Problem sa "siszyd32.exe"

[Cancerma]

Uradjeno. Neopisivo hvala.
Btw, jos samo dva pitanja: na D: i E: imam neke foldere koji su se formirali, a zovu se "Recycler" i "MSOCache" (ovaj drugi "nosi" 290 na D:-u i 270 mb na E:-u). Sta da radim sa njima? Da brisem?
+ Windows Security Center se prilikom svakog paljenja "dize" i govori kako "your computer might be at risk". Da ga offiram posto radi NOD32? I cemu uopste taj Security Center sluzi?

[Basa Mrkalj]

Te foldere ne diraj, a securyti centar iskljuci

[spavalica]

Pozdrav svima.

Pokusala sam da procitam sve savjete vezano za problem sa ovim cudom "siszyd32.exe", ali sam se totalno pogubila.

Danas mi se prvi put pojavilo, prijavio ga avast, i nakon pocetne reakcije "uncheck" iz startupa, nista se nije desilo, ponovo ga je prijavio...

Moze li neko da pomogne? Inace, komp nije usporio, i CPU usage je normalan..
Sta da raaaadim?

[NIx Car]

ne bi trebalo onda da ti predstavlja neku veliku opasnost po komp. u svakom slucaju sacekaj BM sa odgovorom. mada ne bi bilo lose da i ti skines combofix i da okacis log.

[spavalica]

Ok, sacekacu..

Btw, prijavljivao mi je i ovo:

Kod:

D:\System Volume Information\_restore{91479A66-EE1B-4954-A5B2-62830F601A70}\RP113\A0019626.inf

pojma nemam sta predstavlja

[player1]

Ako se neko seca, u ovoj sam temi pisao kako sam cistio jednu infekciju koje je sadrzala siszyd32.exe. Imala je mnoge komponente (na primer zarazen atapi.sys), i mislio sam da sam sve ocistio, ali sam se prevario.

Nisam tada primetio jos jedan rootkit (neki sys drajver na w, koji se ucitavo pri startu sistema), a glavni razlog zato je sto isti nije pokusavao da rasiri ostale komponene virusa posle ciscenja (kao sto se ranije desavalo). Tako da kada sam uklonio ostale komponente, nisam video pokusaje reinfekcije kljucnih fajlova.

Umesto toga rootkit se bavio slanjem spama svaki put kad je kompjuter vezan na internet. Ne bi ga ni primetio da internet provajder nije blokirao izlaz tog racunara na net.

Kasnije, uz test na drugom provajderu, i netstat komandu, simptomi su bili vidljivi (stalno konektovanje i slanje mejlova). Rootkit je uklonjem sa MalwareBytes alatom, i to tek kad su updejtovane definicije (sto je bilo prilicno sporo na dial-upu zagusenim slanjem spama).

.

Ovde moram da naglasim jednu veliku manju HijackThis aplikacije, a to je da je nemocna da uopste vidi rootkite. I atapi.sys od ranije nije video, nego je isti detektovao anti-virus (ali je isti bio nemocan).


P.S.
Sve u svemu, za sve koji su imali ovu napast, obavezno proverite internet saobracaj sa netstat komandom iz command prompta. Mozda su vasi racunari postali SPAM zombiji.

[NIx Car]

zato se gleda DDS log a ne HJT log
@spavalica
obrisi to za svaki slucaj... i skini malwarebytes anti malware imas ga na www.download.com

[Basa Mrkalj]

atapi.sys je legitiman drajver i ako njega obrises pade sistem. Postoje dve verzije rootkita trenutno koje napadaju taj drajver. Jedna je potpuno ista velicini legitimnog fajla, dok je drugi duplo veci. Alat koji moze da otkrije taj rootkit je Gmer, DDS i Combofix. Procedura zamene tog zarazenog drajvera je malo zeznuta posto se radi o Windowsovom fajlu i potrebno je imati instalacioni disk.
Inace HJT program za dijagnostiku ne vidi bukvalno nista.

[spavalica]

A ja sam nevidljiva

Help pls...

@NIx Car, uradila sam System restore, nije se vise pojavljivalo.. valjda je to sredilo stvar, nemm pojma, ali ovo cudo i dalje iskace,,,

[Basa Mrkalj]

Citat:

Basa Mrkalj kaže:

Skini Program DDS http://download.bleepingcomputer.com/sUBs/dds.scr
Dvoklikom pokreni DDS
Sacekaj malo, izbacice ti dva loga
Iskopiraj mi log DDS.txt na http://pastebin.com/
Copy\paste pa send i iskopiraj mi link.

@spavalica uradi po ovom uputstvu.

[spavalica]

Jesam, evo link:

http://pastebin.com/m22c8bd24

[Basa Mrkalj]

Skini ovaj program http://swandog46.geekstogo.com/avenger2/download.php
Raspakuj ga u folder
Dvoklikom pokreni avenger.exe
Iskopiraj ovaj tekst u beli prozor programa

Kod:

Files to delete:
c:\documents and settings\xp\start menu\programs\startup\siszyd32.exe
C:\autorun.inf
c:\docume~1\xp\applic~1\fvgqad.dat
c:\docume~1\xp\applic~1\avdrn.dat

Zatim klikni Execute pa dva puta Yes.
Kompjuter ce se restartovati, mozda dva puta.
Iskopiraj mi log C:\avenger.txt

[spavalica]

Evo novi log:

http://pastebin.com/d38034565

Prilikom restarta, avast mi je prijavio neki ctfmon.exe, ne znam sta je to..

[Basa Mrkalj]

Odlicno, sve smo pobrisali, sada ne bi trebalo da imas problema.
ctfmon.exe je ono u taskbaru gde menjas da li ces Engleski ili Srpski jesik da biras.
Preporucio bih ti da odradis jos ovo.

Start->Run i otkucaj gpedit.msc
Computer Configuration\Administrative Templates\System\"Turn off Autoplay (Enabled) all drivers

Onda ubaci flesku, desni klik i format, ukoliko nemas nekih vaznih podataka na njoj.

Skini program malwarebytes http://download.cnet.com/3001-8022_4...rt=dl-10804572
Pokreni ga, next-next, dozvoli mu update i skeniraj na Quick scan. Obrisi sve sto nadje, ako ima nesto.
I neka ti ga taj program uz AV je odlicno resenje.
Posto taj program nije aktivan, uvek kad zelis da skeniras sa njim moras da odradis update, inace veoma brzo odradi scan, za nekih 4-5 min.

edit.

Aha sad sam primetio. Pronadji fajl c:\windows\system32\ctfmon.exe i posalji ga na proveru na ovaj link http://www.virustotal.com/
Zatim postavi link sa izvestajem.

[spavalica]

Super, hvala mnogo!!

Odradila sam i ovo, valjda vise nece biti problema. Ako bude, javim se opet, ako nemate nista protiv

[Basa Mrkalj]

Nemam, mada mislim da je ctfmon cist, za svaki slucaj pusti malwarebytes.

[spavalica]

Ne znam jesam li nesto pogresno uradila, za sada mi nista ne izbacuje, ni ctfmon.exe ni ovaj prvi problem, ali mi se pojavilo samo upozorenje od Windowsa da su mi i firewall i automatic updates off... Znate onaj baloncic "your computer bla bla risk"...

Hocu to ostaviti tako, ili...? Buduci da se do sada nije pojavljivalo..

Hvala jos jednom.

[Basa Mrkalj]

Ako imas crveni trougao, da tako kazem iskljuci ga u servisima Security Center -stop
Automatic update ugasi ako nemas legalan softver i to je to.

Imas dosta procesa koji se podizu sa windowsom, mozes iskljuciti skoro sve osim Avasta i ctfmon i ukoliko zelis neki da se podize sa winom, ostavi. Svaki program ce raditi kad ga ti budes pokrenula.

Srart\ run\ msconfig\ ok\ startup\ pa rascekiraj sve sto ti nije potrebno. restartuj
Zatim ce da ti se pojavi neko obavestenje kad se podigne sistem, stavi kvacicu, ok i to je sve.

[spavalica]

Citat:

Basa Mrkalj kaže:

edit.

Aha sad sam primetio. Pronadji fajl c:\windows\system32\ctfmon.exe i posalji ga na proveru na ovaj link http://www.virustotal.com/
Zatim postavi link sa izvestajem.

To je ovo, pretpostavljam?

http://www.virustotal.com/reanalisis...0b0-1262213139

Inace, sada sam restartovala, nije mi nista javljalo, cini se da je sve ok..

[Ivancho]

@Basa Mrkalj

pre izvesnog vremena sam imao problema sa ovim virusom i ti si mi pomogao, juce mi je opet usporio komp i sa Adawerom sam skenirao u Safe modu i nasamo mi je: http://pastebin.com/fdTGaM7k

Sve je kao ocisceno ali mi komp i dalje radi sporo, tako da sam skenirao sa dds-om i evo log-a: http://pastebin.com/THWenR0K

Nadam se da ces opet moci da mi pomognes, hvala unapred