Cudan virus - kako ga se resiti?

Pozz svima...Evo vec nedelju dana imam problema sa neoicnim virusima...Naime pre nedelju dana odjednom mi se pokocio komp i odtada pola aplikacija,programa mu ne rade...Prvo sam naravno pomislio na virus,i posto mi dosta programa uopste nije radilo,oborih sistem...Nakon instalacije novog OS,u mom kompu se konstantno nalazi preko 300 virusa,ali sto mi je najmanje jasno je to da 5 minuta nakon zavrsetka instalacije,i instaliranja osnovnih drajvera,i antivirusa,na particiji C gde je OS vec ima 300 virusa!!!Znaci uzas...Cim instaliram antivirus,istog momenta pocne da mi izbacuje viruse,a samo sto je instaliran OS!!!Stvarno ne razumem...Pritom da napomenem imam jos dve particije koje nisam ni jedniom formatirao,jer tu cuvam ostale podatke,pa sam mislio da virusi prelaze na C sa tih particija,ali antivirus ne nalazi na tim particijama nijedan jedini virus!!!Stvarno ne znam vise sta cu..Za zadnjih nedelju dana,pet puta sam obarao sistem,i opet isto..Inace koristim NOD 32,kao antivirus,i probao sam jednom umesto njega da koristim AVG,da vidim sta ce on naci od virusa...Za cudo on nije nasao nijedan virus ni na C particiji...Medjutim,meni komp i dalje radi,iako on nie nasao nijedan virus,sporo kao puz...Pola minuta mu treba da otvori My computer,tako da i dalje mislim da ima virusa,ali vise ne znam odakle...I uvek mi ti virusi napadaju iste fajlove,i ja pustim da mi ih antivirus obrise,i onda mni nista zivo ne radi..A ti fajlovi su:pola fajlova iz sistemskih foldera SISTEM i SISTEM32,zatim obavezno sound menager,taskmenager,paint,wordpad,i jos milion stvari,i to uvek istih...AJ drugari,ko se razume,neka pomogne,jer ja vise ne znam sta ciniti!!!Hvala i pozz

Skinite program HijackThis.

Kada ga preuzmete, preimenujte fajl u bilo sta, npr. “blabla.exe”. Pokrenite ga i kliknite “Do a system scan and save a logfile”. Taj log iskopirajte ovde.

Vrlo koristan alat (butabilni CD) koji bi mogao da probas: Avira AntiVir Rescue System

Nekoliko napomena:
- Zadnjih meseci je vrlo cesta pojava da je sam instalacioni disk, skinut sa torrenta, vec zarazen virusima (razne "XP SP3" "full" ili "lite" verzije)
- Virusi se obicno sakrivaju u System Restore, pa ako imas na tim drugim particijama snimljene Restore Points, eto ti odakle stizu...
- Pre instalacije novog Windowsa, na hard disku na kome se ne diraju postojece particije, trebalo bi iz Recovery Console prvo pokrenuti fixmbr i fixboot, a potom iz instalacione procedure uraditi full format particije na koju se instalira Windows

... * ima jos, ali da ne sirimo pricu dalje...

---

Pa ja taj instalacioni disk imam 2 godine,i nije bilo do sad problema,tako da tu opciju iskljucujem...E sad moze biti ovo oko restore points,posto mi izbacuje da se pola od tih virusa nalazi u restore volume ako se secam,ali na C,ne na drugim particijama,i evo pokusavam da nadjem te restore points na drugim particijama,ali slaba vajda..Mogu li se one naci jednostavno preko opcije Search?I kako pokrenuti ovu recovery konzolu?Ne secam se da sam negde naleteo na nju...A evo skinuo sami ovaj program Hijack This,pa videcemo...

Evo uradio sam i scan sistema preko ovog programa HjackThis i evo rezultata:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:10:02 PM, on 4/27/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\reader_s.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Administrator\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.rs/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Administrator\reader_s.exe
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Administrator\reader_s.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\Administrator\reader_s.exe (User 'Default user')
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Procedure Call (RPC) Locator (RpcLocator) - Unknown owner - C:\WINDOWS\system32\locator.exe
O23 - Service: QoS RSVP (RSVP) - Unknown owner - C:\WINDOWS\system32\rsvp.exe
O23 - Service: Smart Card (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Uninterruptible Power Supply (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe
O23 - Service: Volume Shadow Copy (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Windows Media Connect Service (WMConnectCDS) - Unknown owner - C:\Program Files\Windows Media Connect 2\wmccds.exe

--
End of file - 3575 bytes


Pa kako vam izgleda?

E drugari evo jedne ispravke..Nod mi je na E particiji(sekundarna particija)nasao milion virusa u fajlovima Sistem Volume Information\Restore...Znaci ipak su bili u restore pointima virusi...E sad pitanje-Kako ih obrisati,ali bez firmatiranja particije?

Za pocetak iskljucite “System Restore”.


Stiklirajte sledece objekte i kliknite “Fix checked”

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Administrator\reader_s.exe
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Administrator\reader_s.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\Administrator\reader_s.exe (User 'Default user')

Posle toga restartujte kompjuter i napravite novi log.

Dalje

• Preuzmite i instalirajte program Malwarebytes` Anti-Malware - http://www.malwarebytes.org/mbam-download.php
• Pokrenite ga i izvrsite update (Update > Check for Updates) i po zavrsetku potvrdite sa OK
• Posle update-a odaberi Scanner, oznaci Perform full scan i pritisni Scan
• Kada se skeniranje zavrsi pritisnite OK, pa Show Results da vidite izvestaj.
• Proverite da li su svi pronadjeni fajlovi stiklirani (ako nisu selektujte ih), pritisnite Remove Selected i potvrdite sa OK
• Program ce vas upitati da restartujes racunar i vi to potvrdite
• Takodje posle ukljanjanje malware-a sa racunara dobicete log fajl (izvestaj) koji cete iskopirati ovde

_{[Ovu poruku je menjao Nemanja Živanović dana 27.04.2009. u 15:55 GMT+1]}

zao mi je ali ovo je samo trosenje vremena
reader_s.exe je znag za Virut

C:\WINDOWS\System32\reader_s.exe

tvoj sistem je inficiran sa Virut-om,to je "Polymorphic File Infector" odnosno malware koji menja svoj potpis (tj. njegov binarni kod)
i svaki put ce se replikovati i zarazivati nove fajlove ( .exe i .scr fajlove)i na taj nacin nastoji da prodje "neopazeno" od strane tvog AV programa

a zna i preko e-mail-a da se reprodukuje...

ja ti preporucujem da odradis sledee:
bekupuj sva svoja vazna dokumenta,ali nemoj da kopiras .exe programe, (znaci slike,muzika,filmove i slicno kopiraj...)

skini bootable avira anti virus i narezi ga na CD (avira ima definicije za taj virus,ali moze ga ubiti samo u boot scan-u)

http://www.free-av.com/en/prod...ira_antivir_rescue_system.html

formatiraj windows....i pre nego sto se dohvatis drajvera da instaliras pokeni aviru bootable i idi na full scan

sve sto nadje brisi...
ili kad formatiras windows (jos pre drajvera) skini avast (besplatnu verziju) odradi update pa odradi skeniranje u boot modu

znaci sve podatke kopiraj ali dok neocistis sistem..ne pokreci instaliranje nikakvih programa ( .exe ) ili zip koji imaju spakovanu .exe..krekove itd..to sve obrisi...

srecno ;)

---

Ako ovo nije trosenje vremena onda ja ne znam sta jeste.
Cekamo logove.

ma..slobodni ste pokusati...

---

Zavisi od varijante Viruta - neki se mogu ocistiti iz Safe Mode-a, ali kod nekih pomaze samo full format diska.

Nadajmo se da nam full format nece zatrebati. :)

E drugari hvala pre svega svima na odgovorima...Evo za dva dana mi je jos dva puta pao sistem,pa nisam uspeo cak ni da vam se javim i odgovorin na post...Elem evo sad nekako uspeh da podignem sistem,i videh postove...Probacu da uradim ovo sto ste mi rekli pa vam javljam uskoro sta bilo...Hvala jos jednom i pozz

Ljudi pa kako radi ovaj Avira?Pokrenuo sam ga iz boot,i skenirao i nasao viruse,ali nista nije uradio sa njima...Niti ima opciju delite ili tako nesto pa da ih ja sam uklonim...Sta sad?

Daje ti opciju -"repair", na kraju.Ili ti imas neku posebnu Aviru.

Nema te opcije na kraju skeniranja..A skinuo sam je sa linka koji covek postavio u jednom od prethodnih postova....Sta mislite?

Ja mislim da treba da pokusate da resite stvar onako kako sam vam opisao. :)

Bootabilni CD Avira Rescue System, pre skeniranja treba da prebaciš jezik na engleski (osim ako ne govoriš nemački), klikom na ikonicu zastave.
Potom podesiš u opcijama (u dnu leve strane prozora imaš: "Options", ili je: "Advanced"?) da nakon skeniranja očisti, ili obriše pronađene zaražene fajlove (sve ili one koje ti odabereš...)
Podrazumevane postavke, bez prethodnih podešavanja, su da samo skenira i detektuje viruse, bez njihovog čišćenja.

PS
Svaki program pre upotrebe, uglavnom mora prethodno da se malo i podesi... (uključiv i sam operativni sistem Windows), ali izgleda da to veoma mali broj prosečnih korisnika uopšte praktikuje!?)

---

E pa ljudi evo da vam javim da sam se resio virusa konacno,i ne ni na prvi,ne ni na drugi nacin,vec obicnim Antivirusom Avira,nije onaj bootabilni CD,vec skinuo bas antivirus za OS,uradio update,i on ih sve obrisa,a da bili ste u pravu,bio je yo virus VIRUT,i za sada mi ne prijavljuje nijedan vise,pa videcemo..Probao sam prvo u safe modu ali tamo nije nasao nijedan virus,a u normal modu njih stotinak,uradio dva puta skeniranje i brisanje,i treceg puta vec nije bilo ni je dnog virusa,niti je u medjuvremenu nasao jos neki...Jutros sam opet radio skeniranje i opet nema nicega,za sad cisto,pa videcemo nadalje kako ce ici,komp za sad radi lepo(da ga ne urocim),pa videcemo dalje...Evo stavljam vam opet i log sa HjackThis,pa javite ako nesto cudno,da ga resavam sto pre...I hvala svima na pomoci....Pozz

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:17:31 PM, on 4/30/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\SVASTA\NEKI PROGRAMI\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.rs/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.googloe.com/
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 5000 bytes

Po logu je sve cisto. ;)