Brisanje virusa

[Encephalon]

Imam problem ne znam kako da se obrisem virus, a ne dize mi se sistem, tek sto sam ga radio.

Virus je tr/Crypt.ZPACK.Gen avira mi ga prijavljuje non stop u c://WINDOWS/temp

obrise ga avira, ali mi opet javi da je drugi direktorijum zarazen. Ako neko ima resenje hvala unapred!

[Sass Drake]

Skini i pokreni ovo u Safe Mode-u. Poslije toga instaliraj Malwarebytes' Anti-Malware, uradi update i skeniraj sa njim. Javi šta si uradio.

[doctor]

Imam isti problem, upravo sam hteo da se pozalim... Naravno kao sto svi znaju imam Avast, odradio sam Boot-Scan ali ne pomaze, nista nije nasao i stalno iznova prijavljuje C:\Windows\Temp\xxxx.tmp\svchost.exe (xxxx je random niz od 4 karaktera, uvek razlicit...)

Primer koji je upravo iskocio na sred ekrana:
C:\WINDOWS\TEMP\qdtq.tmp\svchost.exe
Vrsta je Trojan.Generic... Sumnjam Boga mi da je false positive...

MBAM takodje nije pomogao...

Neka ideja?

Btw, sad cu i AVP da probam...

EDIT: Nece PC da mi butuje u Safe Mode zato sto sam ga iz*rkao sa nekim drajverima..

Sad cu da vidim i sa ComboFix...

[SAJEVAC]

Citat:

doctor kaže:

Imam isti problem, upravo sam hteo da se pozalim... Naravno kao sto svi znaju imam Avast, odradio sam Boot-Scan ali ne pomaze, nista nije nasao i stalno iznova prijavljuje C:\Windows\Temp\xxxx.tmp\svchost.exe (xxxx je random niz od 4 karaktera, uvek razlicit...)

Primer koji je upravo iskocio na sred ekrana:
C:\WINDOWS\TEMP\qdtq.tmp\svchost.exe
Vrsta je Trojan.Generic... Sumnjam Boga mi da je false positive...

MBAM takodje nije pomogao...

Neka ideja?

Btw, sad cu i AVP da probam...

Jel si skenirao u safe modu ?

[Encephalon]

Isao sam na ignore i onda mi je samo prekopirao u system32, sada mi vise ne izbacuje prozorce, ali znam da je i dalje u kompu. Nisam probao da skeniram u safe mod-u, uradicu, javicu sta sam uradio!

[player1]

Citat:

doctor kaže:

Primer koji je upravo iskocio na sred ekrana:
C:\WINDOWS\TEMP\qdtq.tmp\svchost.exe
Vrsta je Trojan.Generic... Sumnjam Boga mi da je false positive...

100% nije false pozitive! Sto bi sistemski fajl kao svchost.exe bio u nekom tamo temp folderu.

[doctor]

Rekoh da ne mogu da udjem u Safe Mode nesto mi je pre neki dan SCSI driver daemon toolsa zezn'o...

Whatever, skinuo sam ComboFix, odradio scan, i da kucnem u drvo za sada je sve u redu. Obrisao je msconfig.exe (OMG) i jos neke fajlove i... ma dr'zte log
ComboFix.zip
Pozdrav

P.S. Cak sam i recovery console instalirao i na sve zivo sam odogovarao sa Yes (i citao naravno sta pise)... Znaci samo ga pustite da odradi posao...
Srecno!

Citat:

player1 kaže:

100% nije false pozitive! Sto bi sistemski fajl kao svchost.exe bio u nekom tamo temp folderu.

Pa znam Prosurfovao sam malo i skontao da je relativno nova gamad u pitanju. A i bice da je u pitanju neki rootkit, ComboFix ga je prijavio odmah u startu...

[NIx Car]

i meni je isto CF obrisao msconfig (ne na fizickoj vec na virtuelnoj masini)

[doctor]

Citat:

NIx Car kaže:

i meni je isto CF obrisao msconfig (ne na fizickoj vec na virtuelnoj masini)

Heh, hoces da kazes da svima brise? Vracam ga iz backupa sada Sve u svemu mislim da CF nije bas prilagodjen SP3.

I, da, problem mi se, da kucnem u drvo, nakon CF nije ponovio

[Basa Mrkalj]

Imao si srecu, zarazen ti je bio atapi.sys drajver, koji da ga CF nije dezinfikovao, morao bi da zamenis iz RCosnole.

[doctor]

Citat:

Basa Mrkalj kaže:

Imao si srecu, zarazen ti je bio atapi.sys drajver, koji da ga CF nije dezinfikovao, morao bi da zamenis iz RCosnole.

Primio k' znanju
T.j. skontao sam odma' ali kada sam video da je "izlecen" zaboravio sam na to

I, da, vratio sam MSConfig, i do sada je sve bilo (i ostace) ok

[NEXIS]

pozz.veliki hteo sam vas pitati za resavanje problema oko virusa....koristim aviru 2012,ali mi isto stalno prijavljuje virus, kada god udjem u d particiju on ga prijavi i ja normalno odem na remove onga ocisti 100% ali se opet pojavi u d particiji?virus je ADSPY/AdSpy.Gen2!!!molio bih za savet sta uraditi...veliki pozzzz

[acafacaa]

Citat:

NEXIS kaže:

pozz.veliki hteo sam vas pitati za resavanje problema oko virusa....koristim aviru 2012,ali mi isto stalno prijavljuje virus, kada god udjem u d particiju on ga prijavi i ja normalno odem na remove onga ocisti 100% ali se opet pojavi u d particiji?virus je ADSPY/AdSpy.Gen2!!!molio bih za savet sta uraditi...veliki pozzzz

gde se tacno nalazi taj virus sto avira prijavljuje,daj celu putanju i ceo naziv fajla i virusa?

[NEXIS]

ok.rekao sam u d particiji a naziv fajla je 7zip setup exe.naziv virusa je ADSPY/adSpy.Gen2 POZZZ

[NIx Car]

Preuzmi program DDS sa sledece adrese:
http://download.bleepingcomputer.com/sUBs/dds.scr
i DDS.txt log i Attach.txt log koji ce ti se naknadno pojaviti kopiraj na www.pastebin.com link koji dobijes okaci ovde u poruku.

[NEXIS]

PARDON ZABORAVIO SAM DA NAGLASIM TACNO JE U PARTICIJI D/ downloads.......

[NIx Car]

svejedno,isprati uputstvo,posto je moguce da ti je i particija C zarazena

[NEXIS]

pokusao sam ono sto si mi rekao ali nestize mi nikakav link jel na mail stize ili kako!!!pozzz

[NEXIS]

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1023.435 [GMT 1:00]
.
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost -k DcomLaunch
svchost.exe
C:\WINXP\System32\svchost.exe -k netsvcs
svchost.exe
C:\WINXP\system32\Ati2evxx.exe
svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\RTHDCPL.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\WINXP\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Microsoft\BingBar\SeaPort.EXE
C:\WINXP\system32\svchost.exe -k imgsvc
C:\Program Files\Avira\AntiVir Desktop\avscan.exe
C:\WINXP\system32\dllhost.exe
C:\WINXP\System32\vssvc.exe
C:\WINXP\system32\dllhost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://home.sweetim.com/?st=1&barid={ADF408D9-0B93-11E1-A2E0-001D601E8495}
mStart Page = hxxp://home.sweetim.com/?st=1&barid={ADF408D9-0B93-11E1-A2E0-001D601E8495}
uInternet Connection Wizard,ShellNext = iexplore
uURLSearchHooks: Bitlord Toolbar: {63ee0f5c-b56a-4ecf-b209-45fdcbfcaf45} - c:\program files\bitlord\tbBitl.dll
uURLSearchHooks: uTorrentBar Toolbar: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - c:\program files\utorrentbar\prxtbuTor.dll
uURLSearchHooks: SweetIM ToolbarURLSearchHook Class: {eee6c35d-6118-11dc-9c72-001320c79847} - c:\program files\sweetim\toolbars\internet explorer\mgHelper.dll
BHO: Babylon toolbar helper: {2eecd738-5844-4a99-b4b6-146bf802613b} - c:\program files\babylontoolbar\babylontoolbar\1.4.35.10\bh\B abylonToolbar.dll
BHO: Conduit Engine: {30f9b915-b755-4826-820b-08fba6bd249d} - c:\program files\conduitengine\ConduitEngine.dll
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: Bitlord Toolbar: {63ee0f5c-b56a-4ecf-b209-45fdcbfcaf45} - c:\program files\bitlord\tbBitl.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\progra~1\micros~2\office12\GRA8E1~1.DLL
BHO: Windows Live Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: uTorrentBar Toolbar: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - c:\program files\utorrentbar\prxtbuTor.dll
BHO: Bing Bar Helper: {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "c:\program files\microsoft\bingbar\BingExt.dll"
BHO: SweetIM Toolbar Helper: {eee6c35c-6118-11dc-9c72-001320c79847} - c:\program files\sweetim\toolbars\internet explorer\mgToolbarIE.dll
TB: Bitlord Toolbar: {63ee0f5c-b56a-4ecf-b209-45fdcbfcaf45} - c:\program files\bitlord\tbBitl.dll
TB: Conduit Engine: {30f9b915-b755-4826-820b-08fba6bd249d} - c:\program files\conduitengine\ConduitEngine.dll
TB: uTorrentBar Toolbar: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - c:\program files\utorrentbar\prxtbuTor.dll
TB: SweetIM Toolbar for Internet Explorer: {eee6c35b-6118-11dc-9c72-001320c79847} - c:\program files\sweetim\toolbars\internet explorer\mgToolbarIE.dll
TB: Bing Bar: {8dcb7100-df86-4384-8842-8fa844297b3f} - "c:\program files\microsoft\bingbar\BingExt.dll"
TB: Babylon Toolbar: {98889811-442d-49dd-99d7-dc866be87dbc} - c:\program files\babylontoolbar\babylontoolbar\1.4.35.10\Baby lonToolbarTlbr.dll
TB: DAEMON Tools Toolbar: {32099aac-c132-4136-9e9a-4e364a424e17} - c:\program files\daemon tools toolbar\DTToolbar.dll
uRun: [ctfmon.exe] c:\winxp\system32\ctfmon.exe
uRun: [AdobeBridge]
uRun: [DAEMON Tools Lite] "c:\program files\daemon tools lite\DTLite.exe" -autorun
uRun: [msnmsgr] ~"c:\program files\windows live\messenger\msnmsgr.exe" /background
uRun: [uTorrent] "d:\downloads\utorrent.exe" /MINIMIZED
uRun: [MSMSGS] "c:\program files\messenger\msmsgs.exe" /background
uRun: [BitTorrent] "d:\downloads\BitTorrent-7.2.exe"
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [SkyTel] SkyTel.EXE
mRun: [Alcmtr] ALCMTR.EXE
mRun: [AdobeAAMUpdater-1.0] "c:\program files\common files\adobe\oobe\pdapp\uwa\UpdaterStartupUtility.e xe"
mRun: [EleFunAnimatedWallpaper]
mRun: [SwitchBoard] c:\program files\common files\adobe\switchboard\SwitchBoard.exe
mRun: [AdobeCS5ServiceManager] "c:\program files\common files\adobe\cs5servicemanager\CS5ServiceManager.ex e" -launchedbylogin
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [GrooveMonitor] "c:\program files\microsoft office\office12\GrooveMonitor.exe"
mRun: [SweetIM] c:\program files\sweetim\messenger\SweetIM.exe
IE: E&xport to Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: Search the Web - c:\program files\sweetim\toolbars\internet explorer\resources\menuext.html
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL

nix uspeo sa jedino ovako kao sto vidis,nadam se da ce se nesto uraditi!veliki pozdrav

[NIx Car]

log nije kompletan. Moras mi postaviti na pastebin kako bi log bio kompletan i laksi za pregledanje.