:: MojForum.net :: > :: Društvo / Obrazovanje / Tehnika :: > :: Technology :: > :: Računari :: Tema: Brisanje trojanca

[comkm]

Ma nisam siguran više ni u šta. Pokušavam već tri dana da se oslobodim virusa "trojan.win32.buzus.bolj", al sve su prilike da ću morati formatirati sys particiju, a komp je od kolegice i sprema diplomski na građevini pa ima milion "potrebnih" programčića bez kojih ne bi željela ostati.
 Ako ikako možete pomoći bio bih vam zahvalan.

[comkm]

evo kako si rekao odskenirao sam komp i šaljem ti izvještaj

Malwarebytes' Anti-Malware 1.39
Verzija baze podataka: 2462
Windows 5.1.2600 Service Pack 2

19.7.2009 15:58:21
mbam-log-2009-07-19 (15-58-07).txt

Tip skeniranja: Kompletno Skeniranje (C:\|D:\|F:\|G:\|H:\|)
Skeniranih objekata: 230223
Proteklo vreme: 55 minute(s), 2 second(s)

Inficirani procesi u memoriji: 0
Inficirani moduli u memoriji: 0
Inficirani kljuèevi u registru: 0
Inficirane vrednosti u registru: 1
Inficirani podaci u registru: 0
Inficirane fascikle: 0
Inficirane datoteke: 0

Inficirani procesi u memoriji:
(Maliciozne stavke nisu detektovane)

Inficirani moduli u memoriji:
(Maliciozne stavke nisu detektovane)

Inficirani kljuèevi u registru:
(Maliciozne stavke nisu detektovane)

Inficirane vrednosti u registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> No action taken.

Inficirani podaci u registru:
(Maliciozne stavke nisu detektovane)

Inficirane fascikle:
(Maliciozne stavke nisu detektovane)

Inficirane datoteke:
(Maliciozne stavke nisu detektovane)

[Ch]

Ovako ce biti lakse u novoj temi. Da bi ti pomogli moras da saradjujes  

Update-uj Malwarebytes' Anti-Malware i nakon update-a, udji u safe mode (http://mojforum.net/index.php/topic,3635.0.html) a onda idi My computer => properties => system restore => cekiraj turn off system restore => apply => ok. Dok si jos u safe modu pusti Malwarebytes' Anti-Malware da skenira, nakon skeniranja zakaci njegov log i hijackthis log u ovoj temi. Pozdrav.

[comkm]

znači po uputstvu:
- update-ovao Malwarebytes' Anti-Malware
- safe mode
- system restore je već odavno off
- odskeniran sa Malwarebytes' Anti-Malware
 i sad kačim log- ove

Malwarebytes' Anti-Malware 1.39
Verzija baze podataka: 2462
Windows 5.1.2600 Service Pack 2

19.7.2009 17:19:56
mbam-log-2009-07-19 (17-19-56).txt

Tip skeniranja: Brzo Skeniranje
Skeniranih objekata: 89216
Proteklo vreme: 5 minute(s), 39 second(s)

Inficirani procesi u memoriji: 0
Inficirani moduli u memoriji: 0
Inficirani kljuèevi u registru: 0
Inficirane vrednosti u registru: 1
Inficirani podaci u registru: 0
Inficirane fascikle: 0
Inficirane datoteke: 0

Inficirani procesi u memoriji:
(Maliciozne stavke nisu detektovane)

Inficirani moduli u memoriji:
(Maliciozne stavke nisu detektovane)

Inficirani kljuèevi u registru:
(Maliciozne stavke nisu detektovane)

Inficirane vrednosti u registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> Quarantined and deleted successfully.

Inficirani podaci u registru:
(Maliciozne stavke nisu detektovane)

Inficirane fascikle:
(Maliciozne stavke nisu detektovane)

Inficirane datoteke:
(Maliciozne stavke nisu detektovane)


i log od  hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:33:34, on 19.7.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\STacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

--
End of file - 4430 bytes


P.S.
dok sam ovo radio kasperski ga je već ulovio

 

[Ch]

Koliko vidim

Inficirane vrednosti u registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Backdoor.Bot) -> Quarantined and deleted successfully.

to je odradio Malwarebytes' Anti-Malware  

Gasenjem system restore i ulaskom u safe mod, lakse je izbacen iz registry baze.
Drago mi je da je resen problem. Nemoj da zaboravis da odcekiras "turn off system restore". Pozdrav  

[comkm]

Da ali upravo problem nije riješen. I do sada ga je  Kasperski uvijek pronalazio, ali se on generisao nakon svakog restarta. Znači, nije problem da ga Kasperski vidi i ukloni već to što je dok sam na internetu on ponovo tu već za par minuta.
  Malwarebytes' Anti-Malware ga pronađe kad god pokrenem scan. A sad odoh probati iz safe mode dvaputa zaredom pustiti scan, pa ću ti javiti rezultat, da li ga je oba puta pronašao.

[decko u usponu]

nisi u pravu
charobnjak ti je lepo citirao da ga nije kasperski obrisao ovog puta nego Malwarebytes' Anti-Malware
vracanje tog trojanca si imao jer ti je bio ukljucen system restore i zato ti je on rekao da ga iskljucis i skeniras iz safe moda 

[comkm]

Ne volim kada neko bez razmišljanja izjavi "nisi u pravu". Ja baš nešto i ne pokušavam da budem u pravu već da se otarasim đubreta koje se uporno i uporno pojavljuje. Znači "trojan.win32.buzus.bolj". I vidi sad čuda. Scan-iram sa Malwarebytes' Anti-Malware, naravno  u "safe mode"-u i pronađem ga. Pa ga izbrišem i javi mi da je uspješno izbrisan. Pa odmah pustim scan ponovo a on ga pronađe na istom mjestu. Pa onda uradim potez očajnika i iako je safe mode otkopčam rj 45 iz kompa jer ne znam više šta da radim. Kad ono Malwarebytes' Anti-Malware ga nađe ponovo na istom mjestu. Ako želiš mogu ti poslati log-ove, ali mi to javi jer smatram da bi bilo bespotrebno u ovom trenutku.
     

   očajan

[decko u usponu]

ok necu da se mesam  

[Maestro]

comkm, nakon ciscenja tj brisanja potrebno je da restartujes kompjuter.
Ako ti je ukljucen system restore ili ne restartujes kompjuter naravno da ce trojan i dalje biti tu.