Nevidljivi Virus

[Predrag Stankovic]

Pozalio mi se ortak da mu se nesto sumnjivo desava u kompjuteru, tj, kad ode na net kompjuter mu se restartuje, pojavi mu se poruka system shutdown i odbroji 60 sec. i onda se restartuje, logicno virusi, instaliram ja nod32 v2.7 i apdejtujm ga i pustim da trazi viruse, pocisti on skoro sve nadje oko 7 vrsta virusa na oko 150 inficiranih fajlova u system32 i u sys.vol.information, ali ostade jedan u system32 na fajlu fileserv32.exe virus win32/unspy.... tako nekako, i nod32 nemoze da ga se resi, od svih mogucnosti nudi mi samo leave i copy to quarantine. ali sto me najvise cudi to je da je taj fajl nevidljiv cak i kad omogucim prikaz skrivenih i sistemskih fajlova u explorer-u i u TC-u ponovo ga nigde nema a nod ga pronalazi, restartujem ja komp i udjem u safe mode kao Administrator i pustim nod da pretazi system32 kad on u safe modu nista ne nadje, dok posle ponovo u normalnom modu nadje ga u sitemu32, e sad kopiju virusa iz karantina nod-a restorujem u folder virus, i kad otvorim taj folder on prazan a kad pustim nod on ga nadje tu (i ponovo nista ne moze da uradi) pokusam ja da obrisem taj folder ali ne moze da se obrise, udjem ja ponovu u safe mode kao Administrator i probam da obrisem taj folder ali opet nece, a nod32 ga ne detektuje u safe modu, ne mogu cak ni da ga posaljm na analizu ESET-u , jer nemogu taj fajl da nadjem na hard disku. Ima li neko ideju sta moze da se uradi osim format C.Pozz

[marxo]

Prvi simptom me je asocirao na Sasser ali sasser je napadao lsass.exe tako da to nije. Ovaj prblem je malo komplikovaniji. Izgleda da se taj .exe ostvaruje kroz neki DLL ili iz temp foldera sto je vrlo moguce jer ga ne vidis iz explorera. Najlogicnije resenje koje mi pada na pamet je sledece:

1. Downloadjues i sve ocistis sa CCleanerom
2. Skeniras metodom kojom vidi fajl u NOD32-ci
3. Ides Start-> Run pa kucas MSCONFIG i pod Startup pogledas sta se cudno pokrece pri startovanju sistema. (Pogasish sumljive procese)
4. Ponovo skeniras NOD-om (pod uslovom da si nasao nesto sumljivo u 3-cem koraku, ako nisi preskoci broj 4.)

Ako to ne radi ti izvesti ovde tacno ime virusa koji NOD32 pronadje pa cemo da vidimo...

[Bryan Fury]

I isključi obavezno System Restore ako ti je uključen.

[Predrag Stankovic]

Citat:

marxo kaže:

Prvi simptom me je asocirao na Sasser ali sasser je napadao lsass.exe tako da to nije. Ovaj prblem je malo komplikovaniji. Izgleda da se taj .exe ostvaruje kroz neki DLL ili iz temp foldera sto je vrlo moguce jer ga ne vidis iz explorera. Najlogicnije resenje koje mi pada na pamet je sledece:

1. Downloadjues i sve ocistis sa CCleanerom
2. Skeniras metodom kojom vidi fajl u NOD32-ci
3. Ides Start-> Run pa kucas MSCONFIG i pod Startup pogledas sta se cudno pokrece pri startovanju sistema. (Pogasish sumljive procese)
4. Ponovo skeniras NOD-om (pod uslovom da si nasao nesto sumljivo u 3-cem koraku, ako nisi preskoci broj 4.)

Ako to ne radi ti izvesti ovde tacno ime virusa koji NOD32 pronadje pa cemo da vidimo...

Tacno ime virusa je "Win32/Adware.UnSpyPC" a inficiran fajl je C:\Windows\System32\fileserv32.exe koji je nevidljiv,
Vec sam cistio sve sa CCleaner-om i kao i sto sam iskljucio sve suvisne start-up programe (ostao je samo nod32 i graficki drajver) mada nije do toga u safe modu se pokrecu samo najosnovniji sitemski procesi pa i odatle nece da se obrise, za*eban neki lik sto ga je stvorio.

[Čika Kure]

Dakle, sve što ti je rekao marxo a pogledaj i ovde:
http://www.2-spyware.com/remove-unspypc.html

[Predrag Stankovic]

Ok Ortaci probacu i sa ovim spyware doctorom sto je cika kure dao link pa cemo da vidimo.

[marxo]

Provereno je da je ovaj Adware cisti Spybot - Search & Destroy pomocu modula Hijack This!

[Predrag Stankovic]

Citat:

Čika Kure kaže:

Dakle, sve što ti je rekao marxo a pogledaj i ovde:
http://www.2-spyware.com/remove-unspypc.html

Resio sam se napasti pomocu programa Spyware Doctora od PC tools software-a, hvala svima na pomoci..

[DarkNemos]

Citat:

Predrag Stankovic kaže:

Pozalio mi se ortak da mu se nesto sumnjivo desava u kompjuteru, tj, kad ode na net kompjuter mu se restartuje, pojavi mu se poruka system shutdown i odbroji 60 sec. i onda se restartuje, logicno virusi, instaliram ja nod32 v2.7 i apdejtujm ga i pustim da trazi viruse, pocisti on skoro sve nadje oko 7 vrsta virusa na oko 150 inficiranih fajlova u system32 i u sys.vol.information, ali ostade jedan u system32 na fajlu fileserv32.exe virus win32/unspy.... tako nekako, i nod32 nemoze da ga se resi, od svih mogucnosti nudi mi samo leave i copy to quarantine. ali sto me najvise cudi to je da je taj fajl nevidljiv cak i kad omogucim prikaz skrivenih i sistemskih fajlova u explorer-u i u TC-u ponovo ga nigde nema a nod ga pronalazi, restartujem ja komp i udjem u safe mode kao Administrator i pustim nod da pretazi system32 kad on u safe modu nista ne nadje, dok posle ponovo u normalnom modu nadje ga u sitemu32, e sad kopiju virusa iz karantina nod-a restorujem u folder virus, i kad otvorim taj folder on prazan a kad pustim nod on ga nadje tu (i ponovo nista ne moze da uradi) pokusam ja da obrisem taj folder ali ne moze da se obrise, udjem ja ponovu u safe mode kao Administrator i probam da obrisem taj folder ali opet nece, a nod32 ga ne detektuje u safe modu, ne mogu cak ni da ga posaljm na analizu ESET-u , jer nemogu taj fajl da nadjem na hard disku. Ima li neko ideju sta moze da se uradi osim format C.Pozz

Pazi... Mozda je sledeca fora... Ja sam to uradio ortaku kad me iznervirao...

Proveri kad podignes sistem u start/all programs/startup da li postoji neki .bat fajl koji tu netreba da postoji ili koji nicemu nesluzi. Ako postoji izbrisi ga jer je to vrsta jokera koji ti stalno restartuje komp. Jako prost programcic koji nijedan antivirus ne detektuje. Najbolja stvar kad oces nekog da zeznes. Ako neko oce da sazna kako se pravi ta vrsta jokera nek mi posalje PM.

Pozdrav