nista mi nije jasno

Hardware, software, mobiteli, programiranje, internet...

Moderator: Bobi

User avatar
irfan2
Posts: 3659
Joined: 09/04/2004 22:41
Location: sarajevo

nista mi nije jasno

Post by irfan2 » 01/12/2006 10:52

virus ...i ne moze ga ukinut ni nod, ni kaspersky ..aj dobro, vidili smo to vec...format c, ionako pravo dugo nisam to radio, aj hed a gud ran :D ..
i mozda 15ak minuta nakon sto sam sve uspostavio, napravio konekciju i posjetio par stranica (sigurnih) opet mrcina uleti ..aj reko mozda sam slucajno nesto klikno neki cudan link (ne sjecam se bas najbolje, mislim da nisam ali je moguce, jel)

i nakon mrcvarenja citav dan juce sa pandom, kasperskim i nodom, pogadjate, nisam mu mogo dohakat ..i ponovo format c :D prije toga skenirao i D , iz safe moda, reko da se nije tu zavukao ...nista

i sada, nakon SAMO jedne posjecene stranice, pojavljuju se evo opet problemi ...prethodno sam prvo instalirao nod, evo javlja nekakvi trojani gluposti .. a nisam imao konekciju ni 5 minuta ..KAKO?
jesul mogli uletit sa adsl-a? ta mi cinjenica ne djeluje bas normalno, ali et ...firewall (sygate) ionako pokazuje razne neke pakete koji stizu, pita kako ih treba tretirati itd ... gdje moze da se skloni virus od format-cea ...nije valjda da cu i D morat formatirat, samo na osnovu mogucnosti da se tu smjestio virus? ....
vjerujte mi, nakon treceg formata sad sam svaki potez dobro pratio, mogu ih cak nabrojati ...ne formatira mi se ponovo ... nisam se nigdje zaebo, jedino objasnjenje koje ima smisla je ili da je doslo sa adsl-a (oba puta se pojavio nakon uspostavljanja konekcije) ili da se virus smjestio u neki instalacioni program na d-u (ono kao patch kad krekujete igricu) ...


shin
Posts: 7011
Joined: 19/09/2005 10:52

Post by shin » 01/12/2006 11:22

Saletio te levat s'guza dok se nisi nadao :-D Vjerovatno tokom instalacije programa pokreces neki crack ili keygen koji namah instalira dodatni poklon.

User avatar
irfan2
Posts: 3659
Joined: 09/04/2004 22:41
Location: sarajevo

Post by irfan2 » 01/12/2006 11:46

da, to je dobra pretpostavka, ali nije to ..jer je i meni to naumpalo ...
sad sam instalirao ukupno 7 programa, i nikakav patch ....nisam stigao :D ..

shin
Posts: 7011
Joined: 19/09/2005 10:52

Post by shin » 01/12/2006 11:53

Hajde ako opet uleti uslikaj procese da vidimo sta ima sve.

User avatar
irfan2
Posts: 3659
Joined: 09/04/2004 22:41
Location: sarajevo

Post by irfan2 » 01/12/2006 12:53

da, to su standardne metode :) ..ali vec sam imao iskustva sa gamadi, jednom kad udje ne moze se tu mnogo sta uraditi ...mene vise interesuje kako je mogao uci ..eto, mozete mi vjerovati da sam pazio na svaki korak ....
da li ima mogucnost neki program da mijenja sadrzaj koji ostaje neizbrisan nakon format c? da li postoji mogucnost da je doletio paket "from outher space" :D ..

evo trenutni screenshots procesa..

Image

a maloprije je nod32 nasao cetiri ili pet trojanaca ... nakon toga sam restartovao comp ..da napomenem strucnjake, kaspersky juce nije nasao nista, a i nervira me jer jako dugo mu treba da skenira ...nemojte dolazit sa savjetima da koristim kaspersky, ionako cu ponovo format radit samo kad skontam kako mi se ovo desilo..ponovo

a evo i log od nod32
C:\WINDOWS\system32\.exe a variant of Win32/Spy.Agent.PY trojan quarantined - deleted NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\System32\svchost.exe. The file was moved to quarantine. You may close this window.

12/1/2006 11:41:29 AM AMON file C:\WINDOWS\system32\eitx.exe Win32/IRCBot.UX trojan quarantined - deleted NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe. The file was moved to quarantine. You may close this window.

12/1/2006 11:34:55 AM AMON file C:\WINDOWS\system32\qgfdybh.exe Win32/IRCBot.UX trojan quarantined - deleted NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe. The file was moved to quarantine. You may close this window.

12/1/2006 11:24:06 AM AMON file C:\WINDOWS\system32\x.exe a variant of IRC/SdBot trojan quarantined - deleted Event occurred on a new file created by the application: C:\WINDOWS\system32\ftp.exe. The file was moved to quarantine. You may close this window.

12/1/2006 11:24:00 AM AMON file C:\WINDOWS\system32\TFTP3352 a variant of Win32/Rbot trojan quarantined - deleted NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\tftp.exe. The file was moved to quarantine. You may close this window.

12/1/2006 11:22:40 AM AMON file C:\WINDOWS\system32\cnunc.exe Win32/IRCBot.UX trojan quarantined - deleted NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe. The file was moved to quarantine. You may close this window.

12/1/2006 2:13:07 AM AMON file C:\WINDOWS\system32\x.exe a variant of IRC/SdBot trojan quarantined - deleted Event occurred on a new file created by the application: C:\WINDOWS\system32\ftp.exe. The file was moved to quarantine. You may close this window.

12/1/2006 2:12:44 AM AMON file C:\WINDOWS\system32\x.exe a variant of IRC/SdBot trojan quarantined - deleted Event occurred on a new file created by the application:
C:\WINDOWS\system32\ftp.exe. The file was moved to quarantine. You may close this window.

12/1/2006 1:54:37 AM AMON file C:\WINDOWS\system32\x.exe a variant of IRC/SdBot trojan quarantined - deleted Event occurred on a new file created by the application: C:\WINDOWS\system32\ftp.exe. The file was moved to quarantine. You may close this window.

12/1/2006 1:35:48 AM AMON file C:\WINDOWS\system32\qihchiov.exe a variant of Win32/Poebot trojan quarantined - deleted NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe. The file was moved to quarantine. You may close this window.

12/1/2006 1:29:12 AM AMON file C:\WINDOWS\system32\sxpcbi.exe Win32/IRCBot.UX trojan quarantined - deleted NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\system32\svchost.exe. The file was moved to quarantine. You may close this window.

Forsaken
Posts: 732
Joined: 11/02/2005 10:51

Post by Forsaken » 01/12/2006 12:54

imas li sp2??

User avatar
Patron of Formello
Posts: 758
Joined: 18/10/2006 08:39
Location: SFRJ

Post by Patron of Formello » 01/12/2006 13:01

Nisam neki ekspert ali da pokušam pomoći. :-) :D A da probaš čišćenje sa spybootom 1.4 i da ukucaš komandu msconfig i da odeš na startup i da tamo pogasiš opcije?
Meni je to znalo ponekad pomoći.

User avatar
irfan2
Posts: 3659
Joined: 09/04/2004 22:41
Location: sarajevo

Post by irfan2 » 01/12/2006 13:14

Forsaken wrote:imas li sp2??


nemam ..bio svojevremeno instalirao i skonto da je malko sporija masina ... i vratio se na sp1 ..
nisam imao problema godinu dana, dakle uprkos svemu bila je to dobra odluka (ako posjecujes sigurne stranice i ne otvaras funny mejlove) ...i sad kako sam ovo pokupio pojma neam ...

rashid
Posts: 932
Joined: 02/12/2005 01:21
Location: Sarajevo-Anarhija

Post by rashid » 01/12/2006 13:57

irfan2 wrote:
Forsaken wrote:imas li sp2??


nemam ..bio svojevremeno instalirao i skonto da je malko sporija masina ... i vratio se na sp1 ..
nisam imao problema godinu dana, dakle uprkos svemu bila je to dobra odluka (ako posjecujes sigurne stranice i ne otvaras funny mejlove) ...i sad kako sam ovo pokupio pojma neam ...


Nemoj biti lud i instaliraj SP2, jer bez SP2 nemoj se ni cudit kako ti virusi dodzu na kompjuter. Kad instaliras SP2 tek tada mozemo o nekoj sigurnosti pricati ...

neko iz mase
Posts: 2019
Joined: 29/12/2004 21:18

Post by neko iz mase » 04/12/2006 02:01

neznam samo sta ti tu nije jasno ako nemas SP2 i sve patches instalirane.
To ti je isto da kao bez kabanice ides u po Konga i povalis pola sela, i cudis se sto te svasta nesto safatalo.

Baci se opet na posao, reformatiraj i instaliraj kakav firewall prije nego sto se prikljucis na net

Šandor
Posts: 2387
Joined: 13/04/2005 20:26
Location: Negdje izmedju

Post by Šandor » 04/12/2006 02:14

Vjerovatno ti neću pomoći ali tvoj problem podsjeća me na moj.

Moj antivirus je prije par mjeseci javio da mi je uletio rootkit -> nova generacija virusa - pusti me da vrisnem.

Oborim sistem, instaliram sve programe, nijedan sa crackom, samo par programa sa serijskim brojevima....skeniram sa antivirusom i opet....rootkit...new generation of viruses.... ja-> :(

Nađem *zaraženi* fajl i pošaljem nekome da ga testira. Kaže....sve čisto....

False Alarm - lažna uzbuna. Džaba sam obarao sistem. :skoljka:

Na kraju sam skonto da je za sve kriv program Folder Lock koji je jednom davno postirao Fluid. http://www.free-av.com njega je utefterio kao opasni virus nove generacije.

Prešao sam na Avast i riješio problem. I sad ponekad dobijem lažnu uzbunu ali ne tako često kao na free-av.

Pošto nas većina treba Folder Lock...da se ne lažemo... :D ...rekoh možda i ti imaš taj program? :wink:

User avatar
irfan2
Posts: 3659
Joined: 09/04/2004 22:41
Location: sarajevo

Post by irfan2 » 04/12/2006 19:08

ponovo formatirao ..i sada sam prvi program stavio da bude acronis, snimio particiju onako svjezu, i onda sve ostalo ... ako nista sad bar mogu sve obavit za par minuta ...

sada sam ZAISTA pazio ...sve programe sam stavio sa cedea, koje sam ranije koristio ...i koji nisu mogli biti zarazeni ...
i druga stvar koju sam stavio su sygate i nod32 ... i mrcina je evo nakon dva dana opet tu ... KAKO JEBEMU MATER GLUPU KAKO!!!??? GDJE!? ODKLE?! :x :x :x :x :x kunem se da nisam posjecivao nikkakve stranice, samo evo sarajevo-x.com i elitesecurity i mejl ... stvar je u tome da je rijec o istom virusu..

uopste nemam ideju sta da radim? nije mi mrsko formatirat komplet hard disk, pobrisat sve particije, sve zivo..nije, ali sta ako ne uspije? ... ne moze bit da je u root sektoru hard diska, jer a windows ponovo napise kad se radi reinstalacija, jel tako? ovaj put je eliminisana mogucnost da je neki program sa d-a ...sad sam i avastom scanirao, cijeli hd, iz safe-moda ..naravno, nista

dr.iver
Posts: 981
Joined: 02/05/2006 12:33

Post by dr.iver » 04/12/2006 20:02

probaj spyware doctor
ali moras naci sifru za njega
sifru probaj naci na netu, pokusaj na http://www.andr.net (nemoj sa svog komp-a posto je krimi stranica, otidji u net klub)

User avatar
Diwan
Posts: 5349
Joined: 12/11/2005 00:59
Been thanked: 3 times

Post by Diwan » 04/12/2006 20:54

irfan2 wrote:ponovo formatirao ..i sada sam prvi program stavio da bude acronis, snimio particiju onako svjezu, i onda sve ostalo ... ako nista sad bar mogu sve obavit za par minuta ...

sada sam ZAISTA pazio ...sve programe sam stavio sa cedea, koje sam ranije koristio ...i koji nisu mogli biti zarazeni ...
i druga stvar koju sam stavio su sygate i nod32 ... i mrcina je evo nakon dva dana opet tu ... KAKO JEBEMU MATER GLUPU KAKO!!!??? GDJE!? ODKLE?! :x :x :x :x :x kunem se da nisam posjecivao nikkakve stranice, samo evo sarajevo-x.com i elitesecurity i mejl ... stvar je u tome da je rijec o istom virusu..

uopste nemam ideju sta da radim? nije mi mrsko formatirat komplet hard disk, pobrisat sve particije, sve zivo..nije, ali sta ako ne uspije? ... ne moze bit da je u root sektoru hard diska, jer a windows ponovo napise kad se radi reinstalacija, jel tako? ovaj put je eliminisana mogucnost da je neki program sa d-a ...sad sam i avastom scanirao, cijeli hd, iz safe-moda ..naravno, nista



ja bih da sam na tvom mjestu prvo instaliro servis pack 2 pa onda vidio kako ce se ponasati. A ako se i tada bude javljao, ne gine ti da formatiras sve particije

Šandor
Posts: 2387
Joined: 13/04/2005 20:26
Location: Negdje izmedju

Post by Šandor » 04/12/2006 20:56

Irfo, polako bolan. Smiri se. Probaj opet oborit sistem (sad već imaš backup) i bez instaliranja bilo kakvih programa odmah instaliraj antivirus i skeniraj. Ne znam jesi li već probao ovo ali ako nisi probaj.

Ako i tad bude javio da imaš virus onda stvarno imaš problem koji nije povezan sa neznanjem i lažnim uzbunama. Nadajmo se da je u pitanju amaterizam i lažna uzbuna ko što je bilo i kod mene. :-)

Probaj instalirat Avast pa skeniraj s njim. Avast je odličan i sa besplatnom verzijom. Trebalo bi da je moguće da nađeš "inficirani" fajl. Kompresuj ga sa WinRar i uploaduj negdje pa ćemo vidjet šta se može učinit. :D

Ipak, ako ti opet javi da imaš virus bez instaliranja bilo kakvih programa onda ti stvarno ne mogu pomoći.

User avatar
seljak_cojek
Posts: 1044
Joined: 09/02/2006 15:31
Location: Restoran na kraju vaseljene

Post by seljak_cojek » 04/12/2006 22:30

irfan2 wrote:
evo trenutni screenshots procesa..

Image


Zape mi za oko ovaj CTFloader i malo prečešljam internet i evo rezultat:
This section helps you to understand how it behaves
W32/Agobot-FO is an IRC backdoor Trojan and peer-to-peer (P2P) worm which opens TCP ports to listen for and process commands received from a remote intruder.

This worm will move itself into the Windows System32 folder under the filename CTFMOND.EXE, and create the following registry entries so that it can execute automatically on system restart:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
CTF Device Loader = ctfmond.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
CTF Device Loader = ctfmond.exe

This worm may attempt to polymorph on install in order to evade detection.

W32/Agobot-FO will attempt to terminate anti-virus and software firewall processes, in addition to other viruses, worms or Trojans.

više na http://www.sophos.com/virusinfo/analyse ... botfo.html.

Možda je to rješenja. nadam se...

User avatar
triton
Posts: 515
Joined: 09/08/2006 13:42

Post by triton » 05/12/2006 10:56

je li NOD32 sa ona 4 cracka, jedan od njih sadrzi u sebi neki virus barem se meni javljao, al sam ga sutno bez problema kako ne znam, cacko u safemodu pa malo po registriju i nema ga vishe

shin
Posts: 7011
Joined: 19/09/2005 10:52

Post by shin » 05/12/2006 11:00

Cuj ako je na CD-u necma virus. Bolan ako ti crack skines sa neta i on u sebi ima dodatak. Nema veze na kojem je mediju.

User avatar
irfan2
Posts: 3659
Joined: 09/04/2004 22:41
Location: sarajevo

Post by irfan2 » 05/12/2006 17:11

shin wrote:Cuj ako je na CD-u necma virus. Bolan ako ti crack skines sa neta i on u sebi ima dodatak. Nema veze na kojem je mediju.


shin, ova opcija podrazumijeva da sam glup..cuj nema veze na kojem je mediju. ti mislis da ja mislim da ima?? ... hajd razmisli malo

evo da skroz prestanes razmisljati u tom smjeru: tu su trenutno bili
powerdvd, nero, tune up utilities, ofice 2003, gom player i to je to ...i za njih sam koristio seriale, koji su u txt formatu, i koji su svojevremeno skinuti sa orginalne stranice (osim ofisa) i serial skinut tada..
vjeruj mi, nije ta opcija ...i tacka. cak nisam instalirao kodeke za divx, samo gorespomenute, plus mozilu i operu skinutu odmah nakon dizanja ..sada su tu jos nod (skinut sa stranice, bez patch-a, jos uvijek trial) i ovaj spysweeper ...

iz registrija sam pobriso neke kljuceve, instalirao spy sweeper i sad ga nema vise...a dokad, vidjecemo ...

User avatar
Bobi
Forum administrator
Posts: 12215
Joined: 30/10/2002 00:00
Location: http://www.klix.ba
Has thanked: 31 times
Been thanked: 14 times
Contact:

Post by Bobi » 05/12/2006 17:36

A mircash...haaa...:D...vidju onih irc spy botova... :lol: ...garant je jedan moj... :D .Imam neki osjechaj da si ti to na mircu pokupio...:D...naku scriptu koristio i tak to...:D.

User avatar
Bobi
Forum administrator
Posts: 12215
Joined: 30/10/2002 00:00
Location: http://www.klix.ba
Has thanked: 31 times
Been thanked: 14 times
Contact:

Post by Bobi » 05/12/2006 17:40

Ja ja...i onaj gore ctfloader i vala instalishi Adaware...pusti ti ove egzotichne bla bla anti ovo anti ono...;).

Saraswati
Posts: 1817
Joined: 05/05/2006 11:22

Post by Saraswati » 05/12/2006 17:44

A u tom grmu cuci zec :?

Ccc :oops:

User avatar
irfan2
Posts: 3659
Joined: 09/04/2004 22:41
Location: sarajevo

Post by irfan2 » 05/12/2006 18:41

eki fakat :D ..
nisam na mircu bio imaaaa...pa mozda 5 godina :D ....

shin
Posts: 7011
Joined: 19/09/2005 10:52

Post by shin » 06/12/2006 10:40

irfan2 wrote:
shin wrote:Cuj ako je na CD-u necma virus. Bolan ako ti crack skines sa neta i on u sebi ima dodatak. Nema veze na kojem je mediju.


shin, ova opcija podrazumijeva da sam glup..cuj nema veze na kojem je mediju. ti mislis da ja mislim da ima?? ... hajd razmisli malo

evo da skroz prestanes razmisljati u tom smjeru: tu su trenutno bili
powerdvd, nero, tune up utilities, ofice 2003, gom player i to je to ...i za njih sam koristio seriale, koji su u txt formatu, i koji su svojevremeno skinuti sa orginalne stranice (osim ofisa) i serial skinut tada..
vjeruj mi, nije ta opcija ...i tacka. cak nisam instalirao kodeke za divx, samo gorespomenute, plus mozilu i operu skinutu odmah nakon dizanja ..sada su tu jos nod (skinut sa stranice, bez patch-a, jos uvijek trial) i ovaj spysweeper ...

iz registrija sam pobriso neke kljuceve, instalirao spy sweeper i sad ga nema vise...a dokad, vidjecemo ...



Ne podrazumjeva se nista dok to sam ne kazes. Nabaci SP2, stavi zadnji autopatcher i nece biti problema. Ja ne koristim antivirus samo onaj genericki firewall od windoza.

User avatar
irfan2
Posts: 3659
Joined: 09/04/2004 22:41
Location: sarajevo

Post by irfan2 » 18/12/2006 11:54

ok..update :D ..sad mi je malo jasnije ...

gle, sta je system volume information ...sada je nod, pri scanu, nasao 5 gamadi na c-u i tri na d-u koji izgledaju otprilike ovako

C:\System Volume Information\_restore{3706D32C-2EF8-47AB-9B7E-2C1C130FE1AB}\RP6\A0000155.exe

D:\System Volume Information\_restore{AC10311B-D696-4A94-9E75-47AAA2087DA3}\RP3\A0000322.exe

itd ...

znaci, ljudi :D ...sta je system volume information? da li se on izbrise kad se format napravi? ..mozel se & smijel se izbrisati sav sadrzaj, nesto slicno kao ono iz boot sectora? ...

Post Reply