Problem sa virusima

[cimbo007]

imam komp sa velikom kolicinom podataka koje moram da sacuvam...medjutim komp je pun virusa prava epidemija
instaliram anti virus on mi brise podatke zakacim hard na drugi komp i on mi brise podatke kad hocu da kopiram...ne znam kako da rijesim to,da reinstaliram sistem sacuvam podatke i izbrisem viruse....
please help

[irreal]

antivirus ne bi trebao da ti brise sve podatke, vec uglavnom .exe fajlove

ako ti je virus korumpirao .exe fajlove oni su i onako izgubljen slucaj. a dokumenta bi trebalo da su netaknuta. retko koji virus njih napada, a ako ih i napadne ne moze nista da im uradi osim da ih nacini beskorisnim. opet, nema tu sta antivirus da detektuje i obrise kod takvih, beskorisnih dokumenta.

[cimbo007]

ja krenem da kopiram ta dokumenta na flesku...neka nova muzika ubacim u moj drugi komp anti virus mi sve izbrise...krenem da narezem nero mi nareze prazne foldere

[--ComputerBoy--]

Formatiraj i komp i flash. Drugo resenje nemas.

[Basa Mrkalj]

Skini http://www.trendsecure.com/portal/en...HiJackThis.exe HiJackThis program:


Stavi ga u zaseban Folder na Desktop
Promeni naziv Foldera u 123 i Programa u 123.exe

* Pokreni HijackThis
* Izaberi opciju "Do a system scan and save the logfile"
* Na kraju skeniranja program ce izbaciti tekstualni log.
* taj log kopiraj ovde ( opcije copy / paste)

[cimbo007]

Citat:

--ComputerBoy-- kaže:

Formatiraj i komp i flash. Drugo resenje nemas.

uradio bi ja format ali imam podataka 150gb

[cimbo007]

Citat:

Basa Mrkalj kaže:

Skini http://www.trendsecure.com/portal/en...HiJackThis.exe HiJackThis program:


Stavi ga u zaseban Folder na Desktop
Promeni naziv Foldera u 123 i Programa u 123.exe

* Pokreni HijackThis
* Izaberi opciju "Do a system scan and save the logfile"
* Na kraju skeniranja program ce izbaciti tekstualni log.
* taj log kopiraj ovde ( opcije copy / paste)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:55:17, on 19.6.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\csrcs.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Win\lsass.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\STacSV.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
C:\Program Files\Raduga\Raduga.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Sanja\Desktop\123\123.EXE.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [run32] C:\Win\lsass.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: HP Clipbook - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Smart Select - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: 7FBC752D - Unknown owner - C:\WINDOWS\system32\5D31DF61.EXE
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\system32\ImapiRox.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 4604 bytes

[cimbo007]

problem rijesen

[bojongo]

Baš nam je drago. Još samo da opišeš kako si rešio poblem, pa da tvoje iskustvo pomogne nekom ko bude imao sličan ili isti poblem. Tako funkcioniše forum.

[Basa Mrkalj]

Pustili smo combofix i napisali skriptu, inace zarazio se preko fleske. Radili smo preko mail-a da ne razvlacimo logove po forumu. Kad se radi sa ovim alatom svaki slucaj je za sebe, ne pokusavajte ovo sami kod kuce

[Marti Misterija]

Mozemo li bar znati koji je problem (virus) bio u pitanju.

[Basa Mrkalj]

C:\Win\lsass.exe
Ovaj mu je napravio karambol, mada je jos ponesto imalo. Combo je skoro sve pocistio automatski, jedino sam pisao skriptu za jedan drajver koji smo brisali. Ovaj crv pravi exe fajlove na fleski koji dobijaju ikonice foldera, a prave foldere sakriva. I korisnik pomisli da je to folder, prevari se i klikne.

[Marti Misterija]

Znam, susretao sam se sa njim i ja sam to resavao sa Malwarebytes Anti Malwareom koji ga jedini cisti.
U sustini nije bio problem ocistiti te foldere.exe sa fleske, samo je trebalo ubiti proces lsass, ali je bio problem ocistiti komp od foldera win koji virus napravi na njemu posto ga bas dobro sakrije.
Na poslu nije bilo nijednog racunara koji nije bio zarazen njime, ali je mbam odlicno odradio posao na svim racunarima.

[Sass Drake]

Citat:

Marti Misterija kaže:

Znam, susretao sam se sa njim i ja sam to resavao sa Malwarebytes Anti Malwareom koji ga jedini cisti.
U sustini nije bio problem ocistiti te foldere.exe sa fleske, samo je trebalo ubiti proces lsass, ali je bio problem ocistiti komp od foldera win koji virus napravi na njemu posto ga bas dobro sakrije.
Na poslu nije bilo nijednog racunara koji nije bio zarazen njime, ali je mbam odlicno odradio posao na svim racunarima.

Јеси ли сигуран да му KAV не може ништа?

[Marti Misterija]

U sustini ja koristim iskljucivo KIS (na poslu verziju 2009, kuci verziju 7) i isti updateovan poslednjim definicijama nije ga video niti ga je cistio i taj AutoIt virus je bez obzira na sve to uvek ostajao tu, sve dok ga mbam nije sredio. Nakon sto sam ga eliminisao iz svog racunara (i iz racunara drugih) pazio sam sta radim tako da ga vise nisam vracao na racunar, tako da nisam bio ni u mogucnosti da proverim da li je Kaspersky sada konacno u mogucnosti da se brani od njega.
Inace, da ponovim jos jednom, ni Kaspersky, ni Norton, ni NOD, ni AVG koji su bili instalirani nisu ga uopste detektovali samim tim niti bilo sta preduzimali da ociste komp, a MBAM ga je nasao na apsolutno svakom racunaru, sto je meni inace bilo veoma cudno da nijedna ozbiljna AV kompanija ne preduzme nesto u cilju eliminacije tog virusa.
Moracu da nadjem negde, na nekoj fleski taj virus i da ga namerno unesem u racunar kako bih ti dao odgovor na pitanje da li mu KAV sada moze nesto ili mu ne moze nista.

[cimbo007]

opet ja

komp skroz poludio iz cista mira
sam otvara zatvar programe,prozore,brise fajlove...znaci katastrofa...vratio sam ga na stanje kad je juce bio napravljen nije bilo promjene,ne pitas se snjim,radi sta hoce...
nije nista ubacivano u jega,jedino narezivani filmovi i muzika....to je komp jednog cd shopa....

PLEASE HELP

[ivanza]

Citat:

cimbo007 kaže:

opet ja

komp skroz poludio iz cista mira
sam otvara zatvar programe,prozore,brise fajlove...znaci katastrofa...vratio sam ga na stanje kad je juce bio napravljen nije bilo promjene,ne pitas se snjim,radi sta hoce...
nije nista ubacivano u jega,jedino narezivani filmovi i muzika....to je komp jednog cd shopa....

PLEASE HELP

Format C: ti ne gine.

[Basa Mrkalj]

Pa nesto imas na D particiji, znaci C je bio potpuno cist. Skini malwarebytes i pusti full scan. Nista ti nece pomoci ni format ako ti je malware na D particiji. Ajde okaci novi CF log kao attachment posto je veliki, pa da vidimo sta je.

Marti, nista ne moj da te cudi sto je malwarebytes tako dobar, koliko sam ja upoznat tu je mnogo dobra ekipa, ljudi koji su ranije radili SmitFraudFix, sad nisam siguran da li su i na SystemLookup, ali ekipa je prva liga.

[Sass Drake]

Citat:

Marti Misterija kaže:

U sustini ja koristim iskljucivo KIS (na poslu verziju 2009, kuci verziju 7) i isti updateovan poslednjim definicijama nije ga video niti ga je cistio i taj AutoIt virus je bez obzira na sve to uvek ostajao tu, sve dok ga mbam nije sredio. Nakon sto sam ga eliminisao iz svog racunara (i iz racunara drugih) pazio sam sta radim tako da ga vise nisam vracao na racunar, tako da nisam bio ni u mogucnosti da proverim da li je Kaspersky sada konacno u mogucnosti da se brani od njega.
Inace, da ponovim jos jednom, ni Kaspersky, ni Norton, ni NOD, ni AVG koji su bili instalirani nisu ga uopste detektovali samim tim niti bilo sta preduzimali da ociste komp, a MBAM ga je nasao na apsolutno svakom racunaru, sto je meni inace bilo veoma cudno da nijedna ozbiljna AV kompanija ne preduzme nesto u cilju eliminacije tog virusa.
Moracu da nadjem negde, na nekoj fleski taj virus i da ga namerno unesem u racunar kako bih ti dao odgovor na pitanje da li mu KAV sada moze nesto ili mu ne moze nista.

Мени је KAV увијек тај вирус налазио на флешевима и брисао их је. Можда због тога што ми је увијек заштита подешена на максимум и хеуристика такођер. .

[Marti Misterija]

Isto je sve podeseno na max ali na ovim racunarima nije nalazio sigurno. Ali nije problem to sto je na flasu, vec je problem folder win na racunaru u kom se ugnezdi virus i to nijedan AV IS program nije mogao da nadje.
U stvari koliko je "staro" to oduvek?