Vrus, trojanac ili nesto trece

[OVERTKILL]

Mucim muku san nekakvim virusem koga ni NOD32 update-van ni kasperski 7 takodje update-van ne vide.

Vec cetvrti put deinstaliram sistem zbog ovog virusa jednostavno se primiri i skrije negde i jednostavnim startovanjem neke aplikacije (zdnji put Microsoft word-a) se aktivira i unisti mi sve administrator funcije na kompu kao sto si RUN Task Menager, Puno opcija u Control panel-u, comander Itd. molim vas da mi neko kaze imali ko ideju o kojem se virusu ili vec cemu radi i cime mogu da ga odklonim kada vec ponenutii programi ne rade.
(uradio sam sa oba programa detaljno skeniranje nisu ga odkrili.)

 

[danilo989]

Obicno resava ovakve probleme : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Skini ComboFix, privremeno iskljuci AV, skeniraj sa ComboFix-om i ne pomeraj njegov glavni prozor (ume da se zapuca ako pomeras ).

Ako ne uspe skini SUPERAntiSpyware free i preskeniraj sa njim.

 

[OVERTKILL]

60%

Hvala za ove programe ali funcije su vracene nekih 60% recimo jos uvek taskmenager kada pokusam da ga startujem odmah se gasi, takodje me muci to sto ni update-van Super spyware nije nasao nista. Molim vas da me uputite na neku antivirus bazu i da me upoznate sa antivirusima malo bolje.

Takodje bih voleo da otvorim temu (ako vec ne postoji) koji antivirus vi koristite i kakva su vam iskustva.

Ja Vec 2 godine koristim NOD32 od i ovo je prvi do sad. Naravno koristim redovan update i legalnu kopiju programa.

Kompaniji ESET sam vec pisao ali nema odgovora za sad.

 

[danilo989]

Skini HijackThis sa ovog linka : http://www.majorgeeks.com/download3155.html
preimenuj ga u nesto drugo (blabla.exe na primer), klikni na "Do a system scan and save a logfile", taj log sto se pojavi okaci ovde.

 

[Slayer]

ako vec obaras sistem, moj iskren savet ti je:

Odnesi hard kod nekoga ko ima linux, i null-ujte tvoj HDD. ako ti treba detaljnije uputstvo javi se na PP. tu operaiju ni jedan virus ne moze da prezivi

 

[OVERTKILL]

Uzorak

Upravo sam svatio da su dokumenti Word-a koje sam sacuvao juce najverovatnije inficirani, probao sam da ih otvorim ali je open fail. kada sam ih otvotio dobio sam sledeci text MZRÃ(C)BeRo!PE L " izgleda zahvaljujuci SUPERAntispayware virus mi nije naudio ali mi je unistio rad koji sam uradio sinoch takodje jos uvek nemam srece oko pokretanja taskmenager.
Imao sam iskustva sa virusina ali nikada nisam video ovako nesto , takodje nisam video virus koji moze da sredi Safemode je se virus takodje manifestuje u njemu takodje nece da otvori Taskmenager i druge dministrator programe.

Zamolio bih administratore benchmarka da uz njihovu saglasnost uradim Winrar inficiranog word-a i da postavim Attachment virisa za analizu. Virus reaguje na dupli klik i nije opasan ako ga ne pokrenete tj. ako ne pokrenete word aplikaciju i prakticno nevidljiv za sve dosadasnje programe.

Hvala unapred i molio bih za pomoc.

 

[OVERTKILL]

Skini HijackThis sa ovog linka : http://www.majorgeeks.com/download3155.html
preimenuj ga u nesto drugo (blabla.exe na primer), klikni na "Do a system scan and save a logfile", taj log sto se pojavi okaci ovde.

OK hvala ako mislite da znate o cemu je problem pogledajte.

Ne mogu da zakacim file ili ne znam kako zamo mi izadju opcije koje vrste fajlova mogu da zakaci ali ne i opcija browse file ili Upload file.

Logfile of HijackThis v1.99.1
Scan saved at 11:15:41 AM, on 1/14/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\SysTray.scr
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\uTorrent\utorrent.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Alien 2008\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Shell] C:\WINDOWS\SysTray.scr
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C631F81-B609-4453-A83B-9F5AB88E30EF}: NameServer = 196.3.81.5,196.3.81.132
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C631F81-B609-4453-A83B-9F5AB88E30EF}: NameServer = 196.3.81.5,196.3.81.132
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C631F81-B609-4453-A83B-9F5AB88E30EF}: NameServer = 196.3.81.5,196.3.81.132
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

Tako da saljem Log ovako copiran iz text documenta.

 

[danilo989]

Trojanac ti je modifikovao jedan registry kljuc koji onemogucava pokretanje TaskManager-a, zbog toge ne mozes da ga pokrenes iz Safe mode-a.
Pitanje: da li ti iskace da nemas Admin prava kad pokrenes TaskManager ili ti se nakon pokretanja sam ugasi?

Edit: sad cu da pregledam...
Edit2:
C:\WINDOWS\SysTray.scr<< nadji taj fajl i upload-uj ga na http://www.virustotal.com/. Okaci rezultate skeniranja.

Skini : http://siri.urz.free.fr/Fix/SmitfraudFix.exe
i prati uputstva na sledecem linku: http://siri.geekstogo.com/SmitfraudFix.php (krenes od "Use:")


Vidim da imas ostatke Kasperskog. Jel uninstall lepo uklonio Kasperskog ili je nesto poslo naopako?

 

[OVERTKILL]

Hvala

Pitanje: da li ti iskace da nemas Admin prava kad pokrenes TaskManager ili ti se nakon pokretanja sam ugasi?

Prvo je prijavljivao da nemam Admin a posle fix-a koji si mi dao sa se gasi posle pola sekunde.

Ovo skeniranje cu odraditi pa cu poslati rezultate.
Prijatelju Veliko hvala na dsadasnjoj pomoci nadam se dacemo uspeti da ga otkrijemo.
PS.Koji antivirus i koju zastitu ti koristis.

 

[OVERTKILL]

MZRÃ(C)BeRo!PE L "

MZRÃ(C)BeRo!PE L "

To je ono sto mi otvara Microsoft Word.

Sacuvao sam posle svog ciscenja obicnu tabelu i posle restarta sacuvani fajl se unistava tj biva inficiran. Kada kreiram bilo kakav Microsoft word save on radi do sledeceg restarta posle toga se otvara kao MZRÃ(C)BeRo!PE L "
posto se i virus prvo aktiviro pomocu worda verovatno se radi o nekakvom word virusi ili vec cemu ali cudno je da infekcija nastupa pole restarta.

 

[danilo989]

Znaci SmitfraudFix nije pomogao... OK.

Skini ProcessExplorer i u listi procesa pokusaj da nadjes "SysTray.scr", ubij taj proces (desni klik na njega pa
Kill Process). Nakon "ubistva" P) idi u Start>Run ukucaj msconfig. U kartici Startup nadji SysTray.scr u iskljuci ga. Sledece, idi u C:\WINDOWS\ i obrisi SysTray.scr (ako ne uspe rucno probaj sa Unlocker-om). Sad pokusaj da otvoris Word dokumenta. Ako mozes okaci screenshot rasirenog Process Explorer-a (ako ne mozes da attach-ujes upladuj na imageshack ili nesto...).

Jesi uploadovao na virustotal SysTray.scr? (rezultati me interesuju)

 

[OVERTKILL]

Cudno

Jesi uploadovao na virustotal SysTray.scr? (rezultati me interesuju)

Taj file SysTray.scr ganema u C:\WINDOWS\SysTray.s jednostavno ne postoji veruj mi radim sa kompjuterima duze vreme i znam sta radim i o cemu govorim i veruj mi imam iskustva probao sam na pretragu ali ga ni pretraga nije nasla kao da je nevidljiv ili hiden ili nesto ali ga nema nigde sto je vrlo cudno.

Ali znam da je tu imao sam problema sa virusima i ranije ali nista ovako do sad verovatno je rec o nekom novom virusu. mozda cu jednostavno da sacekam par nedelja dok ne izadje adekvatna zakrpa tj. update za kasperski ili NOD32 V.3 pa ce da vidimo a do tada boricu se mrzim da gubim bitke.:smash:

A tebi puno hvala na pomoci stvarno si prijatel:wave: i vrlo sam zahvalan za svu pomoc.:angel:

 

[OVERTKILL]

Ovo postaje interesntno

Evo dajem ti slicice da se cudis kao sto jekoh cekirana mi je opcija da mi prikaze skrivene fajlove takodje mozes cideti da ga taskexplorer vidi i da vidi patch lokaciju tj. C:\WINDOWS\SysTray.scr ali ga u folder-u nema sto je ludo pomagaj.

 

[danilo989]

Nema veze za slicice, mozemo i bez njih :d :type:

Skini program KillBox: http://killbox.net/ (download link sa leve strane)
Kada ga pokrenes, u Path stavi: C:\WINDOWS\SysTray.scr i klikni na crveni X (delete files). Ne znam da li ce uspeti, ali vredi da pokusamo.

Poslednja opcija je da skines BankerFix, program je na Spanskom/Latinoamerickom (koji je tacno, ne znam :d). Ukljuci net dok budes radio sa njim. Samo klikci OK u programu, ne znam da prevedem :d. Googlovao sam i video da mnogo ljudi (iz Brazila) ima ovaj problem, infekciju su dobili preko MSN-a. Vredi da pokusas. Samo, nikad nisam koristio BankerFix pa ne mogu da ti kazem koliko je efikasan ili opasan, ali ga preporucuju ljudi koji se bave ovakvim stvarima (analiza HJT, ...).
Nakon KillBox-a i BankerFix-a okaci novi HJT log. :type:

 

[OVERTKILL]

Sve je OK

Hvala ti za sve ali I kill Him manualno jednostavno sam nasao File koji ne pristaje u C:\WINDOWS\Test_Amor\test.bat
i to je to
Nismo mogli da vidimo jer je bio maskiran. Hvala bogu da nije bio dublje.
Jednostavno vindows je prijavljivo da je bio na drugom mestu i pod drugim imenom Pitanje:neznam kako zvuci neverovatno ali ipak je moguce sta je to?
Odgovor: SysTray.scr
Ali je sada mrtav hlada i nije mu nista:banana::smash:
Tebi burazeru monogo hvala stvarno si mi pomogao. :wave:ocigledno da dobro poznajes VIrusologiju
cheers:happy:arty::beer:
PS. Ostavicu ti mail na P.P.