Meni je Ewido scan uz aktivni AVG u pozadini resio stvar, tj prilikom Ewido scan-a sistemskog foldera AVG je prijavio uzrok problema koji nije mogao da nadje svojim scan-om.
Kod mene je u pitanju BACKDOOR.GENERIC 2.URT i BACKDOOR.GENERIC 2.UCG i u pitanju su fajlovi: sd.dll, sd.sys, xptpmm.sys, xptptt.dll. O ovom trojancu nema nista na internetu, a inace mi je blokirao sve firewall programe, onemogucio mi drajvere za zvucnu karticu i pravio veliki saobracaj na mrezi bez mog uticaja. Eto, mozda ovo nekom pomogne - inace sve je krenulo od onog "Your computer is infected..."

Hvala na sugestijama.

Spybot Search & Destroy reshava taj problem...

.



Izvor: Sophos

Meni nije nista resio!

Inace, jos sam malo progooglao pa sam i ja nasao istu informaciju (Vezano za TROJAN/HAXDOOR-BN). Hvala u svakom slucaju!

_{[Ovu poruku je menjao goranvuc dana 20.05.2006. u 18:31 GMT+1]}

Probao sam sa IE da pregledam sajt, i nista mi se nije inficiralo!?!? Moj WinAntiVirusPro 2006 nije nista pronasao, Spybot takodje. Kako je uopste tako neka glupava sitnica dospela na sajt "Dizajnzone" ?

Adresa sa problematicnim kodecima za download je http://users.i.com.ua/~video/
CWShredder nije našao ništa problematično. Ewido nalazi neke kukije koji nisu ništa opasno ali tu je Popcaploader.dll trojan backdoor downloader.
Sumnjam da gore navedeni problem mogu da rešim bez reinstalacije Win-a što svakako ne bih radio. Nadam se da ta blokada Win FW nije tako opasna?

Počeo sam da koristim Ewido, stalno mi nalazi pri podizanju sistema Downloader.zlob.pw i ne može da ga očisti, problematičan fajl ld100.tmp se nalazi u Sistem 32 folderu. Kako da očistim ovo đubre?

Iskljuci system restore, pregledaj opet, ako ne pomaze pregledaj sa apdejtovanim adaware-om, spybot-om, i konacno zadnja solucija udji u safe mode i rucno izbrisi.

Poz.

Otvori konzolu (cmd.exe), otvori Task Manager (Ctrl+Alt+Del), unisti proces explorer.exe,
prebaci se na komandni prozor, idi u \windows\system32 i upisi

del *.tmp <enter>

Onda u task manager-u izaberi File > New Task(run) i upisi explorer.exe

Ako ga opet ne moze izbrisati, podigni sistem sa bootabilnog cd-a i izbrisi fajl koristeci
"Repair using recovery console"

@Cileinteractiv

Probaj resetirati windows firewall. Otvori konzolu (cmd.exe) i upisi

netsh firewall reset

Ovo trebalo bi srediti firewall.

@Leftfield
U safe modu Ewido mi je našao brdo trojanaca u sistem32/1024 pa je tu bilo mnogo tmp fajlova... Downloader.zlob sam uklonio sa SpyBot S&D. Posle mi je Ewido opet našao neke trojance u registrima HKLM/Software........

@Antovski C:\>netsh firewall reset
The specified service does not exist as an installed service.
Nisam baš vešt sa DOSovanjem, sve je po starom sa FW-om.
U buduće pokušaću na prikazan način da brišem problematične fajlove.

Ima li spasa ili da mrzovoljno reinstaliram Win?

Home page u IE mi više nije onaj sajt sa video kodecima već securityuptodate.net i tamo mi kažu ovako:

Attention! Your system is currently exposed. Any remote computer can easily browse following folders and files on your computer:
- \Windows\System32
- \Program Files\Internet Explorer
- \My Documents
- Drive C:\ files

i još:

Your IP address: 82.208.195.124

Your Country: CS, Serbia and Montenegro

Your Browser: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

Your Operation System: Windows XP SP2 VULNERABLE

System Security Status: CAUTION

Time of investigation: Wed May 31 14:15:37 PDT 2006

Probaj ovim .reg fajlom i resetuj kompjuter. Mislim da ce srediti firewall.

Nista ne vredi. FW i dalje ne radi a trojanci se uvek ponovo pojavljuju u sistem32 i u registrima. Pokušao sam sa boot CD i Volcov komanderom da udjem u sistem32 i obrišem proklete fajlove ali vide se samo fajlovi do slova P nema dalje spiska fajlova na slova R,ST,... naziv problematičnih fajlova je stdole.tdb i stdole32.tdb.

Pokušao sam sa butabilnog CD-a i opcijom Repair Usig Recovery Console ali problem je što se ne vidi sistemski disk i još jedna particija jer se fizički nalaze na dva diska koja su vezana u RAID matricu 2+0. Valda se u tom dos modu ne mogu videti diskovi u RAID sistemu a Windows je tamo.

Gotovo da nema rezultata pretrage za "zlob.pw" i "stdole.tdb"... Trojan.Downloader.zlob.pw izgleda jedino Kaspersky prepoznaje (i to tek od 26.maja), pa pretpostavljam da imas KAV. Ako sam dobro shvatio, njega si se otarasio. Koje probleme ti prave stdole.tdb i stdole32.tdb ?

Imao sam isti problem pre oko mesec dana a pritom sam koristio Kasperski onda sam kupio F Secure 2006 instalirao i sjebao zlokobnog tako da sam sada srecan !!!! usput ovo nikako nije reklama !!!!

Zlob-a prepoznaje Spy bot S&D a Ewido posle svakog restarta windowsa nalazi iste trojance. Verovatno ih taj Zlob stalno dovlači... Stdole i Stdole32 su bili na spisku fajlova koji predstavljaju trojance, ništa posebno ne primećujem ali bi da ih se što pre otarasim.

Zlob je tako dosadan trojanac da ti Bog sačuva, srušio mi je sistem a evo i sad me urniše, napada stalno u različitim mutacijama a Kaspersky ga stalno odbija.

Što se tiče Stdole i Stdole32 ja sam ih se otarasio na sledeći način

Safe Mode pa pokrenem Spybot S&D pa nakon njega otvorim karantin u kasperskom i manuelno unesem problematične fajlove u karantin, iz karantina sam skenirao i dobio potvrdu da su inficirani a zatim sam ih obrisao, kada sam ovo pokušao da izvedem normalno logovan padao bi mi sistem (plavi ekran - Fatal System Error)

Okačiću sliku Spybot-a koja pokazuje da prepoznaje Zlob-a

@Cileinteractiv



Isti taj fajl sam imao i ja i uklonio sam ga na način u gore navedenom postu.

Pozdrav!

Nemam KAV. BIo sam i ja u safe modu i tamo ustanovio da spomenuti fajlovi predstavljaju problem. Kod mene nema nikakvih problema sa sistemom, sve radi normalno jedino sto net placam po prenesenom megabajtu pa ne znam sta mi ti fajlovi mogu uraditi i koliki je njihov udeo u mesecnom transferu... Ici cu opet u safe mode pa javljam sta se desava.

MIslim da sam se oslobodio ZLOB-a, tog dosadnog trojanca. Uspeo sam na način koji je Gor@n opisao;

Puno hvala svima koji su se potudili da mi pomognu.

Trojanca sam zakačio tražeći "brojeve za sw" i naletanjem na 3x sajtove koji nude kao neki media kodek za instalaciju da bi se kao mogli gledati video fajlovi koje oni imaju na sajtu. Pošto mi je video kompresija i obrada videa profesija naseo sam na trik želeći da vidim o kakvoj video kompresiji se radi i kakav je kvalite slike. Fajl se zove mediacodec.exe ikonica je svetlo zelene boje, taj fajl vrlo često bude sastavni deo "brojreva za sw". Pazite, nudi se i sam za instalaciju!

_{[Ovu poruku je menjao Cileinteractiv dana 07.06.2006. u 22:30 GMT+1]}

AdAware 6 je rešio probleme oko Internet Explorera, konkretno Internet options i Home page mi je ponovo dostupan.

SmitfraudFix je majka za trojance, nema da ista ostane.