Virus!?

[Civil]

postovane kolege,

pre neki dan sam isao u fotokopirnicu da nesto skeniram i da mi se napravi pdf od toga. Kada sam dosao kuci video sam da je direktorijum koji je postojao na mom flas-uh dobio ime "ime.exe" i nisam mogao da udjem u njega (pokrenuo sam ga) i jos jedan direktorijum koji je napravljen u fotokopirnici dobio isto ime "dokumenti.exe",dakle dodato je ovo .exe.

Bio je i neki problem sa fajlovima ali se ne secam tacno koji. meni je fajl trebao hitno i ja sam to pokrenuo i izgleda napravio s*anje.

par dana posle tog dogadjaja, meni tastatura pocinje da se gubi, evo ovo dok kucam taster shift mi ne radi sa nekim slovima, nec eda mi kuca velika slova, dok na nekim radi normalno a cini mi se i da slova kasne prilikom kucanja.

da li je to neki virus ili sta?

Radi se o visti64.

 

[-Marko-]

Verovatno je virus ili ti je riknula tastatura
Salim se, sta imas od antivirus software-a na kompu?Skeniraj flash i vidi sta ce da ti kaze..

Poz

 

[BlackNeo]

Po simptomima bi trebalo da je virus - kopirnice su ih pune, treba se čuvati.

Instaliraj Aviru i vidi hoće li uspjeti da ga sredi.

 

[Civil]

Deinstalirao sam ono neupotrebljivo djubre od KAV-a i instalirao Aviru, sada se tesko na pocetku snalazim ali mi prijavljuje trojanca TR/Crypt.CFI.Gen u C:\Win\lsass.exe fajlu. Citao sam da je ovo sistemski fajl a virus je kada pocinje sa I, dakle isass.exe. Ja sam mu onemogucio pristup. Za sta taj fajl uopste sluzi !?

Kako mogu da promenim akciju na tom nekom fajlu!?

 

[Iv@N_SD]

Haha, ja sam pre sat vremena pokupio isti virus od druga.

 

[Civil]

Avira mi prikazuje goooooomiletinu trojanaca, virusa, sta ti ja znam cega... a osim gore navedenog komp radi odlicno, evo sada je i to ok...

Javi kako si resio (ako si resio).

Problem je sto danas bukvalno virus NE MOZE da se dezinfikuje kao nekada. Anti virus programi su prakticno beskorisni.

 

[Martin Mystere]

Radi se o AutoIt virusu koji ne mozes da resis nijednim AV programom (sto si i sam dobro primetio), tako da si bez ikakve potrebe deinstalirao Kaspersky i nazvao ga neupotrebljivim posto to ni Avira nece moci da ti resi.
Umesto toga instaliraj Malwarebytes Anti-Malware verziju 1.36 ili noviju i odradi scan kompjutera. On ce da ti nadje skriveni folder Win (nista se ne brini, nece nista da se zezne) u kome se nalazi lsass proces i da obrise virus sa racunara.
Sto se tice flasha moraces da ubijes proces lsass ali ne onaj koji je od SYSTEM-a vec onaj koji je od korisnika (username) i da nakon toga obrises sve foldere koji imaju ekstenziju exe, mada ti ja preporucujem da formatiras flesh.
Proces mozes da ubijes pomocu malenog programa procexp gde ces da ga nadjes a onda desni klik na njega i kill process.

 

[Civil]

Da, hvala, na drugom mestu sam isto saznao da moram da obrisem taj skriveni direktorijum sto sam odmah i uradio! U njemu je bio neki 1.exe fajl kao i neki names.txt fajl.

Flash sam formatirao, mislim da je to to!?

KAV je stvarno uzasan program, uopste nisam mogao da se snadjem u njemu, AVIRA mi je prijavila preko 100 raznih trojanaca kao nekih, odnosno preko 100 fajlova i to sam kao stavio u karantin a KAV to nije prijavio... pri tome KAV i kada prijavi nesto nisam nigde imao opciju sta da radim sa tim necim... svejedno, smarao me je, zeleo sam da ga promenim...

Hvala!

 

[-Marko-]

Nije toliko uzasan kada naucis da se snalazis u njemu mada veliko pitanje je da li su mu definicije bilo update-ovane kako treba.Nemoj da zaboravis da instaliras malwarebytes jer ce ti i on trebati...

Poz

 

[Civil]

Instalirao sam free varijantu i nasao mi je nekoliko zarazenih fajlova, uglavnom keygen-a ali mislim da je najbitnije da mi je pronasao i izbrisao registri kljuc AUTOIT !

 

[-Marko-]

Free varijanta nema aktivni monitoring ali je skener isti tako da ce dobro odraditi posao.Da budes siguran mozes da pokrenes windows u safe mode-u i da jos jednom skeniras sa avirom i malwarebytes...

Poz

 

[Martin Mystere]

Instalirao sam free varijantu i nasao mi je nekoliko zarazenih fajlova, uglavnom keygen-a ali mislim da je najbitnije da mi je pronasao i izbrisao registri kljuc AUTOIT !

Odlicno, bitno je da te resava te AutoIt gamadi jer nju ne mozes preko drugih AV programa da ocistis.
A sto se tice Kaspersky proizvoda, super su i koristim ih godinama, samo se treba navici na njih, narocito sa prelaska na noviju verziju. I naravno podesiti je kako treba i redovan update i ne mozeda te izneveri.
Btw. ni jedan AV program ne pronalazi 100% gamadi, imaj to uvek na umu.

 

[Cranky]

sta ja znam meni je isto usb bio zarazen (isao do fotokopirnice nesta odstampati)
ubo usb kuci avast normalno prijavio resio se gamadi
a folderi tvoji su skriveni

 

[Martin Mystere]

Vidis kako gresis!
Pravi folderi su skriveni, a ti folderi sto vidis sa ekstenzijom .exe su ako se ne varam svi po 538 Kb i tu je virus kojeg naravno pokreces jednostavno duplim klikom na bilo koji folder.exe. To sto ces izbrisati te foldere ti nista ne znaci ako se ne resis foldera win koji ti je negde na racunaru, jer je to da si ih se resio samo privid.
I da ponovim nijedan AV ne moze da do kraja resi problem sa lsass i AutoIt, to ti mislis da je Avast resio problem, a problem je i dalje ostao u racunaru.
Zato lepo Mbam i resiti to do kraja, da budes miran.

 

[Deleted member 9456]

Meni bode oci sto samo Malwarebytes uklanja taj virus i niko drugi? Kako i zasto?
Imam Malwarebytes i to full, na scan je prijavio winpower program za UPS da je P2P trojanac.
Sad se ja opet pitam kako nije prijavio kad sam insatlirao winpower, kako to nadje da je trojanac a njegov real-time modul nista ne nalazi, kako NOD32 nista ne prijavljuje? Malo to sve sa virusima postaje suludo, programi koji su mnogo mocniji nista ne nalaze ili su nesposobni da uklone virus a onda se po pravilu pojavljuju neki programi koji su spasonosni i samo oni uklanjaju taj virus ili sta je vec. Nakog nekog vremena po pravili pojavljuje se neki novi virus i neki novi program koji jedini uklanja taj virus.

 

[Martin Mystere]

Razumem sta zelis da kazes ali nemam valjanog odgovora zbog cega bas samo MBAM uklanja AutoIT virus, zajedno sa win folderom i lsass u registry bazi i na sistemskoj particiji.
Cinjenica je ipak da sam scanirao sisteme (vise njih na poslu) sa KIS 2009, ESET SS4 i Nortonom 360 (naravno svi updateovani na taj dan) i da nijedan od njih nije nista nasao i da je samo MBAM nasao i obrisao gore navedeno, tako da kasnije vise nije bilo problema.
Zasto je to bas tako - ponavljam da ne znam a iskreno govoreci i ne pokusavam da znam, sve dok radi kako treba.
Takodje i mene malo cudi zasto ozbiljne firme koje se bave zastitom i nekoliko meseci nakon pojave tog virusa ne reaguju i na ucine da njihovi programi mogu da ga otkriju i da ga se rese, ali to je vec visa politika u koju necu da se mesam.

 

[shtefchenko]

Inace, Keygen-i su stvarno virusi ili rade na slicnom principu pa su mahom detektovani?

 

[Deleted member 9456]

Pogledaj sta Virustotal daje za taj file koji MBAM prijavljuje kao virus
File UPSMS.exe received on 2009.06.14 21:13:38 (UTC)

Antivirus Version Last Update Result
a-squared 4.5.0.18 2009.06.14 -
AhnLab-V3 5.0.0.2 2009.06.14 -
AntiVir 7.9.0.187 2009.06.14 -
Antiy-AVL 2.0.3.1 2009.06.12 -
Authentium 5.1.2.4 2009.06.14 -
Avast 4.8.1335.0 2009.06.14 -
AVG 8.5.0.339 2009.06.14 -
BitDefender 7.2 2009.06.14 -
ClamAV 0.94.1 2009.06.14 -
Comodo 1328 2009.06.14 -
DrWeb 5.0.0.12182 2009.06.14 -
eSafe 7.0.17.0 2009.06.11 Suspicious File
eTrust-Vet 31.6.6556 2009.06.12 -
F-Prot 4.4.4.56 2009.06.14 -
F-Secure 8.0.14470.0 2009.06.13 -
Fortinet 3.117.0.0 2009.06.14 -
Ikarus T3.1.1.59.0 2009.06.14 -
K7AntiVirus 7.10.762 2009.06.12 -
Kaspersky 7.0.0.125 2009.06.14 -
McAfee 5646 2009.06.14 -
McAfee+Artemis 5646 2009.06.14 -
McAfee-GW-Edition 6.7.6 2009.06.14 -
Microsoft 1.4701 2009.06.14 -
Norman 6.01.09 2009.06.12 -
nProtect 2009.1.8.0 2009.06.14 -
Panda 10.0.0.14 2009.06.14 -
PCTools 4.4.2.0 2009.06.12 -
Prevx 3.0 2009.06.14 -
Rising 21.33.62.00 2009.06.14 -
Sophos 4.42.0 2009.06.14 -
Sunbelt 3.2.1858.2 2009.06.14 -
TheHacker 6.3.4.3.345 2009.06.13 -
TrendMicro 8.950.0.1092 2009.06.12 -
ViRobot 2009.6.13.1785 2009.06.13 -
VirusBuster 4.6.5.0 2009.06.14 -

Inace Winpower je software koji se isporucuje uz Mustek UPS-ove

Pogledaj ovaj link koji pod hint izbacuje Spaybot
http://i41.tinypic.com/23hlfth.jpg

Kome sad treba verovati? :crash::wall:

 

[Martin Mystere]

Ne znam sta da ti kazem a da bude ispravno. Mozda je najbolje reci "The truth is outhere..."

 

[danilo989]

Pogledaj ovaj link koji pod hint izbacuje Spaybot
http://i41.tinypic.com/23hlfth.jpg

Haha :d McAfee i Trend su, prilikom instaliranja, prijavljivali Spybot kao nekompatibilnu aplikaciju i uklanjali je ako je korisnik nastavio instalaciju. Vodi(o) se mali rat izmedju njih, posto je to zestoko uticalo na opadanje broja korisnika Spybot-a. Izgleda da ovako SB uzvraca udarac.. lol
Sto se tice FPa, posalji im na http://www.malwarebytes.org (preko foruma, ima sekcija za FP)

 

[Cranky]

Vidis kako gresis!
Pravi folderi su skriveni, a ti folderi sto vidis sa ekstenzijom .exe su ako se ne varam svi po 538 Kb i tu je virus kojeg naravno pokreces jednostavno duplim klikom na bilo koji folder.exe. To sto ces izbrisati te foldere ti nista ne znaci ako se ne resis foldera win koji ti je negde na racunaru, jer je to da si ih se resio samo privid.
I da ponovim nijedan AV ne moze da do kraja resi problem sa lsass i AutoIt, to ti mislis da je Avast resio problem, a problem je i dalje ostao u racunaru.
Zato lepo Mbam i resiti to do kraja, da budes miran.

kao sto vec rekoh usb se zarazio u fotokopirnici, kuci je usb uboden pod klijent nalogom iskljucenim auto runom a prije tog pokrenut usb no risk radi ostale gamadi
plus je izbrisano svo ono ****** sa ostalim folderima tako da nema teorije da mi je komp zarazen samo sam momku rekao da su mu folderi skriveni

a da budem siguran pusticu mbam da skenira *** mozda je prosao

 

[Deleted member 9456]

@danilo989,

Hvala na pojasnjenu ali tek sad ne verujem nikome. Njihova licna preucavanje i podmetanja nogu. Slican slucaj kao kod Firefoxa add-ons NoScrip i Addblock, i tu su bila prepucavanja i licna netrpeljivost. Jos sad kad skinem neki program koji je pod GPL a skoro uvek unutra neko kukavicije jaje,toolbari i ostala sr*a. Jedno vreme svi su se kleli u ParetoLogic, pre toga u AVG anti-spyware (Ewido), HijackThic, Spybot (sada jedino sto uspe da nadje je neki cookies)...Sve vise postajem pristalica "teorije zavere" da sami proizvodjaci izmisljaju nove viruse, analogno ovom clanku o lekovima ""Farmaceuti izmišljaju bolesti" Sve je to jedan veliki biznis

 

[Iv@N_SD]

Avira mi prikazuje goooooomiletinu trojanaca, virusa, sta ti ja znam cega... a osim gore navedenog komp radi odlicno, evo sada je i to ok...

Javi kako si resio (ako si resio).

Problem je sto danas bukvalno virus NE MOZE da se dezinfikuje kao nekada. Anti virus programi su prakticno beskorisni.

Nisam stigao pre da javim. Ubio proces Issas.exe, obrisao ručno iz cmd prompta folder Win i iz registry baze key koji ga postavlja u Start-Up.
Ovde se nalazi taj key: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

 

[Antonio]

Za autorun zaraze sa fleš diskova meni se odlično pokazao combofix seče ih u korenu. Sve što drugi programi ne mogu da otklone ili detektuju combofix otkrije i očisti za 2 do 3 minuta.

 

[terzazak]

Probah i ja ovaj mbam i ne mogu verujem da su ovo sto pokazuje zarazeno??:trust:

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer
(Hijack.StartMenu)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter)
Folders Infected:
(No malicious items detected)
Files Infected:
c:\WINDOWS\Explorer.sav (Heuristics.Reserved.Word.Exploit)

Ne mogu da verujem da je to sto sam zabranio notifikaciju Win security centra malwer????
Jedino nisam siguran za :
-Files Infected:
c:\WINDOWS\Explorer.sav (Heuristics.Reserved.Word.Exploit)

I zato mu nisam dozvolio da obrise ponudjeno.
Inace ovaj virus AutoIt je prisutan skoro na svim kompjuterima kod mene na poslu (sta da se radi drzavni racunari) :crash:
Ja sam na mom racunaru iskljucio Autorun i obavezno radim format fleske(kad dodjem sa posla).
AV Bitdefender zasad odlicno radi svoj posao..

 

[GAGI CA-KI]

Zna li ko sta o ovome. HAHA Michael Jackson Gay i onda ide link. To sam dobio preko xfire-a od jednog prijatelja. Na link nisam kliknuo jer ako se to uradi pokupis virus koji svima u tvojoj listi prijatelja na xfire-u ili mesindzeru salje taj link

 

[GAGI CA-KI]

Dakle ako dobijete nesto ovako N*E*O*T*V*A*R*A*J

 

[senator]

I ja sam skoro imao problem dok sam radio na xp-u. Udjem u My computer i sve mi ikonice razbacane, a kada dva puta kliknem levim misom na neku od particija, nista se ne desava, nego sam morao desnim klikom na particiju pa na open. Naravno, Kaspersky nista nije prijavljivao i ja lepo reinstaliram sistem. Normalno, sve lepo sljaka dok me ortak nije pozvao i rekao da sam navukao virus preko flesa. Nazalost, vec sam bio ustekao fles i, dok sam stigao da ga izvadim, virus je ponovo sve s***** a nisam stigao ni drajvere da instaliram. E onda mi je ortak poslao neki PRT programcic koji je (gle cuda!) uklonio virus i vratio komp u normalu. Tesko s****- jedan virus, jedan program...

 

[spock1]

Koji je to program ako moze da se zna?

 

[igor88]

Dakle ako dobijete nesto ovako N*E*O*T*V*A*R*A*J

ako to dobijes uradi copy paste u operu i bices cool