Zovi tehnicku..kakva crna epidemija :)

Nisi procitao lepo sta sam napisao.
Ni mreza ne radi,tako da nema veze sa provajderima.

_{[Ovu poruku je menjao popusicko dana 06.12.2012. u 17:58 GMT+1]}

Sve vise i vise ljudi zove za isti problem.Imao sam cak poziv i iz Crne Gore.
Definitivno je epidemija.Virus 100%
Za sada sem reinstalacije sistema nisam nasao jednostavniji nacin za uklanjanje istog.Interesantno da kad ukljucim mrezni kabl
i dalje stoji da nije kabl utaknut.Kad uradim disable/enable adaptera onda tek prijavi da je mrezni kabl ukljucen.

Moguće, već je bilo virusa koji su izazivali takve simtome.

Probaj da ne reinstaliras ceo sistem nego samo drajver za mreznu karticu.

Svi ti navodi izuzetno lice na Win32.Worm.Downadup.Gen / Conficker virus.
Ako jeste, tu onda jedino vredi ciscenje nekim rescue alatom, npr Kaspersky Rescue Disk.
Ciscenje i oporavak sistema su izuzetno teski jer su prakticno svi .exe fajlovi na racunaru zarazeni.

Nisu .exe fajlovi zarazeni.
Komp je komplet usporen a nema procesa sa velikim opterecenjem cpu.

Ne pomaže samo reinstalacija mrežne karte.

Da li je moguce uci u task manager i Safe mode?

Jeste.
Deinstalacijom Avasta dobijem normalnu brzinu racunara.
I dalje ne radi ni net ni mreza.

ipconfig /all

An internal error occured..........
unable to query host name.

ma kakav crni avast. skini kaspersky sa njihovog sajta (imas 30 dana trial period) i propusti sve kroz scan. ako je virus toliko maliciozan da nemas mogucnost da instaliras kaspersku, koristi kaspersky live cd. kad ti nadje koji je virus u pitanju, idi u njihovu bazu i vidi o kakvom virusu je rec. kad nadjes koji je virus, googlaj da vidis najbolji nacin da uklonis virus. ako te sreca posluzi, mozda je kaspersky ili neko drugi vec napisao skriptu za uklanjanje, a ako ne, moraces da pratis korake da bi se resio posasti. po output-u od ipconfig all-a, cini mi se da je virus uticao na TCP/IP stack. pokusaj da uradis:

ping localhost

ili ping 127.0.0.1

i vidi da li dobijas odgovor. ako nema odgovora, otisao je TCP/IP stack najverovatnije.

proveri da nije neke servise izgasio (jeste sigurno), onda resetuj tcp/ip stek iz netsh

Ne pinguje sam sebe:
Unable to contact IP driver, error code 2


nije pomoglo:
netsh int ip reset reset.log

ni:
netsh winsock reset catalog

Mislim da sam na tragu resenja...probam pa javim


PS ubijeni su samo racunari sa windowsom XP
Kasperskovskakijaski nista ne moze da nadje kao ni Avastčina.

_{[Ovu poruku je menjao popusicko dana 07.12.2012. u 13:11 GMT+1]}

Definitivno problem sa računarima na kojima je instalirn xp i avast. Juče me je zvao drugar i žalio se da je na desetak računara koje održava imao problem koji je naveden u temi.

Update Avasta od Srede uvece je napravio stetu na ovim racunarima.
Osteceni su racunari na kojima je pachovan tcpip.sys na 100 konekcija umesto na 10.

Zvali su me prosle nedelje da pogledam kompjuter u jednoj firmi. Na njemu je bio instaliran AVG, Avast i SpyBot. Sreca pa sam uklonio Avast i SpyBot, a ostavio samo AVG, jer bi me garantovano opet zvali... I da, XP je bio...

Ja inace uvek instaliram Microsoft Security Essentials, medjutim tamo gde sam isao nije bio legalni windows, a MSE ne moze na pirata, tako da sam iskoristio ono sto je vec bilo instalirano (AVG).

https://forum.avast.com/index.php?topic=110828.0

Tu je riješenje - možda trebadne nakon Superfixa pokrenuti i Winsockfix, barem sam ja morao....

winsockfix je upravo ono sto sam ja predlozio

A zašto je sreća što si SpyBot uklonio???

to neko još koristi?



_{[Ovu poruku je menjao Vodomar dana 08.12.2012. u 22:24 GMT+1]}

Conficker se ne ponasa tako i nema veze sa .exe fajlovima, nije to virus, vec crv koji se siri mrezom.

Vidi vise nije besplatan, zapravo jeste ali nije kao sto je bio :)

Sad cu da ga skinem za probu.

U proteklih desetak dana očistio sam nekoliko mašina od confickera, ali je uz njega uvek dolazio još po neki skriveni gost, i simptomi su bili slični gore opisanim. I uvek je u pitanju bila XP mašina. I uvek je dr.web cureit! pronalazio tog skrivenog, dok su MBAM i slično društvo "samo" ubijali confickera...

Pa znas zasto, zato sto nije azuriran Windows, odnosno fali ovaj patch
http://www.microsoft.com/en-us/download/details.aspx?id=3205

Kad im pricas da je prva linija odbrane azuriran sistem ne veruju dok ne zakace ovako nesto, racunaju AV ce da ih zastiti.

To se vise odnosilo na Avast.

Isti slucaj ...
Donesem jedan racunar koji uopste nema podesavanja za mreznu kartu to jest na statusu konekcije nema nicega.
Kod pokusaja pinga javlja "no ip driver " ili nesto tako.
Avast je bio instaliran.
Spojim ga kod sebe na mrezu i sutradan padne i jedan moj racunar na kome je bio Avast,da li se prosirio kroz mrezu ili je do Avasta,ne znam.
Nisam imao vremena da se bakcem sa tim pa sam na prvom racunaru digao novi sistem a sa drugim zarazenim bih voleo da se poigram.
Neko pomenu Web cure it,jel on resava stvar ili je to za neki drugi slucaj bilo?

Treba probati sa combofix.Ja sam isto tako instalirao kaspersky ali nije nasao nista dok nisam pokrenuo combofix posle se sve vratilo u normalu.

ComboFix se ne proba, o tome smo već više puta pisali!

U pravu si kristi1, conficker se ne ponasa tako ali se u mom slucaju ponasa
I upravo tako, on napada zbog neinstaliranog KB958644.
Ne znam da li su Win32.Worm.Downadup.Gen (razne varijante) i Conficker isti nazivi za jedno te isto, uglavnom pri skeniranju zarazenih racunara koji mi dolaze pod ruku F-Secure-om, BitDefenderom i Kaspersky Rescue diskom dobijam rezultat da je masa .exe fajlova zarazena Win32.Worm.Downadup.Gen sta god to znacilo.
F-Secure i BitDefender uglavnom nepovratno unistavaju fajl iako kazu da su ga uspesno dezinfikovali.
Kasperski od slucaja do slucaja uglavnom daje dobre rezultate.
U mojim slucajevima uglavnom su Safe mode i Task manager onesposobljeni.
Ja ga nazivam skolskim virusom jer ga uglavnom imaju deca u skolama - cela odeljenja zarazena istim virusom.
Nisam jos dokucio nacin zaraze ali u zadnjih desetak dana taj virus (crv) bas divlja.

Edit: Dolazi obicno u saradnji sa Sality.AA virusom, zaboravih da napomenem

_{[Ovu poruku je menjao drvlada75 dana 11.12.2012. u 06:44 GMT+1]}

Conficker (takodje poznat kao Downup, Downadup i Kido) worm.

Primer Conficker-a iz Combofix loga



Servis je zaustavljen i hostovan od strane svchost-a. .dll se uvek pokrece sa Windowsom (automatski)

zknvebw.dll > random name.


Siri se preko mreze ili USB-a, ne retko da ide u paru sa Sality virusom. Otuda ovo:





Sality, fajl infector (virus).


Nasa Opstinska mreza je zarazena Confickerom i ne postoji teorijska sansa da ga ijedan od 5 zaposlenih administratora ocisti.




Inace Avast je izbacio fix za propust sa tcpip.sys drajverom.
http://www.speedyshare.com/8U2Z2/avastfix.zip


(velicina ne dozvoljava upload)




<sub>[Ovu poruku je menjao kristi1 dana 10.12.2012. u 21:27 GMT+1]

[Ovu poruku je menjao kristi1 dana 10.12.2012. u 21:27 GMT+1]</sub>

Sta time hoces da kazes da nece mozda da mu skenja sistem?
Ja sam ga mnogo puta koristio i nikada mi se nista lose nije desilo.A i da se desi boze moj reinstalacija sistema ne traje nedelju dana.

Nesrećna sekretarica sa fleškom od komšije, garant!

Kao prvo, obrati pažnju na svoje izražavanje. Da, hteo sam da kažem da se njegovom upotrebom može oštetiti sistem. Pogledaj par postova iznad šta je napisao @drvlada75 šta urade F-Secure i BitDefender sa zaraženim fajlovima. Svaki čistač može da uradi takvu stvar, a ComboFix je naročito agresivan prema sumnjivim fajlovima, tako je i pravljen i takva mu i jeste namena, da nemilosrdno likvidira. U pogrešnim rukama na pogrešnom mestu u pogrešno vreme, biće veća šteta nego da je sistem ostao u stanju u kakvom je bio pre upotrebe ComboFix-a



Čuvene poslednje reči... Zapalio sam cigaretu toliko puta, i nisam dobio rak pluća. Koristio sam puškice toliko puta na ispitu, i nikad me nisu uhvatili. Provozao sam kola zaleđenim putem toliko puta, i nisam završio u jendeku pored... Ali nijedna od ovih izjava ne garantuje da nećeš nikad. Koliko god neke od njih imaju veze sa tvojim znanjem i veštinom, toliko je tu i faktor sreće veoma značajan. Misli o tome...



To što na tvom kompu vrtiš tri piratske igrice ne znači da i svi ostali koriste računar u iste svrhe. Reinstalacija je OK metoda ako imaš svež backup pri ruci. E sad je pitanje koliko ljudi ovde redovno backupuje svoje računare, i koliko njih koji to i rade čine na pravilan način. Iako sam ja svestan svih rizika i znam kako backup funkcioniše i primenjujem ga redovno, nedavno sam umalo ostao bez svojih podataka jer nisam bio proveravao validnost backup fajlova, i kad sam imao problema sa sistemom ispostavilo se da je većina backup fajlova neispravna, a oni koji su mogli da se pročitaju nisu sadržali sve informacije koje su meni trebale, zbog jedne greške koju sam prevideo kad sam pre par godina podešavao taj isti backup. E sad kad se meni sa četvrt veka iskustva u IT-ju i 10 godina profi bavljenja istim desi tako nešto, zamisli kako je tek nekom običnom korisniku koji zna samo da upali računar i da ode na facebook i gmail, pa mu ti posle objašnjavaj gde je njegova kolekcija fotografija sa Halkidikija od prošle godine ili skenirani posni recepti od tetka Perse, nakon što mu je CF pobrisao šta nije trebalo i ti uradio format & reinstall metodu...

Valjane idem malo u offtopic al aj napisi ako te ne mrzi koji metod koristis i kakav backup tacno radis

jako zanimljiva tema i stvarno bi bilo lepo da Valjan ako može i ima vremena opiše šta tačno radi...bilo bi korisno za sve a i šefovi mogu da postave Valjanovop objašnjenje kao top temu ili da zanove staru..

Ne ne ides uopste u offtopic jer me bas zanima metoda tih eksperta koji kada im pomenes combo fix kao da si im pomenuo programiranje.
Valjane ja nisam malo dete da me ti ucis pravilima ponasanja.To sto sam rekao skenja ja time nisam nikog uvredio a i nisam jedini koji na ovom forumu upotrebi po neku nekulturnu rec.
Opet cu da ponovim da sam ga bezbroj puta koristio i nikada nisam imao problem sa njim! I da sam imao reinstalacija sistema traje sat vremena toliko mogu sebi da izdvojim vremena.
To da li ja vrtim 3 piratske ili imam originalne programe nije na tebi da sudis a sto se tice backupa i sa tim nemam problem jer sve bitne fajlove smestam nikada ne stavljam u c particiji.Pa cak i da se to desi hdd moze da se zakaci na drugi komp pa da se izvuku vazni podaci.

Nisi ništa shvatio: Ja pa ja pa ja... Ti si ti, i tvoj sistem je takav kakav jeste. Svaki sistem je priča za sebe, i svaka infekcija je drugačija. Tvoje navike, sposobnosti i iskustvo su jedna stvar, ali kod svakog korisnika je ta kombinacija drugačija. Ako ti sebi organizuješ radno okruženje na jedan način, ne očekuj da će i svako drugi, i da će svakome reinstalacija oduzeti samo sat vremema a podaci će mu biti bezbedni na drugoj particiji. Očigledno nisi imao kontakt sa dovoljnim brojem različitih korisnika. Ne pričam napamet, pokretao sam i ja ComboFix pa se nije dešavalo ništa nepredviđeno, ali sam i popravljao sisteme posle raznih drugih "majstora", i stojim iza toga da ComboFix nije igračka za probavanje.

http://www.bleepingcomputer.com/combofix/how-to-use-combofix



@sad_ste_face_jel

Jedno je sta ti radis privatno sa svojim sistemom, a drugo je da javno dajes savete a ne znas kakve posledice takav savet moze da prouzrokuje.

Mogao si da vidis po helperskim forumima kako se pravilno pokrece ComboFix ( a mozes i iz prilozenog uputstva) i nista vise od toga, niti moze da ti bude jasno bilo sta vezano za ovaj alat ma koliko se trudio da razumes, ako nisi obucen za rad sa njim a i sa ostalim profi alatima tipa Combofix.
Isto tako si mogao da vidis da ni jedan helper ne daje Combofix bez prethodne dijagnoze sistema na kojem radi, znaci ne radi se nista napamet.

Moj ti je savet da se ogranicis na programe tipa Malwarebytes, SuperAntispyware, i sl. ili Rescue CD-e u krajnjoj nuzdi.

Isti virus i slicnii simptmi kao sto je navedeno u primjeru. Cak ni carobna dos naredba ipconfig /all ne daje podatke o kartici nema mac,a nema ip-a nema DNS-a gatveja.
A koliko sam primjeio poslije nekoliko dana samo one masine na win xp "pirat" nesto mi smrdi na microsoft....

Otisli ste malo offtopic...
I ja sam par puta koristio combofix i nisam imao problema sto ne znaci da se nekad ne bi desilo da sprzi nesto sto ne treba.
Nisam ga skoro koristio ali koliko se secam tu nema nikakvih podesavanja i biranja,skenira i brise sto nadje.
Moze li neko pojasniti kako "strucno" koristiti combofix osim ga nikako ne pokretati?

Danas sam skinuo i pokrenuo fajl koji je postavljen gore kao fix za avast i sve se vratilo u normalu.
Hvala @kristi1

Da on brise automatski ono sto ima u definicijama, ali takodje posle skeniranja Combofix izbaci Izvestaj, a to je ono najvaznije.
Na helperu je da taj izvestaj analizira i napise skriptu za uklanjanje malware-a. Recimo Conficker o kome je bilo reci nece biti obrisan automatski i gro drugog malware-a.
Takodje, ako se desi da CF obrise legitiman fajl, helper pomocu odredjene direktive moze da vrati obrisani fajl.
Moze da zameni inficirani fajl recimo ako je zarazen services.exe, taj fajl mora biti zamenjem legitimnim fajlom.

Ja mogu da potrazim gde se nalaze legitimni fajlovi na sistemu, mogu da zavirim u svaki direktorijum, prebacujem fajlove iz direktorijuma u direktorijum i mnogo drugih stvari.

Znaci to je kompleksan alat koji u pogresnim rukama moze da unisti sistem.
A posto se maltene svakodnevno azurira, moze da se desi propust i neko ko ne zna da u tom trenutku CF ima bug, moze da unisti sistem. A nema informaciju da se ne koristi u tom i tom vtemenu, jos ne zna da vrati pobrisane fajlove i ode sistem. To se desavalo nekoliko puta, jednostavno ljudi pisu programe i ljudi grese, nisu roboti.

Postoji mnogo direktiva za CF, pa recimo jedan prosecni pripravnik mora da radi pod nadzorom instruktora i po godinu dana da bi samostalno mogao da se upusti u resavanje problema sa malware-ima. A malware svakim danom sve vise napreduje, takodje i alati koji ih prate.


To je igra, veoma interesantna i ko se uhvati u tu pricu, verovatno nikad iz nje nece izaci

Dobro sad sam ja glup a ti si pametan jer si moderator jel?
Ako si toliko pametan objasni coveku kako resavas probleme ?
Ja sam imao dodir sa dosta racunara i desavalo mi se da ljudi ostave "vazne" podatke na c particiji ali to se sve resava nije smak sveta kako ti to objasnjavas kao da si ti jedini koji uopste ume da ocisti sistem ili sta vec vise je sve jedno.
Ti ako si toliki "MAJSTOR" pa ti combofix nije igracka tvoja stvar.Ja sam ga dosta puta koristio i ne samo na mom racunaru kao sto mislis vec kod ljudi ciji je racunar na izdisaju sto se tice sistema pa mi se nikada nije nista desilo! A i da se desilo podaci se sacuvaju sistem se reinstalira i nikakav problem a to sto vi ''dugogodisnji majstori'' uvek morate da ispravljate krivu Drinu to je vasa stvar u to ne zalazim.

To sta cu ja da radim to je moj problem vi "Majstori'' mozete da pisete sve i svasta ja pisem moje iskustvo a vi sto ste obuceni za rad sa combofix-om vasa stvar ne pada mi na pamet da se raspravljam sa "majstorima'' koji kada pomenes neko suprotno misljenje od njihovih kao da si im sipao so u oci.Pominjete sve i svasta kao da ste vi kreirali te programe.Ja dok sam pocinjao da se bavim uopste racunarima nisam imao pojma o nicemu i taj covek preko koga sam kupio racunar on me je plasio kao da imam atomsku bombu a ne racunar.I sve je tako bilo dok nisam poceo sam da se bakcem i shvatio sam da to nije nista strasno i ako pokvaris nesto to je moguce popraviti tako da te ''majstorske'' fore kod mene ne rade.

Dobro majka mu stara, zašto si tako mlad dozvolio da ti računar šteluje babaroga ili neko ko ti priča da u računaru mali patuljci obrću pedale i to tako radi?
Zašto si se plašio da sam kreneš da popraviš, bez da bilo koga zoveš da šteluje umesto tebe?

Izgleda i dalje ništa ne kapiraš. Niko ovde ne tvrdi da nisi pametan niti neiskusan. Problem je jedino u tome što na ovakvom mestu ne možeš dati savet tipa "probaj ComboFix", a da ne daš barem neku instrukciju kako to da uradi. Ako si ga sam već pokretao, onda znaš i kako i odakle se pokreće, i šta mora da se uradi pre nego što se pokrene, i kakva upozorenja izbacuje prilikom pokretanja, i šta treba da se uradi kod svakog od njih, i šta automatski briše prilikom svakog pokretanja, i kako ćeš obaviti napredno čišćenje na osnovu izveštaja koji dobiješ od CF-a, šta mora da se uradi po završetku čišćenja, itd. Ovaj forum posećuju ljudi raznih profila, neko će videti taj tvoj post, naći će ComboFix negde na netu (a vrlo moguće i neki lažnjak), izgubiće podatke zbog toga što ga nije pravilno koristio (pokrenuo je lažni CF, ili ne razume engleski, nije shvatio upozorenja koja CF izbacuje na pravi način, nije odradio sve što treba da se uradi pre pokretanja, itd.), i pokrenuće tužbu protiv nekog (ES-a, mene i drugih moderatora jer smo ti dozvolili da mu daš takve nepotpune instrukcije, tebe jer si mu ti to savetovao, ili nekog petog, nebitno).

Možda onaj kome si u tom trenutku odgovarao ume da napravi kopiju podataka, ume sam da se snađe oko ComboFix-a i odradio je skeniranje bez problema, ali sutra će neko totalno neiskusan naići na ovu temu, pročitaće i tvoj post, rećiće hajde da probam, i onda će psovati i tebe, i mene, i našu familiju, i ceo ES i šire. Pazi, i HiJackThis je na prvi pogled jednostavan alat, ali ga 90% ljudi koristi pogrešno, i čak i on može da izazove probleme u radu ako se svi koraci ne odrade pažljivo. A da ne pričam o situacijama kada recimo neko ima instaliran Spybot S&D koji je instalirao na nečiju preporuku (poput tvoje), pa pošto jedino ume da koristi "next > next > finish" metodu instalacije bez praćenja šta se stvarno instalira, obavezno ima pokrenut TeaTimer koji najverovatnije ni ne ume ručno da isključi, i tu je svaki pokušaj popravke sistema nekim drugim AV alatom praktično nemoguć. Verujem da si bio u takvim situacijama, ako već imaš iskustvo kao što tvrdiš. Ali jedna je stvar kad imaš fizički pristup zaraženom računaru, a nešto sasvim drugo kad ga čistiš na daljinu, korak po korak, i nikad nemaš ceo sistem pred očima. Pretpostavljam i da si sigurno bio u situacijama kada moraš nekog na slepo da navodiš telefonom kako da uđe u Safe Mode with Networking da bi ti mogao daljinski da pokreneš neku alatku za čišćenje, a ta osoba bukvalno zna samo da upali računar, pokrene mail klijent, browser, i eventualno MS Word. Ili kada moraš da ukloniš trojanca sa servera na drugom kraju sveta a reboot ne dolazi u obzir, jer nema nikog u blizini ko može ručno da ga resetuje ako nešto pođe naopako, a za svaki offline minut vlasnik izgubi par desetina dolara. Ili kada istovremeno padne mreža na dve lokacije u Nišu i jednoj u Beogradu zbog mrežnih crva, a ti si u Novom Sadu i ne možeš da pristupiš daljinski jer mreža, kao što rekoh, ne radi, ne možeš časkom da skokneš tamo jer si daleko, a na tim lokacijama nemaš nikog ko je malo napredniji korisnik računara. Onda pretpostavljam da razumeš zašto ne možeš za program poput ComboFixa reći samo "probaj ga", jer neće svi umeti da ga pravilno probaju.

Znači, da si čoveku napisao:
- preuzmi ComboFix sa adrese ...
- sačuvaj ga tamo i tamo...
- ako imaš neki AV, ugasi ga ovako...
- ako imaš važne podatke tamo i tamo, sačuvaj ih ovako...
- pokreni CF na ovaj način...
- ako te pita to i to, uradi ovo i ono...
- kada završi, iskopiraj log, i okači ga ovde...

itd. ne bih imao ništa protiv. Ali ako kažeš samo "probaj ComboFix" i ostaviš svima da posle čiste za tobom, e onda naravno da ću se buniti. Za neke stvari jednostavno moraš preuzeti odgovornost na sebe, a ne da samo iniciraš nešto i izgubiš se. Ko meni garantuje da ćeš ti i za mesec dana biti ovde, kad neko naiđe na problem zbog tvog saveta, pa da priskočiš u pomoć sa detaljnijim instrukcijama? Da si te instrukcije dao odmah, video bih da si ozbiljan i ne bih ni reč rekao, ali sa ovakvim tvojim stavom naravno da ću se buniti.