan, a ako nije pomozite mi pls moram da se resim ove gamadi. Skenirao sam i sa Malwarebytesom, ali on nista nije detekotovao... :n_klanja::n_klanja::n_klanja:Nemam problema sad, nista mi ne brljavi al me nervira to sto kad skeniram sa Avirom on mi detektuje TR/Dropper Gen. ali bre bre! Kaze zakljucan je i kaze da bi ga obrisao moram da restartujem, ali opet ista prica!! :n-cc2:
Probacu da skeniram sa ComboFixom i poslati vam log, ako to ne pomogne onda vi nadjite nekog nacina da izbacim ovo cudo sa kompa.
edit: kad sam restartovao da mi skenira u SafeModu, video sam da je IE 7 izbrisan!! Verovatno ga taj virus izbrisao... Mada, mene bas i boli uvo za IE kad je los :D

@ninam


Proveri ovaj vajl na ovom linku i postavi izvestaj http://www.virustotal.com/

c:\windows\system32\drivers\vdwbf.sys

Ono na pocetku jos nisam uradila, fajl sam nasla i pri svakom pristupu - da ga poseljem on se povecava . Bio je 500k, sad je 690k . Ne uspeva mi da ga posaljem na upload, da li da ga kopiram negde :o pa da pokusam ponovo odatle

Moj provajder ne dozvoljava slanje tkavih fajlova, skenira i zipove, pa opcija slanja mejlom otpada.

U medjuvremenu, obavila skidanje avengera, raspakovala uradila sve kako si rekao , log kaze da je obrisan, a ja ga odokacki vise ne vidim iz TotalC, ali u startup-u ms config-a ima jedan, odcekiran.

avengerov log
uh dugacak je

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\documents and settings\ninam\start menu\programs\startup\siszyd32.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

NB pokusaj sa HJT nije dao nikakav rezultat

Pokusacu sada da onaj fajl uploudujem ponovo, mozda je bio zakljucan....

Ponovo neuspesno slanje vdwbf.sys a
Pokusala sam da ga kopiram na drugu lokaciju, pa da pokusam odtle, al' jok, na mrtvo zakljucan.
Malo googlala, ali izgleda da samo ja na celoj kugli zemaljskoj imam taj fajl, i Ti si ga, pravi genije! odmah prepoznao!!!

Unlocker, malo bajata verzija, novi nisam mogla da skinem, daje mi 403/forbidden, kaze da nije zakljucan, ali da navodno moze da radi na njemu rename, del, move.. nisam probala nista.

WinExp ga vidi, i nema obelezje da je hiden .


Mnogo Ti hvala za ovo do sada, nadam se da ces pomoci i da vdwbf.sys nekako, nesto... mora da je to taj glavni...


Avenger je u rootu napravio folder i u njega stavio subfl backup i unutra je izvestaj i siszyd32.exe , ja bih zelela da se ovo ukloni sa moje masine , da ga brisem?

Moj provajder ne dozvoljava slanje tkavih fajlova, skenira i zipove

Zipuj/raruj i postavi sifru, nece moci da vide kriptovani fajl, cak i ako je sifra napisana u tekstu poruke.

Zipuj/raruj i postavi sifru, nece moci da vide kriptovani fajl, cak i ako je sifra napisana u tekstu poruke.

Veliko HVALA!, sad sam naucila nesto za ubuduce.
Ali ovaj gad se ne da ni kopirati, ni slati, ni pakovati.

Can't open file for reading
putanja/ vdwbl.sys

Potpuno je zakucan.


Evo i logova iz DDS-a u njima vise nema siszyd32.exe, osim u events sto je ,valjda normalno

Imao sam isti problem kao i ostali sa siszyd32.exe u startup-u. Citao sam postove ovde na ovu temu i deluje mi sve to malo konfuzno. Malo sam googlao i nasao ovo http://www.freefixer.com/library/file/45879/
Primenio sam savete koje su tamo dali.

1. Skinete freefixer http://www.freefixer.com/download.html (freeware)
2. Instalirate program i pustite ga da skenira sistem (traje oko 5 min)
3. Kada zavrsi sa skeniranjem skrolujete do sekcije "Autostart shortcuts", pronadjete siszyd32.exe i cekirajte ga.
4. Skrolujete do kraja i kliknete na Fix
5. Restartujte racunar
6. Ponovo skenirajte sistem uz pomoc freefixer-a i uverite se da nema vise siszyd32.exe

Nadam se da ce ovo pomoci.

Isti postupak sa Avengerom odradi i za ovaj fajl, znaci kopiraj sledeci tekst i klik na execute.

Files to delete:
c:\windows\system32\drivers\vdwbf.sys

Avenger je u rootu napravio folder i u njega stavio subfl backup i unutra je izvestaj i siszyd32.exe , ja bih zelela da se ovo ukloni sa moje masine , da ga brisem?

Posle ces da pobrises sve.

Imao sam isti problem kao i ostali sa siszyd32.exe u startup-u. Citao sam postove ovde na ovu temu i deluje mi sve to malo konfuzno. Malo sam googlao i nasao ovo http://www.freefixer.com/library/file/45879/
Primenio sam savete koje su tamo dali.

To zvuci jako zgodno i udobno. Basa Mrkalj je sjajno, na vise nacina nalzio put da se ujkloni sam fajl, ali izgleda da taj pravi malo vise rsuma nego samo taj .exe

Sledeci linkove koje si dao, vidim na Sophos-u da pravi bar tri fajla.
http://www.sophos.com/security/analyses/viruses-and-spyware/trojagentlvn.html

When first run Troj/Agent-LVN copies itself to:
<Temp>\~tm6.tmp
<Start Menu\Programs>\\Startup\siszyd32.exe
and creates the file <User>\Application Data\avdrn.dat.Sva tri ili imam ili sam imala, pokusacu da uklonim ovaj .dat, a mislim da je tako i sa ostalima.

Iz reakcije Windows Defendera znam da mu izvesno pripada i kljuc

HKLM\Software\Microsoft\Windows\CurrentVersion\Run \\sysgif32

Kreiranje kljucja je kod mene WD zaustavio, ali bi trebalo da ga ima na zarazenim masinama.

Jos jedan kljuc je sinoc, kod mene, bio sumnjiv Clam, u medjuvremenu sa ga iskljucila da ne pravim guzvu, pa ne mogu da ga citiram, ali ukazuje na atapi.sys

A, tu je i taj misteriozni fajl koji je kod mene u sys32/drivers /vdwbf.sys.
Po svemu sudeci ta mala gamad malo vise vrslja okolo, iako ga verovatno uklanjanje izvrsnog fajla ometa., buduci da ovaj vdwbf.sys -- od kda mi je Basa Mrkalj skrenuo paznju na njega nezaustavivo raste, a neki proces ga drzi zakovanim.

U, svakom slucaju hvala! zgodno je znati da postoji i filefix.

@=Basa Mrkalj;927732]

Ti si GENIJE, nema ga, proverila i odokacki (sta ces, neverni(a) Toma), a evo i loga

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\system32\drivers\vdwbf.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Obrisala sam rucno i onaj .dat koji pominje Sophos.

BESKRAJNO Ti HVALA!!!
Treba li jos nesto :)

Ako nemas vise problema mozes da pobrises te alate koje smo koristili i foldere koje je napravio Avenger. Ukoliko pak imas problem mozemo da odradimo jos jednu proveru, ti mi javi ako si za. Pozz.
Ustvari uradi ovako:
Skini ovaj program http://www2.gmer.net/download.php
Kad ga pokrenes sacekaj malo da odskenira. Kad zavrsi prvo skeniranje klikni na Scan i sacekaj da zavrsi.Zatim klikni na Save i sacuvaj log na desktop kao Gmer, a zatim ga okaci na pastebin.com i postavi mi link.

Juce sam ukljucio komp i kad ono pocelo sve sporo da radi ko nenormalno. NENORMALNO sporo. Zauzece CPU-a bilo je 100 % iako ja nista nisam radio. Pomislio sam da je virus. Aviru sam ukljucio kad sam trebao da spavam medjutim kad sam se probudio on jos na 4 %!! Skenirao sam u Safe modu, on ga detektovao i sve ali reko kao da je taj fajl zakljucan ili nemam pravo da ga obrisem (ja se logujem na Administratora jer nisam napravio drugi nalog a fajl je syszid32.exe, nalazio se u 'C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\). Kad sam ga restartovao, ono sve lepo normalno lepo radio, ko nov, zauzece CPU-a 0-4 %, ali ja jos jednom skeniram avirom medjutim opet isto. Kad sam otiso na tu lokaciju, sa ukljucenim alatom da vidim hidden fajlove, njega nema! A odem u karantini avire medjutim vidim da je taj fajl u karantini!!! Ne shvatam uopste :n-cc2:
Sta li mu je????? Jel obrisan???? A kad skeniram avirom on ga detektuje, ista prica sve kao da ne moze da ga obrise ali....bre! Opet sve isto u krug.:nov_mad2:
Da li je obrisan, a ako nije pomozite mi pls moram da se resim ove gamadi. Skenirao sam i sa Malwarebytesom, ali on nista nije detekotovao... :n_klanja::n_klanja::n_klanja:Nemam problema sad, nista mi ne brljavi al me nervira to sto kad skeniram sa Avirom on mi detektuje TR/Dropper Gen. ali bre bre! Kaze zakljucan je i kaze da bi ga obrisao moram da restartujem, ali opet ista prica!! :n-cc2:
Probacu da skeniram sa ComboFixom i poslati vam log, ako to ne pomogne onda vi nadjite nekog nacina da izbacim ovo cudo sa kompa.
edit: kad sam restartovao da mi skenira u SafeModu, video sam da je IE 7 izbrisan!! Verovatno ga taj virus izbrisao... Mada, mene bas i boli uvo za IE kad je los :D
Problem je sam od sebe resen - jednostavno avira na proslom skenu nista nije detektovala i to znaci da vise nemam problema. :D:D:D

@=Basa Mrkalj;

http://pastebin.com/m56bfdf56Bolje bi bilo da sam te odmah poslusala. Ostavila sam Gmer za kraj.

Eh, nista ne valja, bas sam ga progutala, kao som. :facepalm

Kao sto sam i pretpostavio, rootkit je u pitanju, odradi isto sa Avengerom i iskopiraj mi log posle tretmana. Evo skripte.

Files to delete:
c:\windows\system32\drivers\vdwbf.sys

Drivers to delete:
vdwbf

Ne brini, ovo ce ga ubiti kao zeca :D

I ja sam imao isti problem. U pocetku sam imao nod on mi je prijavljivao da je atapi.sys zarazen ali nije mogao da ga obrise i instaliram KIS 2010 a on mi nadje u startup siszyd32.exe i obrise ga. E sad neko rece da atapi.sys treba da zauzima 95 kb a meni je u windows/system32/drivers/atapi.sys 149 kb dok mi je na druga mjesta 95 kb, znaci li to da je atapi zarazen?
KIS mi stalno javlja da "will be deleted... Virus Rookit.Win32.Agent.aaba C:/windows/system32/drivers/zxnkhaw.sys i kad ga kao izbrishem i restartujem komp opet se pojavi. Probao sam proces da izbrishem na delete nemoze.Nedje na netu nadjoh da ko ima ovaj Virus Rookit.Win32.Agent.aaba ima i siszyd32.exe.
E ako moze neko da mi da link dje da skinem combo fix posto ga nemogu nac jer su blokirali download jer novi CF ima neku gresku.
Ako mi moze neko pomoc da uklonim ova cuda iz mog kompa bio bih mu zahvalan??:confused:
Evo log http://pastebin.com/m59393602

E sad neko rece da atapi.sys treba da zauzima 95 kb a meni je u windows/system32/drivers/atapi.sys 149 kb dok mi je na druga mjesta 95 kb, znaci li to da je atapi zarazen?

Da zarazen je.

Ako nisi siguran, otidni u device menadjer, nadji IDE kontroler, pa properties, pa driver details i vidi sta kaze za atapi.sys. Ako je "signovan" i prepoznat ko microsoftov fajl onda nije zarazen, a ako je unknown, onda je zarazen.

Brisanje nije resenje, jer dovodi do nemogucstva butovanja sistema. Treba da nadjes rezevni atapi.sys i stavis preko ovog, na primer kad si u safe modu, ili koristeci neki live OS koji moze da cita/pise NTFS. Naravno, ovo nije dovoljno ako ostali repovi virusa ostanu, jer ce veoma lako ponovo da zaraze atapi.sys (kao sto je u mom slucaju to nekoliko puta ponovo uradio).

Ne brini, ovo ce ga ubiti kao zeca :D

:aplauz: Bas tako! nema, ga vise, nema... Proverila sam i Gmerom.

http://pastebin.com/m231d8ee4 Znam da su ti mnogi rekli, ali moram i ja GENIJE! Samo Nebo zna koliko sam ti zahvalna.

PS
Pokusala sam da ostavim zavalnicu, ali ni prosle noci, a ni sada kada pritsnem [Hvala] nista se ne dogadja?

@=player1

Mnogo ti hvala za prvu ruku pomoci, pomoglo mi je da smirim zivce i da uz tvoju pomoc uradim prvu analizu.

Veliko, veliko hvala!

@HiddEn

Skini Program http://images.malwareremoval.com/random/RSIT.exe na desktop
Dvoklikom pokreni RSIT a zatim klikni Continue
Napravice ti dva loga, meni treba onaj maksimizovan log.txt a ne info.txt koji ce biti minimizovan.

a meni je u windows/system32/drivers/atapi.sys 149 kb

To je veoma zeznut rootkit, veoma lako moze da se desi da prilikom zamene tog fajla padne sistem.

Nijesam ni stigao da uradim to sto ste mi rekli. Jutros palim komp i cim se podiga windows pojavi mi se onaj "error services.exe" windows shut down i odbrojava 1 minut, posle tooga nijesam moga vishe da podginem windows ni preko safe moda. Reinstalira sam ga sad i atapi.sys mi je 95 kb :D
Ovo mi je drugi najgori virus koji sam imao prvi je bio neko cudo virtumonde :)
hvala svima na odgovorima

Imam problem sa istim fajlom... Zauzetje procesora naravno na 100%...
Imam NOD32, Ad-Aware, a sada trenutno skeniram sa Malwarabytes-om...
Nishta josh nije nashao... Chitao sam temu od pochetka, i da li i ja da vam dostavim logove i sa kojim programom? Poshto sam prochitao da ne treba da radim isto kao i svi ostali... Hvala

trebas da skeniras sa dva programa:
Prvo sa Combofixom (pa njegov log da postavis ovde)
i sa DDs-om (i njegov drugi log postavi ovde) nadam se da u ranijim stranicama ima download link za oba

Javljam se sa logom...
Ovo je log od DDS-a.
http://pastebin.com/m4e167bf7
Jedna mala napomena... Nisam ni primetio da na ovom rachunaru ima gamadi, (koleginica 99% vremena radi na njemu), nego mi stalno net bio zauzet, a delimo ga. Pa sam video u NOD32 firewall-u da stalno iskachu novi procesi (services) i shalje podatke uz pomotj smtp protokola... Onda sam stavio interactive mode u nodu, i ok. net nije zauzet ali je komp usporio dosta!
Pa sam potom, iskljuchio iz msconfig-a taj siszyd32.exe ali posle restarta se vratio... Nije problem i ako se neshto zezne na rachunaru mogu da ga reinstaliram brzo, ali mi fale programi za netbanking i podeshavanja... A koleginici bash zato i treba ovaj rachunar, pa zato i pokushavam da ga ochistim... Da sprechim reinstall... Bar josh neko vreme...

Skenira mi sada i ComboFix, nego mi izbacio na pola da mu fali neki microsoft repair (neshto neshto) pa je hteo da ga skine sa sajta, i izbacio greshku... I nastavio je sada sa skeniranjem za malicius software... Jel mi treba i taj neshto neshto repair?

Pozdrav i hvala!

--EDIT
http://pastebin.com/d74ec0520
Log od ComboFix-a
I radi komp primetno brzhe... Cpu miruje...
Josh neshto beshe treba da odradim?

Evo ga josh jedan. Do duse nemam nikakve vidljive simptome osim sto jutros nije hteo da podigne sistem. Podigao sam Last Good Known Configuration i sada radi normalno. Pogledao sam za svaki slucaj u msconfig/startup, kad imam sta i da vidim :)

Evo linka, i hvala unapred
http://pastebin.com/m52e463b7

P.S.
Tamo sam postovao samo DDS.txt. Nema opcije za attachement kako je opisano za attach.txt fajl pa sam ga zakacio ovde.

procesi su ok. za dalje ne znam :D

Skini Avenger i raspakuj ga u folder.
Pokreni ga dviklikom
Iskopiraj ovaj tekst u beli prozor programa

Files to delete:
c:\documents and settings\nino\start menu\programs\startup\siszyd32.exe
c:\windows\system32\drivers\eqrgghv.sys
c:\docume~1\nino\applic~1\avdrn.dat

Drivers to delete:
eqrgghv

Zatim klikni Execute pa dva puta Yes.
Posle restarta postavi log na forum.

Hvala Baso!

U startupu uljez vise nije selektovan, a nema mi njegovog 'klona'. Ipak avenger prijavljuje neku gresku. Evo ga log.

@NIx
Hvala na trudu, ali ovde je Basa Car :D

Ta gresska nije bitna, jurio sam drajver za svaki slucaj, medjutim on ne postoji u sistemu. Uglavnom problem je resen.

Pozdrav svima, drago mi je se ova rubrika jos cita, jer ne znam gde bih ostavila ovu informaciju.

Mislim da smo zajednickim trudom utvrdili da je najezda siszyd32.exe oko 6. decembra dostigla kriticnu tacku, buduci da se od tada umnogostrucio broj prijava ove napasti.

Posle ciscenja od pre par dana (ne javih se zbog obaveza), pogledala sam kako Microsoft stoji sa zakrpama i pacovala Windows.
-- 8. decembra MS je izbacio tridesetak sigurnosnih zakrpa u High-priority updates. Stoga, posle ciscenja -- pravac Windows Upd.

Jos jednom hvala za svu pomoc!

Dakle, u pitanju je "siszyd32.exe", naravno. Pojavilo se i neće da nestane. Čuh da je HijackThis ok i to skinuh. Upalio ga, kako mi je rečeno, u Safe Mode-u, pustio da skenira, čekirao ovaj "siszyd32.exe" i rek'o mu da reši problem. Restartovao komp i sve ok. Sve nestalo. Ugasio komp, a kada sam ga posle dva dana ponovo upalio, isti problem. Pitanje: zašto ga nije skroz obrisao i da li sam trebao Combofix da skinem i pokrenem? Btw, log kada je njesra bilo prisutno u kompu je izgledao ovako: http://freetexthost.com/wnfjgloqoi
Druze Mrkalje, sta mi je radit'? Inače, komp je sada, kao, bez ovog čuda jer ga ponovo proterah kroz HijackThis (jer je sve toliko sporo išlo da to nisam mogao da trpim), ali sve nešto mislim da će mi prilikom sledećeg restartovanja računara prijaviti da se vratio...

trebao si da piustis CF da skenira pa da njegov log isto tako okacis
a na HJT-u evo sta treba da obrises
O4 - Startup: siszyd32.exe
O1 - Hosts: 80.239.151.231 db1.rapidshare.com
O1 - Hosts: 80.239.151.232 db2.rapidshare.com
O1 - Hosts: 80.239.151.233 db3.rapidshare.com
O1 - Hosts: 80.239.151.234 db4.rapidshare.com
O1 - Hosts: 80.239.151.235 db5.rapidshare.com
O1 - Hosts: 80.239.151.253 games.rapidshare.com
O1 - Hosts: 80.239.151.251 images.rapidshare.com
O1 - Hosts: 80.239.151.240 images2.rapidshare.com
O1 - Hosts: 82.129.39.245 kvm1.rapidshare.com
O1 - Hosts: 82.129.39.246 kvm2.rapidshare.com
O1 - Hosts: 82.129.39.247 kvm3.rapidshare.com
O1 - Hosts: 82.129.39.248 kvm4.rapidshare.com
O1 - Hosts: 82.129.39.249 kvm5.rapidshare.com
O1 - Hosts: 80.239.151.250 mail.rapidshare.com
O1 - Hosts: 80.239.151.250 ns1.rapidshare.com
O1 - Hosts: 80.239.151.234 ns2.rapidshare.com
O1 - Hosts: 80.239.151.250 pay.rapidshare.com
O1 - Hosts: 80.239.151.240 rem1.rapidshare.com
O1 - Hosts: 82.129.39.2 rs0cg.rapidshare.com
O1 - Hosts: 82.129.39.3 rs0cg.rapidshare.com
O1 - Hosts: 82.129.39.4 rs0cg.rapidshare.com
O1 - Hosts: 82.129.39.5 rs0cg.rapidshare.com
O1 - Hosts: 82.129.39.6 rs0cg.rapidshare.com
O1 - Hosts: 82.129.39.7 rs0cg.rapidshare.com
O1 - Hosts: 82.129.39.8 rs0cg.rapidshare.com
O1 - Hosts: 82.129.39.9 rs0cg.rapidshare.com
O1 - Hosts: 82.129.39.10 rs0cg.rapidshare.com
O1 - Hosts: 82.129.39.11 rs0cg.rapidshare.com
O1 - Hosts: 82.129.39.12 rs0cg.rapidshare.com
O1 - Hosts: 82.129.39.13 rs0cg.rapidshare.com
O1 - Hosts: 82.129.39.14 rs0cg.rapidshare.com
O1 - Hosts: 82.129.39.15 rs0cg.rapidshare.com
O1 - Hosts: 82.129.35.2 rs0cg2.rapidshare.com
O1 - Hosts: 82.129.35.3 rs0cg2.rapidshare.com
O1 - Hosts: 82.129.35.4 rs0cg2.rapidshare.com
O1 - Hosts: 82.129.35.5 rs0cg2.rapidshare.com
O1 - Hosts: 82.129.35.6 rs0cg2.rapidshare.com
O1 - Hosts: 82.129.35.7 rs0cg2.rapidshare.com
O1 - Hosts: 82.129.35.8 rs0cg2.rapidshare.com
O1 - Hosts: 82.129.35.9 rs0cg2.rapidshare.com
O1 - Hosts: 82.129.35.10 rs0cg2.rapidshare.com
O1 - Hosts: 82.129.35.11 rs0cg2.rapidshare.com
O1 - Hosts: 82.129.35.12 rs0cg2.rapidshare.com
O1 - Hosts: 82.129.35.13 rs0cg2.rapidshare.com
O1 - Hosts: 82.129.35.14 rs0cg2.rapidshare.com
O1 - Hosts: 82.129.35.15 rs0cg2.rapidshare.com
O1 - Hosts: 80.152.62.2 rs0dt.rapidshare.com
O1 - Hosts: 80.152.62.3 rs0dt.rapidshare.com
O1 - Hosts: 80.152.62.4 rs0dt.rapidshare.com
O1 - Hosts: 80.152.62.5 rs0dt.rapidshare.com
O1 - Hosts: 80.152.62.6 rs0dt.rapidshare.com
O1 - Hosts: 80.152.62.7 rs0dt.rapidshare.com
O1 - Hosts: 80.152.62.8 rs0dt.rapidshare.com
O1 - Hosts: 80.152.62.10 rs0dt.rapidshare.com
O1 - Hosts: 80.152.62.11 rs0dt.rapidshare.com
O1 - Hosts: 80.152.62.12 rs0dt.rapidshare.com
O1 - Hosts: 80.152.62.13 rs0dt.rapidshare.com
O1 - Hosts: 80.152.62.14 rs0dt.rapidshare.com
O1 - Hosts: 80.152.62.15 rs0dt.rapidshare.com
O1 - Hosts: 64.215.245.2 rs0gc.rapidshare.com
O1 - Hosts: 64.215.245.3 rs0gc.rapidshare.com
O1 - Hosts: 64.215.245.4 rs0gc.rapidshare.com
O1 - Hosts: 64.215.245.5 rs0gc.rapidshare.com
O1 - Hosts: 64.215.245.6 rs0gc.rapidshare.com
O1 - Hosts: 64.215.245.7 rs0gc.rapidshare.com
O1 - Hosts: 64.215.245.8 rs0gc.rapidshare.com

i sve ostalo vezano za rapidshare tj to sto pocinje sa 01-hosts:

Uradio, to jest obrisao sve što si napisao. I mislio sam da sam rešio problem. No, to se sve ponovo javilo. Kao što i napisah, to sam ponovo uradio i trenutno sam bez svih tih *****a, ali ne znam šta će biti posle gašenja i ponovnog paljenja.

aj odradi to pa javi

Postavi mi DDS log http://download.bleepingcomputer.com/sUBs/dds.scr
Pokreni ga u normal mode i postavi log kao sto si postavio i HJT.
Nemoj da pokreces Combofix.

Baso,

Danas sam u 14h krenuo da se zayebavam sa ovim siszyd32.exe i konačno pre par sati naleteo na ovaj forum.
Pre toga sam instalirao, deinstalirao pa ponovo instalirao sledeće stvari: WinPatrol, Spyware Doctor i Malewarebytes. Surfao sam po netu i svaki savet i preporuku pokušavao da sprovedem.

Zatim sam naleteo na ovaj forum i dobar deo vremena odvojio na to da razumem termine koji se koriste (jer sam apsolutni amater). Onda sam instalirao Avanger po tvojem uputstvu i uništio taj fajl. Sada mi je CPU opet u normali.
Evo loga:
http://pastebin.com/m698c3ba1

Međutim, čini mi se da bi to bilo suviše lako, pa sam uradio čitav Gmer scan i evo loga:
http://pastebin.com/m54a0ff32

Da li bi trebalo još nešto da uradim?

Sada više nema siszyd32 fajla u startup meniju, ali i dalje stoje neki fajlovi koje ne mogu da obrišem a koje je neko pominjao kao zle, tipa "svchost.exe".

Hvala unapred i pozdrav.

@chikabuda (http://www.sk.rs/forum/member.php?u=26022)

Skini ovaj program na desktop http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ugasi Antivirus i obavezno pokreni program sa desktopa
Klikni na yes \ ok za sve sto te pita i nista ne diraj dok program ne zavrsi sa radom.
Kad zavrsi izbacice ti log koji ces iskopirati na pastebin.com

Postavi mi DDS log http://download.bleepingcomputer.com/sUBs/dds.scr
Pokreni ga u normal mode i postavi log kao sto si postavio i HJT.
Nemoj da pokreces Combofix.

Hm, sad mi tek nista nije jasno - restartovao sam komp, upalio internet i Mozillu, kad ono - sve normalno radi. Dakle, nije se vratilo kao sto sam mislio. Sad, da li ce se sledeci put pojaviti - ne znam. Btw, ipak sam "proterao" DDS te evo i doticnog loga, cisto da vidis da li ima nesto sumnjivo - http://freetexthost.com/dc1q6t2vtl.

@Cancerma

c:\windows\system32\affv11300p2now.sys

Pronadji ovaj fajl i posalji ga na analizu na http://www.virustotal.com/
a zatim mi postavi link sa izvestajem.

@Cancerma

c:\windows\system32\affv11300p2now.sys

Pronadji ovaj fajl i posalji ga na analizu na http://www.virustotal.com/
a zatim mi postavi link sa izvestajem.

Stize: http://www.virustotal.com/analisis/d9cb19344a5a17a525dc7711313102000e9a9b3d839ce600b5 3271eb1f403530-1261998011

File affv11300p2now.sys received on 2009.12.28 11:00:11 (UTC)

Result: 0/41 (0%)

Ok u tredu je.

Imas ovde na stranici link za Avenger i uputstvo. Iskopiraj sadrzaj teksta u prozor avengera i klikni execute i dva puta yes.

Files to delete:
c:\docume~1\celeron\applic~1\fvgqad.dat
c:\docume~1\celeron\applic~1\avdrn.dat

Baso, evo ga:
http://pastebin.com/d4666643c

c:\windows\system32\drivers\PCTCore.sys

Dok pregledam log, proveri mi ovaj fajl na http://www.virustotal.com/
I postavi mi link sa izvestajem

0/41

analisis/32795d24abe2916ae73d86ae33656667bc7d882b4e451f8652 f91da1ef62222a-1261220186 (http://www.virustotal.com/analisis/32795d24abe2916ae73d86ae33656667bc7d882b4e451f8652 f91da1ef62222a-1261220186)

Skini ovaj fajl i raspakuj ga na desktop.
Iskljuci AV
Levim klikom misa prevuci CFScript na ikonicu Combofixa kao na slici

http://i28.tinypic.com/6nxdvq.gif

Posle ciscenja postavi mi log koji dobijes.

Evo ga:
http://pastebin.com/d1868c6a5

Trebalo bi da je stanje ok. Imao si rootkit OYRPT koji smo obrisali.

Samo deinstaliraj Combofix

Start\ run pa iskopiraj Combofix /Uninstall ok i sacekaj da se deinstalira.

A šta da ostavim od svih ovih stvari koje sam instalirao: Spyware Doctor, WinPatrol, Malewarebytes, Avenger, Gmer...
Takođe, deinstalirao sam AVG. Imaš li preporuku koji AV da instaliram?

Ja licno koristim Avast free verziju i Malwarebytes takodje free. Imam i Comodo Firewall, ali u principu nije toliko bitan kao antivirus. AVG po meni nije dobar antivirus, to je moje licno misljenje.
Avast je veoma dobar antivirus ma sta ko o njemu pricao.
Ove programe koje smo koristili mozes da pobrises, nisu ti potrebni.

i obrisi spyware doctora i winpatrol po meni nepotrebni programi ako imas AV i Malwarebytes. A ako te comodo smara uzmi PC tools firewall plus

Imam i ja problem sa ovim. Odjednom se pojavio siszyd32.exe, a Nod je poceo da mi prijavljuje gomilu virusa u Windows/system32/drivers. Preko CCleanera, u Startup opciji sam mu uradio disable, ali je i dalje ostao tamo, Delete entry ne fukncionise za njega.

Basa Mrkalj, posto bas imam taj problem sa kompom, otvorio sam i novu temu, vidim da mozes da mi pomognes. Sta treba prvo da uradim? Skinem ComboFix pa da okacim log?

Skini Program DDS http://download.bleepingcomputer.com/sUBs/dds.scr
Dvoklikom pokreni DDS
Sacekaj malo, izbacice ti dva loga
Iskopiraj mi log DDS.txt na http://pastebin.com/
Copy\paste pa send i iskopiraj mi link.

http://pastebin.com/m3a1851c5

Evo ga.

Skini ComboFix sa sledece adrese na Desktop:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Ugasi Nod obavezno i pokreni combofix sa desktopa
Yes\ Ok za sve sto te pita
Kad izbaci log, kopiraj ga na pastebin.

http://pastebin.com/m51de6a6b

Samo da napomenem, trazio je da se konektuje da skine nesto jer mi nije ukljucen "Windows recovery system" ili tako nesto, ja sam kliknuo No, kontam da je to hteo samo zbog restore pointova.

Ponovo ugasi AV
Skini ovaj fajl i raspakuj na desktop
Prevuci ga na ikonicu Combofixa kao na slici

http://i28.tinypic.com/6nxdvq.gif

Kad zavrsi postavi mi novi log.

Obrisao sam ikonicu sa desktopa, je l' to ima neke veze? :/
Hoce mu smetati ako opet skinem taj fajl, pa da prebacim skriptu na njega?

Izvinjavam se za 2 posta zaredom, ali sam kontao da ono brisanje i nema neke veze.

http://pastebin.com/md9ffa0

Evo, posle koriscenja skripte.

Start> run > Combofix /Uninstall ok i sacekaj da se deinstalira.
Mislim da je sada sve ok.

Basa Mrkalj, hvala ti puno :alealeee:
Evo, vise se ne javlja onaj problem, sve radi kako treba :)

Ok u tredu je.

Imas ovde na stranici link za Avenger i uputstvo. Iskopiraj sadrzaj teksta u prozor avengera i klikni execute i dva puta yes.

Files to delete:
c:\docume~1\celeron\applic~1\fvgqad.dat
c:\docume~1\celeron\applic~1\avdrn.dat

Ovo tek sad videh posto ne bejah pri kompu. So, nisam ga pokrenuo jer mi se onaj siszyd32.exe ponovo pojavio i to iznebuha, odjednom. Na internetu sam, sve sljaka ok, ali u jednom trenutku primetim da je komp malo usporio. No, evo ga log sa DDS-om: http://freetexthost.com/wxu2gnggnm (btw, imam snimljen i attach.txt fajl ako je potrebno da se zipuje i postavi)

Skini ComboFix sa sledece adrese na Desktop:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Ugasi Nod obavezno i pokreni combofix sa desktopa
Yes\ Ok za sve sto te pita
Kad izbaci log, kopiraj ga na pastebin.

@Cancerma uradi ovako

btw. Ljudi gde zakaciste ovu gamad, mora da je na FB :D

@Cancerma uradi ovako

btw. Ljudi gde zakaciste ovu gamad, mora da je na FB :D

Mrkalje, evo ga: http://pastebin.com/d27b967c9
(samo mala napomena: iskljucio sam NOD rucno, ali kada sam pokrenuo Combofix, rekao mi je da nije iskljucen te sam ja onda pokusao da ga offiram u taskmanageru, ali posle svakog iskljucenja, on bi se ponovo tamo javljao. No, nisam mogao da prekinem zapoceti proces sa Combofixom, te sam ga i pored toga zavrsio. Nadam se da ovo nije veliki propust.)

Cisto

Start> run > Combofix /Uninstall ok i sacekaj da se deinstalira.

Cisto

Start> run > Combofix /Uninstall ok i sacekaj da se deinstalira.

Ok, sada cu to da uradim. Btw, ovo ne treba: http://www.sk.rs/forum/showpost.php?p=939519&postcount=111, ne?

Ne treba ocistio je automatski



c:\documents and settings\celeron\Application Data\avdrn.dat
c:\documents and settings\celeron\Start Menu\Programs\Startup\siszyd32.exe
c:\program files\Mozilla Firefox\searchplugins\search.xml
c:\windows\run.log
c:\windows\system32\logs

Uradjeno. Neopisivo hvala:aplauz:.
Btw, jos samo dva pitanja: na D: i E: imam neke foldere koji su se formirali, a zovu se "Recycler" i "MSOCache" (ovaj drugi "nosi" 290 na D:-u i 270 mb na E:-u). Sta da radim sa njima? Da brisem?
+ Windows Security Center se prilikom svakog paljenja "dize" i govori kako "your computer might be at risk". Da ga offiram posto radi NOD32? I cemu uopste taj Security Center sluzi?

Te foldere ne diraj, a securyti centar iskljuci

Pozdrav svima.

Pokusala sam da procitam sve savjete vezano za problem sa ovim cudom "siszyd32.exe", ali sam se totalno pogubila. :facepalm

Danas mi se prvi put pojavilo, prijavio ga avast, i nakon pocetne reakcije "uncheck" iz startupa, nista se nije desilo, ponovo ga je prijavio...

Moze li neko da pomogne? Inace, komp nije usporio, i CPU usage je normalan..
Sta da raaaadim? :icon_conf

ne bi trebalo onda da ti predstavlja neku veliku opasnost po komp. u svakom slucaju sacekaj BM :D sa odgovorom. mada ne bi bilo lose da i ti skines combofix i da okacis log.

Ok, sacekacu..

Btw, prijavljivao mi je i ovo:


D:\System Volume Information\_restore{91479A66-EE1B-4954-A5B2-62830F601A70}\RP113\A0019626.inf


pojma nemam sta predstavlja :icon_scra

Ako se neko seca, u ovoj sam temi pisao kako sam cistio jednu infekciju koje je sadrzala siszyd32.exe. Imala je mnoge komponente (na primer zarazen atapi.sys), i mislio sam da sam sve ocistio, ali sam se prevario.

Nisam tada primetio jos jedan rootkit (neki sys drajver na w, koji se ucitavo pri startu sistema), a glavni razlog zato je sto isti nije pokusavao da rasiri ostale komponene virusa posle ciscenja (kao sto se ranije desavalo). Tako da kada sam uklonio ostale komponente, nisam video pokusaje reinfekcije kljucnih fajlova.

Umesto toga rootkit se bavio slanjem spama svaki put kad je kompjuter vezan na internet. Ne bi ga ni primetio da internet provajder nije blokirao izlaz tog racunara na net.

Kasnije, uz test na drugom provajderu, i netstat komandu, simptomi su bili vidljivi (stalno konektovanje i slanje mejlova). Rootkit je uklonjem sa MalwareBytes alatom, i to tek kad su updejtovane definicije (sto je bilo prilicno sporo na dial-upu zagusenim slanjem spama).

.

Ovde moram da naglasim jednu veliku manju HijackThis aplikacije, a to je da je nemocna da uopste vidi rootkite. I atapi.sys od ranije nije video, nego je isti detektovao anti-virus (ali je isti bio nemocan).


P.S.
Sve u svemu, za sve koji su imali ovu napast, obavezno proverite internet saobracaj sa netstat komandom iz command prompta. Mozda su vasi racunari postali SPAM zombiji.

zato se gleda DDS log a ne HJT log ;)
@spavalica
obrisi to za svaki slucaj... i skini malwarebytes anti malware imas ga na www.download.com

atapi.sys je legitiman drajver i ako njega obrises pade sistem. Postoje dve verzije rootkita trenutno koje napadaju taj drajver. Jedna je potpuno ista velicini legitimnog fajla, dok je drugi duplo veci. Alat koji moze da otkrije taj rootkit je Gmer, DDS i Combofix. Procedura zamene tog zarazenog drajvera je malo zeznuta posto se radi o Windowsovom fajlu i potrebno je imati instalacioni disk.
Inace HJT program za dijagnostiku ne vidi bukvalno nista.

A ja sam nevidljiva :icon_stud

Help pls...

@NIx Car, uradila sam System restore, nije se vise pojavljivalo.. valjda je to sredilo stvar, nemm pojma, ali ovo cudo i dalje iskace,,, :(

Skini Program DDS http://download.bleepingcomputer.com/sUBs/dds.scr
Dvoklikom pokreni DDS
Sacekaj malo, izbacice ti dva loga
Iskopiraj mi log DDS.txt na http://pastebin.com/
Copy\paste pa send i iskopiraj mi link.

@spavalica uradi po ovom uputstvu.

Jesam, evo link:

http://pastebin.com/m22c8bd24

Skini ovaj program http://swandog46.geekstogo.com/avenger2/download.php
Raspakuj ga u folder
Dvoklikom pokreni avenger.exe
Iskopiraj ovaj tekst u beli prozor programa

Files to delete:
c:\documents and settings\xp\start menu\programs\startup\siszyd32.exe
C:\autorun.inf
c:\docume~1\xp\applic~1\fvgqad.dat
c:\docume~1\xp\applic~1\avdrn.dat

Zatim klikni Execute pa dva puta Yes.
Kompjuter ce se restartovati, mozda dva puta.
Iskopiraj mi log C:\avenger.txt

Evo novi log:

http://pastebin.com/d38034565

Prilikom restarta, avast mi je prijavio neki ctfmon.exe, ne znam sta je to..

Odlicno, sve smo pobrisali, sada ne bi trebalo da imas problema.
ctfmon.exe je ono u taskbaru gde menjas da li ces Engleski ili Srpski jesik da biras.
Preporucio bih ti da odradis jos ovo.

Start->Run i otkucaj gpedit.msc
Computer Configuration\Administrative Templates\System\"Turn off Autoplay (Enabled) all drivers

Onda ubaci flesku, desni klik i format, ukoliko nemas nekih vaznih podataka na njoj.

Skini program malwarebytes http://download.cnet.com/3001-8022_4-10804572.html?spi=620f615785a038af13344c9c99a68851&part=dl-10804572
Pokreni ga, next-next, dozvoli mu update i skeniraj na Quick scan. Obrisi sve sto nadje, ako ima nesto.
I neka ti ga taj program uz AV je odlicno resenje.
Posto taj program nije aktivan, uvek kad zelis da skeniras sa njim moras da odradis update, inace veoma brzo odradi scan, za nekih 4-5 min.

edit.

Aha sad sam primetio. Pronadji fajl c:\windows\system32\ctfmon.exe i posalji ga na proveru na ovaj link http://www.virustotal.com/
Zatim postavi link sa izvestajem.

Super, hvala mnogo!!:n_klanja:

Odradila sam i ovo, valjda vise nece biti problema. Ako bude, javim se opet, ako nemate nista protiv :icon_redf

Nemam, mada mislim da je ctfmon cist, za svaki slucaj pusti malwarebytes.

Ne znam jesam li nesto pogresno uradila, za sada mi nista ne izbacuje, ni ctfmon.exe ni ovaj prvi problem, ali mi se pojavilo samo upozorenje od Windowsa da su mi i firewall i automatic updates off... Znate onaj baloncic "your computer bla bla risk"...

Hocu to ostaviti tako, ili...? Buduci da se do sada nije pojavljivalo.. :icon_scra

Hvala jos jednom.

Ako imas crveni trougao, da tako kazem iskljuci ga u servisima Security Center -stop
Automatic update ugasi ako nemas legalan softver i to je to.

Imas dosta procesa koji se podizu sa windowsom, mozes iskljuciti skoro sve osim Avasta i ctfmon i ukoliko zelis neki da se podize sa winom, ostavi. Svaki program ce raditi kad ga ti budes pokrenula.

Srart\ run\ msconfig\ ok\ startup\ pa rascekiraj sve sto ti nije potrebno. restartuj
Zatim ce da ti se pojavi neko obavestenje kad se podigne sistem, stavi kvacicu, ok i to je sve.

edit.

Aha sad sam primetio. Pronadji fajl c:\windows\system32\ctfmon.exe i posalji ga na proveru na ovaj link http://www.virustotal.com/
Zatim postavi link sa izvestajem.

To je ovo, pretpostavljam?

http://www.virustotal.com/reanalisis.html?d2fed8ccae118f06fd948a4b12445aa8c2 9a3e7bb5b6fe90970fbc27f426f0b0-1262213139

Inace, sada sam restartovala, nije mi nista javljalo, cini se da je sve ok..

@Basa Mrkalj

pre izvesnog vremena sam imao problema sa ovim virusom i ti si mi pomogao, juce mi je opet usporio komp i sa Adawerom sam skenirao u Safe modu i nasamo mi je: http://pastebin.com/fdTGaM7k

Sve je kao ocisceno ali mi komp i dalje radi sporo, tako da sam skenirao sa dds-om i evo log-a: http://pastebin.com/THWenR0K

Nadam se da ces opet moci da mi pomognes, hvala unapred

Ugasi antivirus i pokreni Combofix sa Desktopa http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Za sve sto te pita, klikci yes\ok
Kad zavrsi skeniranje kopiraj mi log koji bude izbacio.

Uradjeno:

http://pastebin.com/bbPLwAnk

Skini na desktop ovaj fajl i prevuci ga levim klikom misa na iconicu Combofixa.
Postavi mi log.

izvolite:

http://pastebin.com/MBxg9fgV

Ivancho, mozes da deinstaliras Combofix.

Start\ run\ Combofix /Uninstall ok.

Racunar je cist. Stanje?

Radi mnogo bolje nego juce, hvala puno!

Skini ovaj program i pocisti i optimizuj registry http://www.vitsoft.org.ua/Eng/vit-registry-fix-free.htm

link trenutno ne radi...." Service Temporarly Unavailable " Da li moze sa "TuneUp Utilities 2007" ?

http://www.vitsoft.org.ua/Download/Vit%20Registry%20Fix%20Free%20Edition%20Setup.exe

Radi link, evo ti download link, moze i sa TuneUp

Proradi je link, skino sam program, optimizova registar, ocistio ga, sredio temp fajlove ali... nije mi to to. Da li je moguce da ga je Zone Alarm toliko usporio. Sve mi ima spor odziv i Firefox i Excel i knjigovodstveni program na "dos" osnovi ma sve reaguje sa zadrskom. Cak i kada je vec pokrenut firefox kada hocu da mi otvori npr bookmarks njemu treba...A ocistili smo ga od gamadi, jedino sto mi preostaje je da ga ZA utepava?

Pa sad sve zavisi od konfiguracije, ako ti je slabija naravno da ce da se oseti. Ili da zrtvujes bezbednost zarad brzine. Meni je recimo Comodo lepo radio sa Avastom na 768 mb rama i Barton 2500+ starom racunaru. I jos uvek sljakaju zajedno, na sistemu starom 5 god. :)

Jeste slabija ali to je poslovni, AMD Athlon 3000+ 1.81Ghz sa 448mb ram-a na XP-u sa SP3. Eset Smart Security 4 i ZA.

Ubrzao bi ga ja, ali ne koristim ga samo ja, a pored svega ovoga je i prosla ona gamad sto smo cistili, sta bi tek bilo bez? :paranoia:

obrisi zone alarm verovatno ti usporava komp zato sto na njemu imas 2 firewalla Firewall od eset smart security-a i jos imas ZA.

Misljenja si da mi je dovoljan samo Eset-ov?

Mislim da nije "siszyd32.exe", ali mi se prilikom skeniranja kompa sa Malwarebytes... pojavio "fvgqad.dat" i to u "C:\Windows\system32\config\systemprofile\Applicati on Data\fvgqad.dat", a primetih da se on javljao i kad je bio "siszyd32.exe". Komp nije usporio i nista drugo se nije desilo osim sto je brzina interneta pri skidanju 40-80 i varira, a normalna je 115 (paket 1024/128 KB/s). Da li to ima neke veze ili ipak ne? Takodje - da li ovo sto je nasao Malwarebytes mogu da brisem sa tim programom ili mi je potrebno nesto drugo?
Btw, log file:

http://pastebin.com/wR7ggbN2.

log je cist

log je cist

Mogu li sa Malwarom da brisem to sto se pojavilo? Ima li sanse da to utice na brzinu internet konekcije?

Probaj. Virus ili crv može da usporava konekciju.

skini combofix (download.bleepingcomputer.com/sUBs/ComboFix.exe). pre pokretanja iskljuci antivirus i kada te nesto pita odgovaraj sa yes ili ok zatim kada ti izbaci log opet ga okaci na pastebin

Evo ga:

http://pastebin.com/M0UmZAw9.

Ako neko od kolekcionara ima ovaj čuveni fajl sa nazivom ove teme neka mi se javi na PM. Hoću da vidim zbog čega je on tako poseban da ima osam stranica na ovom forumu. :D

Raspakuj ovaj fajl na desktop i prevuci misem na ikonicu Combofixa

http://i28.tinypic.com/6nxdvq.gif

Iskopiraj log posle ciscenja.

Evo ga:
http://pastebin.com/NP3u4rtd.

Ok, stanje?

U kom smislu? Sto se tice skidanja, krene od 50, 60 i posle nekoliko sekundi dodje na 109, 110 (bilo 115, paket 1024/128 kb/s).
Mali problem bi mozda mogao biti ovo:

Situacija je kod mene ovakva: prva dva (power i link) gore/svetle konstantno. Ok. Sledeca dva (act i lan) non-stop trepte (zeleno i narandzasto). Je l' to treba tako? Koliko se ja nesto secam, ova dva koja trepte nisu konstantno to radila vec samo kada bih nesto "skidao", a sada cim se ukljuci modem u struju, oni ferceraju... (btw, modem je Telekomov Huawei, roze, mislim da je marka MT882)

To je normalna brzina za taj paket.
Deinstaliraj Combofix. U run kucaj Combofix /Uninstall ok i sacekaj da se deinstalira. Racunar je cist.

vidim da se ovde dosta pominje anti malver program Malwarebytes' Anti-Malware, imam ga i ja, i odlican je.

E zanima me, da li da brisem sve trojance i malvere sto on nadje ili ne, jer ako obrisem sve mozda mi se sistem ne podgne, mozda obrisem neke sistemske bitne fajlove? Hvala