Hitno potrebna pomoć! - HEUR:Trojan.Win32.Generic

shiftee · 12.2.2009, 15:57

Ako neko pouzdano zna kako da se otarasim ovog trojanca/virusa jer sam probao nekoliko vrsta scan-ova i u safe mod-u i uvek je isto:: zarazeni fajlovi ili ne mogu da se obrishu ili nestanu za kratko vreme (5-10min) i ponovo se pojave.

Koristio sam redom (uglavnom sa najsvezijim definicijama): Kaspersky AVR 2009, Counter Spy, Spyware Doctor, Malwarebytes' Anti-Malware, SmitfraudFix...

i XoftSpySE i Prevx CSI - dve aplikacije koje sam izguglao i garantuju uklanjanje ovog trojanca (ali nazalost bez registracije i mogucnosti uklanjanja).

evo i screenshot-ova::

Kaspersky je u safe modu odlozio brisanje inficiranih fajlova !!??
http://www.slicice.com/0902edhv.jpg

Opis i simptomi trojanca ::

Win32/Heur, also mentioned as Virus Win32 Heur is a dangerous self-mutating polymorphic trojan virus, typically installed on windows system without victims knowledge. Once infected, Win32/Heur virus will modify Windows win32 system files, and install additional trojans, worms and viruses onto the infected computer. Trojan Win32/Heur malware is severe security risk that can disable antivirus and firewall software and hijack both local and network computers.

Indications of Win32/Heur infection:

* Slow internet performance, browser shot-downs, Strange running task processes and missing registry files produce general windows instability
* Hijacked browser homepage, desktop wallpaper and taskbar
* Win32 Heur malware recreates after removal, difficult to remove

Win32/Heur virus behaviors:

* Use browser security leaks to infect the Computer with third party applications and trojans
* Trojan Win32/Heu can deactivate anti virus and firewall

Apelujem josh jedanput za pomoc jer mi windows (XP SP3) sve vishe i vishe baguje !!

Evo i Log fajla iz (najverovatnije) Kasperskog (nisam siguran)::
http://www.dodaj.rs/f/3f/l0/3BaVuAeu/text.htm

Djordje Turjacanin · 12.2.2009, 16:39

WMISYNC.EXE has been seen to perform the following behavior:

The Process is packed and/or encrypted using a software packing process
The Process is polymorphic and can change its structure
This Process Deletes Other Processes From Disk
Can communicate with other computer systems using HTTP protocols
Executes a Process
This process creates other processes on disk
Looks at the contents of the autoexec.bat file
Reads email address and phone book details

WMISYNC.EXE has been the subject of the following behavior:

Created as a new Background Service on the machine
Created as a process on disk
Executed as a Process
Deleted as a process from disk
Terminated as a Process
Copied to multiple locations on the system

Country Of Origin

The filename WMISYNC.EXE was first seen on Feb 10 2009 in the following geographical regions of the Prevx community:

<LI style="BACKGROUND: url(/images2/flags/ES.gif) no-repeat left center">SPAIN on Feb 10 2009 <LI style="BACKGROUND: url(/images2/flags/CA.gif) no-repeat left center">CANADA on Feb 10 2009
MALAYSIA on Feb 12 2009

File Name Aliases

WMISYNC.EXE can also use the following file names:

OS.EXE.EXE
35410956.EXE
QQ.EXE.EXE
NH3[n].EXE
WF.EXE
OI.EXE
EJ.EXE
FO.EXE
CT.EXE
OPENFILES.EXE
RF.EXE
HR.EXE
HR[n].EXE
QS.EXE
FI.EXE
NO.EXE
BT.EXE
AS.EXE
BO.EXE
EH.EXE
HW.EXE
KI.EXE
MJ.EXE
PA.EXE
RU.EXE
SN.EXE
VT.EXE
SAMPLE/WMISYNC.EXE
AA.EXE
BQ.EXE
LE.EXE
RK.EXE
SAMPLE.EXE
SF.EXE

Filesizes

The following file size has been seen:

532,992 bytes
218,213 bytes

Vendor, Product and Version Information

Files with the name WMISYNC.EXE have been seen to have the following Vendor, Product and Version Information in the file header:

Speciality Systems; Sync Manager; 12, 54, 2, 3

File Type

The filename WMISYNC.EXE refers to many versions of an executable program.

File Activity

One or more files with the name WMISYNC.EXE creates, deletes, copies or moves the following files and folders:

create folder C:\WINDOWS\system32\drivers\
Creates c:\windows\system32\drivers\sysdrv32.sys
Opens/modifes c:\autoexec.bat

Registry Activity

One or more files with the name WMISYNC.EXE creates or modifies the following registry keys and values:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List C:\WINDOWS\system\wmisync.exe C:\WINDOWS\system\wmisync.exe:*:Microsoft Enabled

Probaj da u safe modu ručno obrišeš fajlove koji su crvene boje obilježeni u postu. I za svaki slučaj skini najnoviju verziju malwarebytesa jer je kao što vidiš to se prvi put pojavilo prije samo 2 dana. I da jesi li išao na "problematične sajtove" na kojima se nalaze nelegalni i eksplicitni materijali?

shiftee · 12.2.2009, 17:08

http://www.slicice.com/0902euin.jpg

....kao shto vidish u bazi ne postiji ova adresa (C:\WINDOWS\system\wmisync.exe)......

scan malwarebytes-a sa update-om njegove baze od pre nekoliko sekundi

.....imam neki osecaj da je trojanac ostao, jer sam ovako skenirao i brisao te infekcije vec jedno 50 puta........a od problematichnih sajtova posecujem samo torrent tracker-e.......

Basa Mrkalj · 12.2.2009, 19:29

daj postavi log od malwarebytes-a da vidimo sta je uradjeno.

shiftee · 12.2.2009, 21:17

..evo link-a za log-ove

http://www.dodaj.rs/f/12/Y2/3XUqNxm7/text.htm

ukimafija · 13.2.2009, 0:31

Probaj skini odnekud program Unhack me i skeniraj s njim, dao bih ti link ali sam se skoro opekao i popio kaznu pa ti preporucujem da googlas...

Basa Mrkalj · 13.2.2009, 10:15

Ne znam u cemu je problem kod tebe, MBAM je sve sto je nasao pocistio. Ako i dalje imas problem onda ovaj to ne moze da ocisti. Skini alat HijackThis i zakaci njegov log da pogledam.

shiftee · 13.2.2009, 13:23

....Probacu sa UnHackMe 4.6........

a evo i hijackthis log-a
http://www.dodaj.rs/f/2Y/qL/20pwfswi/text.htm

....hvala na odgovorima....

Basa Mrkalj · 13.2.2009, 14:33

shiftee nema nista problematicno u tvom logu, da li ti se jos uvek pojavljuje problem ili ne?

shiftee · 13.2.2009, 16:13

.....mislim da se problem sveo na ova dva fajla koja ne mogu da obrishem ni pomocu Malwarebytes File Assassin Toola-a (koji navodno brishe fajlove nakon restart-a)......

.....c:\windows\system\msddll.exe i c:\windows\system32\msr.exe (izguglao sam da su provereno trojanci).....

.....pokushavam da ih onesposobim iz ProcessExplorer i task menager-a ali bezuspeshno opet se sami ukljuchuju i msddll.exe ponekad u task menager-u koristi i 50% procesora i usporava sistem.......

na12 · 13.2.2009, 21:24

Patch-ovao ti je virus neke sistemske fajlove i mnoooogo ti je lakse i brze da reinstaliras sistem nego da to resavas na ovaj nacin.

shiftee · 15.2.2009, 15:25

...evo interesantne poruke koju sam dobio::
"Ovaj backdor rootkit malware se nemoze ukloniti ni sa quick format HDD jer se regenerise iz brocken FAT i NTFS tabela."

.....inache sam uspeo da obrishem ova dva fajla nakon brisanja njihovih adresa u registry bazi, ali se infekcije jednostavno ponovo pojavljuju::

http://www.slicice.com/0902zrpm.jpg

.....evo i ComboFix Log-a.....
http://www.dodaj.rs/f/3E/X9/2Img1WRp/text.htm
....da li neko moze da kaze koji su ovde fajlovi provereno sumnjivi.....

- TERMINATOR - · 3.3.2009, 1:14

Ovi Generic virusi su cesti i zeznuti, al ako imas HEUR... ti si ga na****: ja mislim da iako reinstaliras ponovo ce da ti se pojavi al ne znam kako, ti si reko da se ponovo rekreira i radi svakakva cuda u kompu... Ako je to istina sto si reko za format...
Gde li si ga samo pokupio??

Jedan od zarazenih fajlova je sigurno svchost.exe, sto se taj fajl cesto inficira. Ali u pitanju su i drugi sistemski fajlovi. Stvarno ne mogu da verujem, jeste da sam se i ja susreo sa brojnim virusima al ovakav nikad nisam video u zivotu.

danilo989 · 3.3.2009, 1:34

Citat:

Jedan od zarazenih fajlova je sigurno svchost.exe, sto se taj fajl cesto inficira.

Ne mora da bude inficiran. Takodje, nisam ni toliko siguran da se cesto direktno inficira taj fajl (putem fajl infektora). Pre ce biti da je maliciozni modul (neki .dll uglavnom) ucitan u svchost pa ga tako kontrolise... mnogo cesce se ta metoda koristi. A ima razlike od inficiranog svchost-a.

- TERMINATOR - · 3.3.2009, 21:38

Citat:

danilo989 kaže:

Ne mora da bude inficiran. Takodje, nisam ni toliko siguran da se cesto direktno inficira taj fajl (putem fajl infektora). Pre ce biti da je maliciozni modul (neki .dll uglavnom) ucitan u svchost pa ga tako kontrolise... mnogo cesce se ta metoda koristi. A ima razlike od inficiranog svchost-a.

e to sam zaboravio... inace u windowsu taj mali svchost.exe je vazan, kao "svetinja". Al ne mora biti .dll, virusi uglavnom inficiraju .exe i .dll
Oba su veoma vazna, sad koji je vazniji ne zna se, ali svchost.exe je vazniji.
Mozda si i u pravu (ne mozda, nego jeste) da neki npr. modul .dll ucitan u svchost.exe i kontrolisati ga... al mnogo je gore kad je svchost.exe inficiran, dal za to ima spasa...

danilo989 · 3.3.2009, 22:02

Ima spasa, naravno. Zavisi da li AV kompanije mogu da napisu disinfection proceduru za tu infekciju. Module injection je cesci iz jednog razloga, fajl infector (koji modifikuje sam kod) mora da bude napisan tako da istovremeno omoguci ispravan rad procesa i da moze da vrsi svoje maliciozne operacije, sto je mnogo teze nego module injection. Ne znam da li si mislio da je tvoj svchost bio inficiran kada si imao KIS, ali mislim da te je KIS obavestavao da svchost pristupa tj. skida dodatni payload sa nekog sajta (via module injection), ne da je svchost inficiran.

Orvel · 3.3.2009, 22:25

Citat:

shiftee kaže:

...evo interesantne poruke koju sam dobio::
"Ovaj backdor rootkit malware se nemoze ukloniti ni sa quick format HDD jer se regenerise iz brocken FAT i NTFS tabela."

.....inache sam uspeo da obrishem ova dva fajla nakon brisanja njihovih adresa u registry bazi, ali se infekcije jednostavno ponovo pojavljuju::
...

Инсталирај неки Линукс на цео хард, па затим, ако ти се не свиди, уклони и опет инсталирај XP (или 7 или Vistu).

NIx Car · 3.3.2009, 22:57

Citat:

Ovaj backdor rootkit malware se nemoze ukloniti ni sa quick format HDD jer se regenerise iz brocken FAT i NTFS tabela."

Izgleda da trebas da stavis neki drugi sistem (MAC,Linux) i to na drugu particiju i da na ovoj odradis Low format. Jeste da ce dugo trajati...ali ce ti resiti problem

- TERMINATOR - · 3.3.2009, 23:26

Citat:

danilo989 kaže:

Ima spasa, naravno. Zavisi da li AV kompanije mogu da napisu disinfection proceduru za tu infekciju. Module injection je cesci iz jednog razloga, fajl infector (koji modifikuje sam kod) mora da bude napisan tako da istovremeno omoguci ispravan rad procesa i da moze da vrsi svoje maliciozne operacije, sto je mnogo teze nego module injection. Ne znam da li si mislio da je tvoj svchost bio inficiran kada si imao KIS, ali mislim da te je KIS obavestavao da svchost pristupa tj. skida dodatni payload sa nekog sajta (via module injection), ne da je svchost inficiran.

zapravo prvo ESS nije mogo da obrise virus, ni KIS, ni Avast 4.8 Professional, niti koji ce drugi. Mozda se i nije zarazio svchost.exe ali mi u pocetku ESS napominjao stalno da imam neki NXK.Trojan, tako nesto. On mi je oduzimao mozda jednu osminu cele moje internet brzine i sa hakerovog sajta trojanac skidao raznorazna cuda ****: gomilu maliciousnih software-a.

nighthawk · 4.3.2009, 21:40

Citat:

NIx Car kaže:

...odradis Low format. Jeste da ce dugo trajati...ali ce ti resiti problem

Obicnim formatiranjem se uklanja sve sa particije, ali stvari i dalje mogu da se povrate posle odredjenog vremena (dok se ne prepisu novim stvarima) pomocu specijalizovanih programa. Virus, ili bilo koji program koji je bio na toj particiji je obrisan i ne moze samog sebe da oporavi. Jedini nacin da se komp zarazi je da ponovo pokupi taj virus sa neke druge lokacije (druga particija, cd...). Ono sto ostale prilikom formatiranja samo jedne particije je tabela particija na tom disku. Ako se pokaze da je i ona zarazena onda treba obrisati sve particije na tom disku i kreirati ih ispocetka.

Zero fill je popunjavanje cele particije nulama (ili nasumicnim podacima) da bi se potpuno unistili prethodni fajlovi. Ovaj postupak se radi samo kada je potrebno trajno unistiti privatne fajlove da ne bi pali u pogresne ruke. Fajlovi i dalje mogu da se oporave (bar deo njih), ali je za to potrebna specijalizovana oprema (citaj FBI).

Low level format se radi samo u fabrici, ti si verovatno mislio na zero fill.

12.2.2009, 15:57	#1
shiftee Novi član Član od: 15.11.2006. Lokacija: Palilula Poruke: 8 Zahvalnice: 1 Zahvaljeno 0 puta na 0 poruka	Hitno potrebna pomoć! - HEUR:Trojan.Win32.Generic Ako neko pouzdano zna kako da se otarasim ovog trojanca/virusa jer sam probao nekoliko vrsta scan-ova i u safe mod-u i uvek je isto:: zarazeni fajlovi ili ne mogu da se obrishu ili nestanu za kratko vreme (5-10min) i ponovo se pojave. Koristio sam redom (uglavnom sa najsvezijim definicijama): Kaspersky AVR 2009, Counter Spy, Spyware Doctor, Malwarebytes' Anti-Malware, SmitfraudFix... i XoftSpySE i Prevx CSI - dve aplikacije koje sam izguglao i garantuju uklanjanje ovog trojanca (ali nazalost bez registracije i mogucnosti uklanjanja). evo i screenshot-ova:: Kaspersky je u safe modu odlozio brisanje inficiranih fajlova !!?? http://www.slicice.com/0902edhv.jpg Opis i simptomi trojanca :: Win32/Heur, also mentioned as Virus Win32 Heur is a dangerous self-mutating polymorphic trojan virus, typically installed on windows system without victims knowledge. Once infected, Win32/Heur virus will modify Windows win32 system files, and install additional trojans, worms and viruses onto the infected computer. Trojan Win32/Heur malware is severe security risk that can disable antivirus and firewall software and hijack both local and network computers. Indications of Win32/Heur infection: * Slow internet performance, browser shot-downs, Strange running task processes and missing registry files produce general windows instability * Hijacked browser homepage, desktop wallpaper and taskbar * Win32 Heur malware recreates after removal, difficult to remove Win32/Heur virus behaviors: * Use browser security leaks to infect the Computer with third party applications and trojans * Trojan Win32/Heu can deactivate anti virus and firewall Apelujem josh jedanput za pomoc jer mi windows (XP SP3) sve vishe i vishe baguje !! Evo i Log fajla iz (najverovatnije) Kasperskog (nisam siguran):: http://www.dodaj.rs/f/3f/l0/3BaVuAeu/text.htm Poslednja ispravka: nighthawk (13.2.2009 u 21:11) Razlog: prevelika slika

12.2.2009, 16:39	#2
Djordje Turjacanin Deo inventara foruma Član od: 15.6.2008. Lokacija: Prnjavor, RS Poruke: 3.872 Zahvalnice: 491 Zahvaljeno 1.031 puta na 664 poruka	Re: Hitno Potrebna Pomoc !! - HEUR:Trojan.Win32.Generic - WMISYNC.EXE has been seen to perform the following behavior: The Process is packed and/or encrypted using a software packing process The Process is polymorphic and can change its structure This Process Deletes Other Processes From Disk Can communicate with other computer systems using HTTP protocols Executes a Process This process creates other processes on disk Looks at the contents of the autoexec.bat file Reads email address and phone book details WMISYNC.EXE has been the subject of the following behavior: Created as a new Background Service on the machine Created as a process on disk Executed as a Process Deleted as a process from disk Terminated as a Process Copied to multiple locations on the system Country Of Origin The filename WMISYNC.EXE was first seen on Feb 10 2009 in the following geographical regions of the Prevx community: <LI style="BACKGROUND: url(/images2/flags/ES.gif) no-repeat left center">SPAIN on Feb 10 2009 <LI style="BACKGROUND: url(/images2/flags/CA.gif) no-repeat left center">CANADA on Feb 10 2009 MALAYSIA on Feb 12 2009 File Name Aliases WMISYNC.EXE can also use the following file names: OS.EXE.EXE 35410956.EXE QQ.EXE.EXE NH3[n].EXE WF.EXE OI.EXE EJ.EXE FO.EXE CT.EXE OPENFILES.EXE RF.EXE HR.EXE HR[n].EXE QS.EXE FI.EXE NO.EXE BT.EXE AS.EXE BO.EXE EH.EXE HW.EXE KI.EXE MJ.EXE PA.EXE RU.EXE SN.EXE VT.EXE SAMPLE/WMISYNC.EXE AA.EXE BQ.EXE LE.EXE RK.EXE SAMPLE.EXE SF.EXE Filesizes The following file size has been seen: 532,992 bytes 218,213 bytes Vendor, Product and Version Information Files with the name WMISYNC.EXE have been seen to have the following Vendor, Product and Version Information in the file header: Speciality Systems; Sync Manager; 12, 54, 2, 3 File Type The filename WMISYNC.EXE refers to many versions of an executable program. File Activity One or more files with the name WMISYNC.EXE creates, deletes, copies or moves the following files and folders: create folder C:\WINDOWS\system32\drivers\ Creates c:\windows\system32\drivers\sysdrv32.sys Opens/modifes c:\autoexec.bat Registry Activity One or more files with the name WMISYNC.EXE creates or modifies the following registry keys and values: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List C:\WINDOWS\system\wmisync.exe C:\WINDOWS\system\wmisync.exe:*:Microsoft Enabled Probaj da u safe modu ručno obrišeš fajlove koji su crvene boje obilježeni u postu. I za svaki slučaj skini najnoviju verziju malwarebytesa jer je kao što vidiš to se prvi put pojavilo prije samo 2 dana. I da jesi li išao na "problematične sajtove" na kojima se nalaze nelegalni i eksplicitni materijali?

12.2.2009, 17:08	#3
shiftee Novi član Član od: 15.11.2006. Lokacija: Palilula Poruke: 8 Zahvalnice: 1 Zahvaljeno 0 puta na 0 poruka	Re: Hitno Potrebna Pomoc !! - HEUR:Trojan.Win32.Generic - http://www.slicice.com/0902euin.jpg ....kao shto vidish u bazi ne postiji ova adresa (C:\WINDOWS\system\wmisync.exe)...... scan malwarebytes-a sa update-om njegove baze od pre nekoliko sekundi .....imam neki osecaj da je trojanac ostao, jer sam ovako skenirao i brisao te infekcije vec jedno 50 puta........a od problematichnih sajtova posecujem samo torrent tracker-e....... Poslednja ispravka: nighthawk (13.2.2009 u 21:12) Razlog: prevelika slika

12.2.2009, 19:29	#4
Basa Mrkalj V.I.P. Zaštita Član od: 18.5.2008. Lokacija: Prokuplje Poruke: 1.505 Zahvalnice: 5 Zahvaljeno 425 puta na 385 poruka	Re: Hitno Potrebna Pomoc !! - HEUR:Trojan.Win32.Generic - daj postavi log od malwarebytes-a da vidimo sta je uradjeno.

12.2.2009, 21:17	#5
shiftee Novi član Član od: 15.11.2006. Lokacija: Palilula Poruke: 8 Zahvalnice: 1 Zahvaljeno 0 puta na 0 poruka	Re: Hitno potrebna pomoć! - HEUR:Trojan.Win32.Generic ..evo link-a za log-ove http://www.dodaj.rs/f/12/Y2/3XUqNxm7/text.htm

13.2.2009, 0:31	#6
ukimafija Deo inventara foruma Član od: 10.7.2006. Lokacija: Las Vegas, USA Poruke: 5.435 Zahvalnice: 788 Zahvaljeno 1.618 puta na 1.389 poruka	Re: Hitno potrebna pomoć! - HEUR:Trojan.Win32.Generic Probaj skini odnekud program Unhack me i skeniraj s njim, dao bih ti link ali sam se skoro opekao i popio kaznu pa ti preporucujem da googlas...

13.2.2009, 10:15	#7
Basa Mrkalj V.I.P. Zaštita Član od: 18.5.2008. Lokacija: Prokuplje Poruke: 1.505 Zahvalnice: 5 Zahvaljeno 425 puta na 385 poruka	Re: Hitno potrebna pomoć! - HEUR:Trojan.Win32.Generic Ne znam u cemu je problem kod tebe, MBAM je sve sto je nasao pocistio. Ako i dalje imas problem onda ovaj to ne moze da ocisti. Skini alat HijackThis i zakaci njegov log da pogledam.

13.2.2009, 13:23	#8
shiftee Novi član Član od: 15.11.2006. Lokacija: Palilula Poruke: 8 Zahvalnice: 1 Zahvaljeno 0 puta na 0 poruka	Re: Hitno potrebna pomoć! - HEUR:Trojan.Win32.Generic ....Probacu sa UnHackMe 4.6........ a evo i hijackthis log-a http://www.dodaj.rs/f/2Y/qL/20pwfswi/text.htm ....hvala na odgovorima....

13.2.2009, 14:33	#9
Basa Mrkalj V.I.P. Zaštita Član od: 18.5.2008. Lokacija: Prokuplje Poruke: 1.505 Zahvalnice: 5 Zahvaljeno 425 puta na 385 poruka	Re: Hitno potrebna pomoć! - HEUR:Trojan.Win32.Generic shiftee nema nista problematicno u tvom logu, da li ti se jos uvek pojavljuje problem ili ne?

13.2.2009, 16:13	#10
shiftee Novi član Član od: 15.11.2006. Lokacija: Palilula Poruke: 8 Zahvalnice: 1 Zahvaljeno 0 puta na 0 poruka	Re: Hitno potrebna pomoć! - HEUR:Trojan.Win32.Generic .....mislim da se problem sveo na ova dva fajla koja ne mogu da obrishem ni pomocu Malwarebytes File Assassin Toola-a (koji navodno brishe fajlove nakon restart-a)...... .....c:\windows\system\msddll.exe i c:\windows\system32\msr.exe (izguglao sam da su provereno trojanci)..... .....pokushavam da ih onesposobim iz ProcessExplorer i task menager-a ali bezuspeshno opet se sami ukljuchuju i msddll.exe ponekad u task menager-u koristi i 50% procesora i usporava sistem.......

13.2.2009, 21:24	#11
na12 Veteran Član od: 4.10.2008. Lokacija: /tmp/srbija/sabac Sistem:ArchLinux x86_64 Poruke: 834 Zahvalnice: 20 Zahvaljeno 196 puta na 181 poruka	Re: Hitno potrebna pomoć! - HEUR:Trojan.Win32.Generic Patch-ovao ti je virus neke sistemske fajlove i mnoooogo ti je lakse i brze da reinstaliras sistem nego da to resavas na ovaj nacin.

15.2.2009, 15:25	#12
shiftee Novi član Član od: 15.11.2006. Lokacija: Palilula Poruke: 8 Zahvalnice: 1 Zahvaljeno 0 puta na 0 poruka	Re: Hitno potrebna pomoć! - HEUR:Trojan.Win32.Generic ...evo interesantne poruke koju sam dobio:: "Ovaj backdor rootkit malware se nemoze ukloniti ni sa quick format HDD jer se regenerise iz brocken FAT i NTFS tabela." .....inache sam uspeo da obrishem ova dva fajla nakon brisanja njihovih adresa u registry bazi, ali se infekcije jednostavno ponovo pojavljuju:: http://www.slicice.com/0902zrpm.jpg .....evo i ComboFix Log-a..... http://www.dodaj.rs/f/3E/X9/2Img1WRp/text.htm ....da li neko moze da kaze koji su ovde fajlovi provereno sumnjivi..... Poslednja ispravka: nighthawk (15.2.2009 u 16:17) Razlog: prevelika slika

3.3.2009, 1:14	#13
- TERMINATOR - Član Član od: 1.11.2008. Lokacija: Krusevac Poruke: 301 Zahvalnice: 12 Zahvaljeno 9 puta na 9 poruka	Re: Hitno potrebna pomoć! - HEUR:Trojan.Win32.Generic Ovi Generic virusi su cesti i zeznuti, al ako imas HEUR... ti si ga na****: ja mislim da iako reinstaliras ponovo ce da ti se pojavi al ne znam kako, ti si reko da se ponovo rekreira i radi svakakva cuda u kompu... Ako je to istina sto si reko za format... Gde li si ga samo pokupio?? Jedan od zarazenih fajlova je sigurno svchost.exe, sto se taj fajl cesto inficira. Ali u pitanju su i drugi sistemski fajlovi. Stvarno ne mogu da verujem, jeste da sam se i ja susreo sa brojnim virusima al ovakav nikad nisam video u zivotu.

3.3.2009, 22:02	#16
danilo989 Član Član od: 23.12.2006. Poruke: 52 Zahvalnice: 1 Zahvaljeno 4 puta na 3 poruka	Re: Hitno potrebna pomoć! - HEUR:Trojan.Win32.Generic Ima spasa, naravno. Zavisi da li AV kompanije mogu da napisu disinfection proceduru za tu infekciju. Module injection je cesci iz jednog razloga, fajl infector (koji modifikuje sam kod) mora da bude napisan tako da istovremeno omoguci ispravan rad procesa i da moze da vrsi svoje maliciozne operacije, sto je mnogo teze nego module injection. Ne znam da li si mislio da je tvoj svchost bio inficiran kada si imao KIS, ali mislim da te je KIS obavestavao da svchost pristupa tj. skida dodatni payload sa nekog sajta (via module injection), ne da je svchost inficiran.

*Sledeći korisnik se zahvaljuje korisniku nighthawk* na korisnoj poruci:**
NIx Car (4.3.2009)

Slične teme
tema	temu započeo	forum	Odgovora	Poslednja poruka
Hitno potrebna pomoć - Turbo Pascal	Protector	Programiranje	28	8.5.2009 23:16
Napajanje do 50e... (HITNO potrebna preporuka)!!! + Neki UPS	stefan_bre	ŠDK - Ostale komponente	8	20.8.2008 1:01
Hitno potrebna pomoć za konfiguraciju	/dragan/	ŠDK - Grafika	6	14.7.2008 15:06
Hitno mi je potrebna pomoć u kupovini laptop računara!	markoo_88	ŠDK - Prenosni računari	8	22.5.2008 12:02
Potrebna pomoć	Didi	ŠDK - Prenosni računari	0	14.3.2008 0:18