Ludi virus ...

[Milan1997]

Citat:

Lanikor kaže:

Mislio sam da je bolje da ga nosi u servis da mu ne podje za rukom da nekim cudom upropasti nesto, posto sam u medjuvremenu video da je decko '97 godiste.

Jes' da nije nesto tesko da se prate koraci, ali ipak...

LJUDI ODKADA SAM KUPIO LAPTOP MI SE TO DESAVA... Nisam ja nista ubacivao u racunar od trenutka od kada sam ga kupio! Inace laptop je uzet uz Vip paket!

[ilidan]

Vidi ovako, Basa Mrkalj ima poprilično znanja i iskustva u čišćenju zaraženih sistema. On pokušava da, uz tvoju saradnju, utvrdi da li na tvom laptopu postoji neki virus i, ako postoji, KOJI je virus u pitanju. Na taj način ti može tačno reći šta da radiš i kako da ga ukloniš.

Ostali predlozi tipa instaliraj ovo ili ono, skeniraj ovim ili onim samo se oslanjaju na sreću, ako uspe - uspe.

Isprati ono što ti Basa kaže. Ako imaš virus na računaru, pronaći će ga i ukloniti. Ako logovi ne pokažu virus, verovatno ga nemaš i uzrok tvog problema je nešto drugo. Oštećen sistemski fajl ili loš sektor na hard disku, recimo.

[orange47]

Citat:

ilidan kaže:

..Ako logovi ne pokažu virus, verovatno ga nemaš i uzrok tvog problema je nešto drugo..

ja se ne bih slozio obzirom na to da tvorci virusa nisu 'sisali vesla' i da mogu kao i mi da download-uju taj dds i combofix i bilo koji av. takodje mogu redovno da update-uju virus. postoje boot virusi odavno, i ponovo ulaze u modu.

[orange47]

inace, to sto se Basa Mrkalj za 3 godine 3 puta zahvalio nekom na poruci mi dosta govori koliko ima "znanja i iskustva u čišćenju zaraženih sistema"

[ilidan]

Ti i ne moraš da se složiš. Činjenica je da su Basa i ostali članovi AMF tima koristeći DDS, ComboFix, GMER i slične programe čistili i one kompjutere gde je i "tvoj" čuveni Kasperksy zakazao.
Tačno je da tvorci malware-a nisu "sisali vesla", ali nisu ni tvorci navedenih programa.
Još jedna stvar. Koliko sam primetio čitajući neke teme u ovom delu foruma, tvoje znanje u oblasti čišćenja malware-a nije baš na zavidnom nivou. S toga bih preporučio i tebi i još nekima ovde da se ne mešaju u teme koje se tiču čišćenja konkretnog malware-a kada neko od iskusnijih članova preuzme ulogu da to odradi.
Dodatni komentari samo stvaraju dodatnu zabunu kod onog ko ima problem a ne zna kakvo znanje i iskustvo imaju članovu foruma koji učestvuju u diskusiji. A to smo upravo imali prilike da vidimo u ovoj temi.

[orange47]

kaspersky sam naveo samo kao primer. bitan je princip. sta je to konkretno sto sam pogresno savetovao? sto se tice teme koju pominjes pretpostavljam da je opet ono oko autorun virusa. obzirom da mi je tamo uklonjena poruka bez obrazlozenja, o tome i ne zelim vise da govorim.

[dallyborr]

Sto li se uopste cimate oko Kasperskog, pa taj je sam po sebi virus...

[orange47]

ja ne tvrdim da ne treba koristiti taj dds ili combofix, vec da se ne treba u potpunosti oslanjati na njih.

[Lanikor]

Ilidan je u pravu. Realno se ne bih ni mesao jer za Basu znam da ima iskustva a vidi se i iz pristupa problemu, polako i postupno. Ono sto me je povuklo da odmah predlozim agresivnu varijantu jeste neiskustvo i barem se meni cini manjak strpljenja kod Milana. Sa druge strane konfuziji su doprineli clanovi koji su predlagali svasta a da nisu ni procitali celu temu., i samo zbunili decka. Izvinjavam se na upadu u temu, bilo je to iz najbolje namere.

[player1]

Citat:

Milan1997 kaže:

LJUDI ODKADA SAM KUPIO LAPTOP MI SE TO DESAVA... Nisam ja nista ubacivao u racunar od trenutka od kada sam ga kupio! Inace laptop je uzet uz Vip paket!

Covece, Basa se cima sve vreme da ti pomogne, volonteski! Besplatni tech support, heeej.

Ispostuj to malo i nabavi mu sve logove kako ti kaze, pa ces na kraju zanti dal je virus ili treba da gledas nesto trece. Ne odbacuj pomoc kad je neko nudi.


P.S.
Izvini ako ti se cini da nastupam ostrije nego treba. Ali to je za tvoje dobro.

[ilidan]

Citat:

orange47 kaže:

kaspersky sam naveo samo kao primer. bitan je princip. sta je to konkretno sto sam pogresno savetovao? sto se tice teme koju pominjes pretpostavljam da je opet ono oko autorun virusa. obzirom da mi je tamo uklonjena poruka bez obrazlozenja, o tome i ne zelim vise da govorim.

Mislim na ono što je napisao Milan1997: "Ali eto vidiš neki kažu da je to dobro neki kažu da nije... PA KOGA VIŠE DA SLUŠAM. Evo kada si već toliko navalio uradiću...".
Što se tiče principa rada. Kaspersky i drugi antivirusi se oslanjaju na baze a baze nikad ne sadrže potpise baš svakog malware-a. DDS, ComboFix, GMER i slični alati nisu obični process explorer-i već su u stanju da analiziraju i otkriju sumljive procese koje iskusan čovek može da prepozna kao štetne.
Skeniranje diska u offline režimu nekim antiviruson neće vrediti ništa ako ga taj AV ili većina AV-a nema u bazi a sam virus nije aktivan da bi ga neki drugi nivo AV zaštite uhvatio. Takođe, većina AV programa često nije u stanju da u potpunosti popravi štetu koju je malware naneo sistemu pa sistem opet ostaje neupotrebljiv ili nestabilan.
Sa druge strane DDS i kompanija analiziraju aktivne proceseb, baš kada je i sam malware aktivan. Tada je veća verovatnoća da se on detektuje i prepozna. A kada se prepozna, lakše ga je ukloniti. Ovaj način je iz tog razloga efikasniji.
Ne kažem da su Live verzije raznih AV-ova beskorisne ali one su samo tu kao prva pomoć i samo u slučaju lakših infekcija.

[Lanikor]

Citat:

Milan1997 kaže:

LJUDI ODKADA SAM KUPIO LAPTOP MI SE TO DESAVA... Nisam ja nista ubacivao u racunar od trenutka od kada sam ga kupio! Inace laptop je uzet uz Vip paket!

Pa kazi odmah... Verovatno je greska u operativnom sistemu, sto ces u krajnjem slucaju morati da resis ponovnim instaliranjem istog. Ovo ti je samo dijagnoza i sada sacekaj do sutra da ti covek odgovori sta da radis da te ne bi odrali u servisu.

[acafacaa]

I postavi log za svaki slucaj,mozda je stvarno malware u pitanju,nista te ne kosta da ga postavis,cisto da se eliminise i ta sumnja ili da se obistini

[NIx Car]

upravo u ovoj temi vidimo najslabiju tacku ovog potforuma.... Covek koji je obucen da radi sa Combofixom ne moze da radi kao covek zato sto se drugi utrpavaju tamo gde im nije mesto... Pobogu ljudi,znate Basu kakav je, sredice on sam,nicija pomoc mu ne treba,samo sedite,gledajte i uzivajte

[Sass Drake]

Citat:

Lanikor kaže:

Recimo da imam poprilicno iskustva s tim programom i da sam na nebrojeno mnogo racunara pokretao isti i da se NIKAD nije pojavila neka nuspojava koriscenja istog. Problemi uglavnom proizilaze iz toga sto postoji vise varijanti tog programa od kojih je samo sUBs - ova ispravna i proverena, dok su ostale pune svega i svacega sto je sve samo ne korisno.

Probali ste preko loga, nema nicega, probajte sa nekim anti rootkit alatom ili Malwarebytes Anti Malware - om, ako vec Combofix nije pozeljna varijanta.

EDIT: link za MAM - www.techspot.com/downloadget.php?id=4716&file=1&evp=f8bde2177ec85ee 9286a277585c40a5f

A znaš li ti koliko suBS izbaci verzija ComboFixa u toku mjesec dana i koje samo čekaju da im isplivaju bagovi na površinu? Znaš li kako da vratiš ono što CF s*ebe? Imaš iskustva u pokretanju, ali imaš li iskustva u čitanju njegovih izvještaja i pisanja skripti za isti?
ComboFix nije alat koji pokrećeš jer ti se pokreće i poslije čijeg pokretanja kažeš da je/nije odradio posao jer se samo oslanjate na njegovu automatic removal rutinu koja nekad potkači i ono što ne treba.

[orange47]

Citat:

ilidan kaže:

Skeniranje diska u offline režimu nekim antiviruson neće vrediti ništa ako ga taj AV ili većina AV-a nema u bazi a sam virus nije aktivan da bi ga neki drugi nivo AV zaštite uhvatio. Takođe, većina AV programa često nije u stanju da u potpunosti popravi štetu koju je malware naneo sistemu pa sistem opet ostaje neupotrebljiv ili nestabilan.
Sa druge strane DDS i kompanija analiziraju aktivne proceseb, baš kada je i sam malware aktivan. Tada je veća verovatnoća da se on detektuje i prepozna.

AV programi koriste i heuristike, ne samo baze. a virus je obicno lakse obrisati offline. postoje slucajevi kad je lakse detektovati virus dok je aktivan, ali mislim da je ta verovatnoca manja. sto se tice Kasperskog, pogledaj prvu poruku u temi..
autori combofix-a, av i slicnih programa u ovakvim slucajevima su uvek korak iza 'hakera'. oni nemaju odakle da download-uju bas taj virus (koji se verovatno daleko cesce update-uje)
uostalom ostaje varijanta 'formatc' ili servisa, sto je jedino sigurno ako se dobro odradi. to moze da bude i brze, pogotovo ako ima dobar backup.

[Basa Mrkalj]

@orange47

Nebitno je koji je malware u pitanju, CF je takav alat da malware ne moze da se sakrije. Postoje izuzeci ali i za to postoje drugi alati koji ga otkriju. Zato je rucno ciscenje malware-a najbolji nacin. Za to mora da se ima znanje i iskustvo.
Combofix poseduje ogromnu silu, mogu da ispretumbam sistem uzduz i popreko, da zavirim u svaki folder, da premestam fajlove, da brisem drajvere u kernel modu, da obrisem antivirus...

DDS je takodje sUBs-ov alat, ali je samo za dijagnostiku, nema fix, bezbedan je i moze dosta toga da pokaze helperu.

Licno smatram da njemu ovde pravi problem ili neki program, ili kodek, jer to ume da napravi ovakav problem.

TDL rootkit nije, jer se ne manifestuje tako.

Rescue diskove, koristim samo ako je u pitanju fajl infektor i u nijednom drugom slucaju. Govorim licno, sto ne znaci da ih ne preporucujem korisnicima koji nisu u ovoj prici.

Sto se zahvalnica tice, meni je bitno ako uspem da pomognem nekom, a da li sam dobio zahvalnicu ili nisam, na to ne obracam paznju, ne zanima me.

[orange47]

Citat:

Basa Mrkalj kaže:

@orange47
..Licno smatram da njemu ovde pravi problem ili neki program, ili kodek, jer to ume da napravi ovakav problem..

ali zasto onda nije mogao da downloaduje dds sa (pretpostavljam) zvanicnog linka niti da instalira KAV (sto je sam hteo)?

[Basa Mrkalj]

Kod:

BHO: CIESpeechBHO Class: {8d10f6c4-0e01-4bd4-8601-11ac1fdf8126} - C:\Program Files (x86)\Bluetooth Suite\IEPlugIn.dll
BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
BHO: Browsing Protection Class: {c6867eb7-8350-4856-877f-93cf8ae3dc9c} - C:\Program Files (x86)\F-Secure\apps\OnlineSafety\BPP\iescript\BaseLitmus.dll
BHO: Google Dictionary Compression sdch: {c84d72fe-e17d-4195-bb24-76c02e2e7c4e} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
BHO: Bing Bar Helper: {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll"
BHO: Nero Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
TB: Bing Bar: {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll"
TB: Nero Toolbar: {d4027c7f-154a-4066-a1ad-4243d8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
TB: Browsing Protection Toolbar: {265eee8e-3228-44d3-aea5-f7fdf5860049} - C:\Program Files (x86)\F-Secure\apps\OnlineSafety\BPP\iescript\BaseLitmus.dll
Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
BHO-X64: CIESpeechBHO Class: {8D10F6C4-0E01-4BD4-8601-11AC1FDF8126} - C:\Program Files (x86)\Bluetooth Suite\IEPlugIn.dll
BHO-X64:     IESpeakDoc - No File
BHO-X64: Windows Live ID Sign-in Helper: {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
BHO-X64: Google Toolbar Helper: {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
BHO-X64: Google Toolbar Notifier BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
BHO-X64: Browsing Protection Class: {C6867EB7-8350-4856-877F-93CF8AE3DC9C} - C:\Program Files (x86)\F-Secure\apps\OnlineSafety\BPP\iescript\BaseLitmus.dll
BHO-X64:     LitmusBHO - No File
BHO-X64: Google Dictionary Compression sdch: {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
BHO-X64:     Google Dictionary Compression sdch - No File
BHO-X64: Bing Bar Helper: {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll"
BHO-X64: Nero Toolbar: {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
BHO-X64:     Ask Toolbar BHO - No File
TB-X64: Google Toolbar: {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
TB-X64: Bing Bar: {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\BingExt.dll"
TB-X64: Nero Toolbar: {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
TB-X64: Browsing Protection Toolbar: {265EEE8E-3228-44D3-AEA5-F7FDF5860049} - C:\Program Files (x86)\F-Secure\apps\OnlineSafety\BPP\iescript\BaseLitmus.dll

Pogledaj koliko toolbara ima, ko zna sta je sa add onsima i pluginovima. Jesi video startup, njemu se pola sata podize sistem.
Sistem mu je neuredan i neodrzavan, kad instalira nesto klikce next bez da cita sta pise, znaci radi se o neiskusnom korisniku.

Ne znam zasto nije mogao da instalira Kaspersky, ali je instalirao F-Secure. Da je virus, ne bi mu dozvolio nikakvu nstalaciju antimalware resenja.

[orange47]

tja, mozda ne dozvoljava instalaciju samo dobrih AV :P
a ti tool-barovi me podsecaju na jedan odlican intervju od pre par godina: http://philosecurity.org/2009/01/12/...-adware-author vredi ga procitati ako neko nije. vidi se da su bliski virusima.
ja bih proverio da li windows update radi dobro, jer virusi oce i to da pokvare.