Primer zaraženog računara - priča sa srećnim krajem

Ovih dana sam imao interesantnu borbu sa aktuelnim virusima koji se šire internet igricama.Računar je zaražen putem igranja internet igricama,ali je dodatno iskomplikovala i zaraza pri pokušaju pokretanja kreka za jednu igricu, krek je preuzet sa interneta.
Računar odjednom prijavljuje viruse i traži da ide na internet radi preuzimanja softvera koji će rešiti problem.Pošto sam pre desetak dana imao identičnu situaciju,kada sam se navukao na predlog i tom prilikom mi je računar bio preuzet nepoznatim programom, antivirus (Avast) je brzo neutralisan, svakim ponovnim pokretanjem računara broj virusa se uvećavao,a instalacija bilo kakvog softvera je bila onenogućena.Morao sam formatirati disk i ponovo instalirati Windows XP.
Ovoga puta sam rešio da se borim drugačije.
Prekinuo sam konekciju jer su neki programčići uporno tražili izlaz na internet,sistem restore nije bilo moguće isključiti.
Na monitoru se izgubile skoro sve ikone ,ali se pojavila zloćudna crvena slika preko celog ekrana sa upozorenjem da je računar zaražen i da treba da idem na neki sajt radi preuzimanja zakrpa i td.
Gubim pravo Administratora i nemam pristup ni jednom alatu.
Ne dozvoljava mi instalaciju ni jednog programa, obaveštava me da administrator to ne dozvoljava.Ne dozvoljava čak ni Windows menadžer da koristim,nemam odobrenje administratora
Ne pokazuje više particiju D, postala je nevidljiva,ima samo C.
Nemoguć pristup opciji Run jer je više nema i bilo kakva intervencija oko ključeva otpada. Nema administratorskih alatki.Samo da gledaš i da se nerviraš.
S vremena na vreme se čuje kraći zvižduk iz kućišta i računar se ugasi.
U safe modu računar startuje,ali antivirus ne može da se pokrene - izadje upozorenje da nije uspeo da ostvari komunikaciju s jezgrom.O kakvom jezgru se radi,nemam pojma.
Na monitoru mi Windows stalno izbacuje poruku da je detektovan virus Win32/NetBooster, koji inače nisam uspeo da pod tim nazivom pronadjem u enciklopediji virusa.Na desetak minuta izbacuje i poruku da je upravo registrovan napad sa interneta (a kabl je za to vreme isključen i nema konekcije ! )
Internet mogu da koristim,antivirus ESET Smart Security je tu odigrao važnu ulogu jer ubačenim zlonamernim programima nije dozvoljavao izlazak na mrežu (ima ugradjen vatrozid).Na sajtu proizvodjača BitDefender antivirusa nadjem spisak najnovijih pretnji i način zaštite.Pošto mi NOD32 svakodnevno preuzima definicije,procenio sam da ako BitDefender može sa ovim nabrojanim najnovijim virusima,onda može i NOD32 ,pogotovu što nije bio neutralisan kao Avast pre desetak dana i još je u funkciji.

Ukoliko ima zainteresovanih za moje iskustvo,spreman sam da nastavim sa opisom dogadjaja.

Šta ti je antivirus konkretno pronašao, ako jeste napiši šta ?.
Zašto nisi koristio anti-spyware programe,očigledno je da to i nije bio posao samo za antivirus program ? Ja sam pre nekoliko dana imao isti problem,formatirali su mi disk i instalirali Windows,ali mi je rečeno da do toga ne bi došlo da sam imao stalno uključen neki anti-spyware program.

Do toga ne bi doslo da imate sta da radite i ne igrate igrice kano manijaci po ceo dan

Ovako je izgledao Dnevniki dogadjaja vezani za ESET Smart Security (aktuelni antivirus na mom računaru) u kritičnom periodu:
Vreme Naziv Naziv pretnje Akcija Korisnik Informacije

3.8.2008 16:40:18 Rezidentna zaštita datotečnog sustava datoteka C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\AAWTMP\C5782795\971D2\b921.dat vjerojatno varijanta Win32/Agent trojan očišćeno brisanjem - u karanteni NT AUTHORITY\SYSTEM Događaj je nastao na novoj datoteci koju je stvorila aplikacija: C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe.
3.8.2008 16:40:17 Rezidentna zaštita datotečnog sustava datoteka C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\AAWTMP\C5782795\971D2\b831.dat vjerojatno varijanta Win32/Hupigon trojan očišćeno brisanjem - u karanteni NT AUTHORITY\SYSTEM Događaj je nastao na novoj datoteci koju je stvorila aplikacija: C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe.
3.8.2008 16:30:07 Rezidentna zaštita datotečnog sustava datoteka C:\System Volume Information\_restore{841C2FED-3372-43EF-BBEB-A296DB219665}\RP35\A0017110.dll Win32/PSW.OnLineGames.NLI trojan očišćeno brisanjem - u karanteni NT AUTHORITY\SYSTEM Događaj je nastao kada je datoteci pokušala pristupiti aplikacija: C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe.
3.8.2008 10:43:17 HTTP filtar datoteka http://91.203.92.13/files/42/v2test/file.exe vjerojatno varijanta Win32/Nuwar crv veza je prekinuta - u karanteni BAKI-1ED9D0D37A\Administrator Otkrivena je prijetnja kada je webu pristupila aplikacija: D:\Milanche\Igrice\NFS\Need.For.Speed.Porsche.Unleashed\crack_ver1.454.0.exe.
3.8.2008 10:43:09 HTTP filtar datoteka http://193.33.61.169/cntr.gif?a=152174 vjerojatno varijanta Win32/Statik aplikacija veza je prekinuta - u karanteni BAKI-1ED9D0D37A\Administrator Otkrivena je prijetnja kada je webu pristupila aplikacija: D:\Milanche\Igrice\NFS\Need.For.Speed.Porsche.Unleashed\crack_ver1.454.0.exe.
3.8.2008 10:41:15 Rezidentna zaštita datotečnog sustava datoteka C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\K5QFCX6N\WebSoftCodecDrivern[1].exe varijanta Win32/Adware.Vapsup.AP aplikacija izbrisano - u karanteni NT AUTHORITY\SYSTEM Događaj je nastao na novoj datoteci koju je stvorila aplikacija: D:\Milanche\Igrice\NFS\Need.For.Speed.Porsche.Unleashed\crack_ver1.454.0.exe.
3.8.2008 10:41:14 Rezidentna zaštita datotečnog sustava datoteka C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\s1265.php varijanta Win32/Adware.Vapsup.AP aplikacija izbrisano - u karanteni NT AUTHORITY\SYSTEM Događaj je nastao na novoj datoteci koju je stvorila aplikacija: D:\Milanche\Igrice\NFS\Need.For.Speed.Porsche.Unleashed\crack_ver1.454.0.exe.
3.8.2008 10:41:02 HTTP filtar datoteka http://viacodecright1.com/s1265/WebSoftCodecDrivern.exe varijanta Win32/Adware.Vapsup.AP aplikacija veza je prekinuta - u karanteni BAKI-1ED9D0D37A\Administrator Otkrivena je prijetnja kada je webu pristupila aplikacija: D:\Milanche\Igrice\NFS\Need.For.Speed.Porsche.Unleashed\crack_ver1.454.0.exe.
3.8.2008 10:40:15 Rezidentna zaštita datotečnog sustava datoteka C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\0XE7WTU7\WebSoftCodecDrivern[1].exe varijanta Win32/Adware.Vapsup.AP aplikacija izbrisano - u karanteni NT AUTHORITY\SYSTEM Događaj je nastao na novoj datoteci koju je stvorila aplikacija: D:\Milanche\Igrice\NFS\Need.For.Speed.Porsche.Unleashed\crack_ver1.454.0.exe.
3.8.2008 10:40:03 Rezidentna zaštita datotečnog sustava datoteka C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\s1265.php varijanta Win32/Adware.Vapsup.AP aplikacija izbrisano - u karanteni NT AUTHORITY\SYSTEM Događaj je nastao na novoj datoteci koju je stvorila aplikacija: D:\Milanche\Igrice\NFS\Need.For.Speed.Porsche.Unleashed\crack_ver1.454.0.exe.
3.8.2008 10:39:59 HTTP filtar datoteka http://viacodecright1.com/s1265/WebSoftCodecDrivern.exe varijanta Win32/Adware.Vapsup.AP aplikacija veza je prekinuta - u karanteni BAKI-1ED9D0D37A\Administrator Otkrivena je prijetnja kada je webu pristupila aplikacija: D:\Milanche\Igrice\NFS\Need.For.Speed.Porsche.Unleashed\crack_ver1.454.0.exe.
3.8.2008 10:39:09 Rezidentna zaštita datotečnog sustava datoteka C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\K5QFCX6N\WebSoftCodecDrivern[1].exe varijanta Win32/Adware.Vapsup.AP aplikacija izbrisano - u karanteni NT AUTHORITY\SYSTEM Događaj je nastao na novoj datoteci koju je stvorila aplikacija: D:\Milanche\Igrice\NFS\Need.For.Speed.Porsche.Unleashed\crack_ver1.454.0.exe.
3.8.2008 10:39:08 Rezidentna zaštita datotečnog sustava datoteka C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\s1265.php varijanta Win32/Adware.Vapsup.AP aplikacija izbrisano - u karanteni NT AUTHORITY\SYSTEM Događaj je nastao na novoj datoteci koju je stvorila aplikacija: D:\Milanche\Igrice\NFS\Need.For.Speed.Porsche.Unleashed\crack_ver1.454.0.exe.
3.8.2008 10:38:48 HTTP filtar datoteka http://viacodecright1.com/s1265/WebSoftCodecDrivern.exe varijanta Win32/Adware.Vapsup.AP aplikacija veza je prekinuta - u karanteni BAKI-1ED9D0D37A\Administrator Otkrivena je prijetnja kada je webu pristupila aplikacija: D:\Milanche\Igrice\NFS\Need.For.Speed.Porsche.Unleashed\crack_ver1.454.0.exe.
1.8.2008 19:38:45 HTTP filtar datoteka http://www.eicar.org/download/eicar.com Eicar probna datoteka veza je prekinuta - u karanteni BAKI-1ED9D0D37A\Administrator Otkrivena je prijetnja kada je webu pristupila aplikacija: C:\Program Files\Internet Explorer\IEXPLORE.EXE.
1.8.2008 19:19:45 Rezidentna zaštita datotečnog sustava datoteka C:\WINDOWS\system32\amvo0.dll Win32/PSW.OnLineGames.NLI trojan očišćeno brisanjem (nakon sljedećeg ponovnog pokretanja) - u karanteni NT AUTHORITY\SYSTEM Događaj je nastao kada je datoteku pokušala pokrenuti aplikacija: C:\Program Files\ESET\ESET Smart Security\egui.exe.
1.8.2008 19:19:44 Rezidentna zaštita datotečnog sustava datoteka C:\WINDOWS\system32\amvo0.dll Win32/PSW.OnLineGames.NLI trojan očišćeno brisanjem (nakon sljedećeg ponovnog pokretanja) - u karanteni NT AUTHORITY\SYSTEM Događaj je nastao kada je datoteku pokušala pokrenuti aplikacija: C:\Program Files\ESET\ESET Smart Security\egui.exe.
1.8.2008 19:19:43 Rezidentna zaštita datotečnog sustava datoteka C:\WINDOWS\system32\amvo0.dll Win32/PSW.OnLineGames.NLI trojan očišćeno brisanjem (nakon sljedećeg ponovnog pokretanja) - u karanteni NT AUTHORITY\SYSTEM Događaj je nastao kada je datoteku pokušala pokrenuti aplikacija: C:\Program Files\ESET\ESET Smart Security\egui.exe.

Ne razumem se baš mnogo u viruse ali nevidim nešto toliko,jednostavno krek koji je zaražen virusom ,primer kod mene kasperski posle preuzimanja sa neta ga obriše i gotovo .
Da koristiš program recimo evo ovaj ccleaner koji briše svo đubre sa interneta nebi imao problema toliko jer kolko vidim Temp internet failovi su u pitanju(možda i grešim).

Ma ne znam tačno,onaj virus od 01.08 se pojavio jedno stotinu puta,nisam mogao zbog ograničenog broja karaktera koji mogu postovati da pošaljem kompletan pregled za taj dan,u dnevniku sam prikazao samo zadnjih nekoliko napada,tek da se vidi o kom virusu se radi.Na kraju,nisam siguran da je baš on uzrok svemu,što ćeš videti iz narednih postova.
Uglavnom da nastavim priču:
Najgroznije je bilo što nisam imao prava administratora,samim tim,imao sam ograničen broj mogućnosti za intervenciju.Cilj mi je bio da se nekako dohvatim particije D na kojoj takodje imam nešto instaliranih programa, pre svega Ad-Aware i Spaybot - Search&Destroy,koje nisam po defoltu instalirao na particiju C.Pretpostavio sam da bi oni mogli da reše problem jer je očigledno da se radilo o nekom špijunskom programu,koji je na ekranu imao dve slične ikonice,koje sam brisao,ali su se prilikom pokretanja programa uvek ponovo pojavljivale,što nije slučaj sa drugim ikonicama,koje se bespovratno brišu.
Znači,postojao je aktivan proces na koji nisam mogao da utičem.
Proverio sam u opcijama fascikli da možda ikonice koje nedostaju, nisu postavljene da budu nevidljive,ali to nije bilo u pitanju.
Particiju D sam pronašao tako što sam Eksplorerom otvorio fasciklu All Users/Start meni/Administrativne alatke/Upravljanje računarom/Computer Menagement/disk D.
Kao Administrator ovom putanjom nisam mogao jer nisam imao Start meni opciju,ali kao drugom korisniku,ta mogućnost se otvorila.
Sa napred navedena dva anti-spyware programa sam dobro pretreso računar,uklonili su brdo špijuna,ali se ništa nije promenilo.
Znači,radilo se o specifičnom spyware programu za koji treba naći alat.
Prema opisu problema,na sajtu jednog antivirus proizvodjača našao sam da bi problem možda rešio programčić SmitFraudFix,koji inače nije njihov proizvod.
Program sam preuzeo sa sajta proizvodjača i instalirao na particiji D.
Odmah po aktiviranju,a zatim i restarta računara,svi problemi su nestali,a na monitoru je bilo normalno radno okruženje,sve je funkcionisalo kao da nikad nije bilo problema.

@golina

Apsolutno isto, 100% isto se i meni desilo pre par meseci. Pao je format, a fajlovi stari godinu dana otišli u nepovrat... (nisam pravila backup često).
Da nme pominjem što sam gomilu posla (mog posla, za novac), morala da radim ponovo, mesecima...
Ni malo naivna stvar i ujedno najgori virus na koji sam ikada naletela.

Ma da li je virus,nemam pojma,sad ću da postavim šta mi je posle prvog i drugog skeniranja pronašao napred navedeni program SmitFraudFix.
Ako neko zna,neka iskomentariše,mora da se nadje odgovor na ovu frku.
Ovo je prvi raport posle skeniranja sistema:
SmitFraudFix v2.333

Scan done at 0:07:39,45, pon 04.08.2008
Run from D:\stari D\bezbednost i zaçtita\antivirus\antitrojanac\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\privacy_danger FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\FAVORI~1

C:\DOCUME~1\ADMINI~1\FAVORI~1\Error Cleaner.url FOUND !
C:\DOCUME~1\ADMINI~1\FAVORI~1\Privacy Protector.url FOUND !
C:\DOCUME~1\ADMINI~1\FAVORI~1\Spyware?Malware Protection.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOCUME~1\ADMINI~1\Desktop\Error Cleaner.url FOUND !
C:\DOCUME~1\ADMINI~1\Desktop\Privacy Protector.url FOUND !
C:\DOCUME~1\ADMINI~1\Desktop\Spyware?Malware Protection.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: nfavxwdbolx.dll
BHO: QXK Olive - {79800AD8-CFDD-4F0F-B0CA-A136F04D90D9}
TypeLib: {783C1F78-81B5-498E-B53D-264C850BC800}
Interface: {07B99CB9-056B-4BCF-9B95-197997F5C92B}
Interface: {F5CB95F0-17E0-42D2-B944-2DC6D3F02D8A}

[!] Suspicious: fdkowvbp.dll
Toolbar: fdkowvbp - {2A071B1F-95AD-467B-9463-64DA449CB769}
TypeLib: {A6122755-7AB1-4A87-AF25-05FE93676FAB}
Interface: {4C56288F-BE5D-4E87-AD50-5EFE2959C2E1}
Classe: fdkowvbp.bqfw
Classe: fdkowvbp.ToolBar.1

[!] Suspicious: eqvwamkl.dll
SSODL: eqvwamkl - {0116B5AA-3888-481E-9249-925D33F0158F}

[!] Suspicious: wnslvxtf.dll
SSODL: wnslvxtf - {C0616F8C-00F1-4A3C-B432-580434A8CA15}


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FD4A5D9-B913-462A-BE62-E6848BC08BDD}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FD4A5D9-B913-462A-BE62-E6848BC08BDD}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FD4A5D9-B913-462A-BE62-E6848BC08BDD}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Odmah posle nekoliko minuta sam ponovio akciju i dobio ovo:
SmitFraudFix v2.333

Scan done at 0:17:33,69, pon 04.08.2008
Run from D:\stari D\bezbednost i zaçtita\antivirus\antitrojanac\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\nfavxwdbolx.dll deleted.
C:\WINDOWS\fdkowvbp.dll deleted.
C:\WINDOWS\eqvwamkl.dll deleted.
C:\WINDOWS\wnslvxtf.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\privacy_danger\ Deleted
C:\DOCUME~1\ADMINI~1\Desktop\Error Cleaner.url Deleted
C:\DOCUME~1\ADMINI~1\Desktop\Privacy Protector.url Deleted
C:\DOCUME~1\ADMINI~1\Desktop\Spyware?Malware Protection.url Deleted
C:\DOCUME~1\ADMINI~1\FAVORI~1\Error Cleaner.url Deleted
C:\DOCUME~1\ADMINI~1\FAVORI~1\Privacy Protector.url Deleted
C:\DOCUME~1\ADMINI~1\FAVORI~1\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FD4A5D9-B913-462A-BE62-E6848BC08BDD}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6FD4A5D9-B913-462A-BE62-E6848BC08BDD}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FD4A5D9-B913-462A-BE62-E6848BC08BDD}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Posle ovoga,problemi su nestali,ako neko zna šta se dogodilo,molim neka iskomentariše.

Bez komentara,mnoooogo dobro si prošo !

Slusajte svi...AVG,NOD,AVAST Sve je To Sr**** Imam Kaspersky Internet Security 2008 I kompjuter ne gasim po mesec dana...skida non stop...idem gde god hocu i NI 1 Virus me nije ni dotakao....imao sam AVG i na svakih nekoliko meseca sam morao da instaliram novi sistem sa ovim Kasperskijem UZIVAM!
Nista ne prolazi nista ne pusta nista me ne dotace....cak mi ne dozvoljava da pokrecem instalacije ili igrice naravno odobrio sam da pokrece za sta znam da je bezbedno... Kaspersky je Lider u tome i Uvek ce i biti!

MajinVegeta1:

Slusajte svi...AVG,NOD,AVAST Sve je To Sr**** Imam Kaspersky Internet Security 2008 I kompjuter ne gasim po mesec dana...skida non stop...idem gde god hocu i NI 1 Virus me nije ni dotakao....imao sam AVG i na svakih nekoliko meseca sam morao da instaliram novi sistem sa ovim Kasperskijem UZIVAM!
Nista ne prolazi nista ne pusta nista me ne dotace....cak mi ne dozvoljava da pokrecem instalacije ili igrice naravno odobrio sam da pokrece za sta znam da je bezbedno... Kaspersky je Lider u tome i Uvek ce i biti!

Kliknite za proširenje...

E zato ja mrzim kasperskog!!

Podrzavam snejksa

Dali si u mogućnosti da sada postaviš Hijack This log i dali si koristio I.E. ili neki drugi??

hehe... ovo je baš postalo popularno u poslednje vreme...

imala sam sličan problem... doduše, nije došlo ni do kakvog gubitka podataka, ali to nešto šta god da je, izgledalo je neuništivo...

simptomi isti-nemam pristup ni jednoj particiji, Start meni prazan(ni liste programa, ni run opcije, ni bilo čega drugog), nemogućnost otvaranja Task Managera... totalna blokada...

a pored sata pisalo je Virus Alert i neprestano su iskakali IE prozori sa adresom za download nekog Defendera... sreća što sam znala da ni slučajno ne treba skinuti&instalirati taj program, inače bih napravila još veću katastrofu...

KIS nije video ništa, Spybot S&D takođe... Spyware Doctor isto tako... kao i Ad-aware... u Hijackthis log fajlu nije bilo ničeg sumnjivog...

a problem je rešio upravo Smitfraud fix... ne znam kako, niti me zanima... bitno je da je sve prošlo bez većih posledica...

ono što sam ustvari htela da kažem je to da je taj mali programčić izgleda jedini ubica virusa i spajvera novijeg datuma... program je besplatan i mislim da nije teži od 1MB, a na zvaničnom sajtu imate i uputstvo za korišćenje... pa ako nekome(ne daj bože) zatreba...

Zaj*ban je taj virus ( valjda je virus XD ).....

malware je u pitanju

MajinVegeta1:

Slusajte svi...AVG,NOD,AVAST Sve je To Sr**** Imam Kaspersky Internet Security 2008 I kompjuter ne gasim po mesec dana...skida non stop...idem gde god hocu i NI 1 Virus me nije ni dotakao....imao sam AVG i na svakih nekoliko meseca sam morao da instaliram novi sistem sa ovim Kasperskijem UZIVAM!
Nista ne prolazi nista ne pusta nista me ne dotace....cak mi ne dozvoljava da pokrecem instalacije ili igrice naravno odobrio sam da pokrece za sta znam da je bezbedno... Kaspersky je Lider u tome i Uvek ce i biti!

Kliknite za proširenje...

Tako je...
a za one kojima se ne svidja puno upozoravajucih prozorcica i puno ogranicavanja...u smislu "sigurnosnih razloga" postoje opcije = Settings-i u kojima mozes to da postimas...da smanjis nivo bezbjednosti...i upravo zato je Kaspersky za mene najbolji.

Za par dana ako bog da pocinje sa radom KIS 2009 ...naravno na mom racunaru .

Da kucnem u drvo koristim KIS 8.0.0 i nemam baš nikakvih problema sve je na maksimum.

cvetko_a:

Da kucnem u drvo koristim KIS 8.0.0 i nemam baš nikakvih problema sve je na maksimum.

Kliknite za proširenje...

Kako ti se cini KIS 8.0...kao radi???

Cuo sam da ce jos vise da rastereti masinu...premda ni sa 7om nisam imao tih problema.

Pa za sada odlično imaš sve u njemu kompletna zaštita računara ima anti malware,ustvari desilo mi se sledeće,bio sam kod druga koji koristi F security(mislim dase tako zove) i prosto sam bio iznenađen napadima t.j. probijanja raznih reklama na I.E. što me je jako zbunilo.Čak i onaj antivirus 2008 ma čoveče nisam mogao da verujem.Ja tih problema nemam,apdejt svakog 3 dana i to je to.
Ne koristim druge adware i slične programe mada jednom mesečno pustim spy emorgenci 2005 samo njega imam i za sada nije našo ništa.
Sve pohvale za KIS.Verzija koju koristim je KIS 8.0.0.357
A što se tiče instalacije igrica nećeš imati problema ako podesiš KIS u treining modu.Tada će te obaveštavati prilikom pokušaja instalacije igrica,programa ili bilo šta da dozvoliš ili ne instalaciju istih.

bash super ti si nash idol

snejks:

E zato ja mrzim kasperskog!!

Kliknite za proširenje...

Ta obavestenja mogu da se ugase!
Ipak nije KIS ni toliko lak za odrzavanje ako nemate bar ono osnovno znanje.
Sad imam KIS 9 i Ljudi.... BEST OF BEST!

Stavio sam ga i ja na laptop, i mnoooogo smara.I to sa legalnim kljucem , i opet non stop melje po disku i nesto trazi i nervira me.

Mada sam i ja imao ono sa crvenim ekranom , i popravio sa SmitFraudFix a sve je izazvao Antivirus2009,
i sve se rasilo bez ikakvog gubljenja podataka.

svi crackovi key generatori i ostale ilegalne aplikacije sadrže trojanca u sebi.
preporučujem ovaj antivirus za mene najbolji i besplatan http://www.free-av.com/en/download/1/avira_antivir_personal__free_antivirus.html

virusi uglavnom zaraze dll i exe fajlove i rasprostrane se po celom sistemu. ukoliko antivirus utvrdi da imate virus koji je postojao tu već dugo vreme, možete da se oprostite od svih exe fajlova.
s druge strane takvi virusi nanose štetu samo ako ste povezani na internet, ukoliko kompjuter nije povezan u nikakvu mrežu taj virus može da se ucrvljava na tom kompjuteru večno...
trojanci omogućavaju hakerima koji su ih postavili da prate vaš kompjuter i sve što kucate, kao i stranice koje otvarate. Na taj način haker dolazi do informacija kao što su brojevi kreditnih kartica i drugih informacija od važnosti.

@golina
Ovaj tvoj primer je čist fraud i rešava se smith fraudom kao što je i Jevta rekao. Fraud ti je prevara ako neznaš english, virus nepostoji, već se fraud ubacuje u sistem sa tvrdnjom da imaš virus u kompu i onda traži od tebe da kupiš antivirus. Ti kupiš antivirus koji nije antivirus i tako baciš pare, haker srećan i zadovoljan jer su mu stigle pare na račun. Ako ti je uvalio i trojanca onda ti zna i broj kreditne kartice.

Imao sam jedan slučaj gde je ovakva prevara totalno sje.... komp da sam morao da formatiram disk i reinstaliram sistem. Što je po meni i najbolje rešenje.

Virusi neće nikad zaraziti fajlove kao što su film muzika i slično, ali mogu imati svojstvo da se sami kopiraju. Prilikom rezanja na cd ili dvd fajlove "koji nisu exe dll i druge aplikacije" nebi trebala da postoji šansa da se virus prenese. Meni se do sada nije desilo. Kopiranjem na flash ili preko mreže postoji 100% verovatnoća da se virus prenese.