Pretragom na googlu nisam našao puno, no prilično sam siguran da je
kod tebe, na C particiji, backdoor trojanac. Zapravo neki govore da je sasser.
Pošto nemam nikakvih iskustava sa Win2000 ne mogu ti adekvatno pomoći.
Molim pričekaj nekog sa sličnim iskustvom.
Nadam se da češ riješiti problem.
Pozdrav.

Ja sam nesto nasao.Radi se o _backdoor.SDBot.QA_.Nisam nasao kako toga da se otarasim, zato molim za svaku pomoc.Inace se pojavio na netu 22/3/2007.

Taj trojanac SDBot.exe mi je unistio vezu ADSL 256 tako da je protok bio samo 0.3 B/s !!! I na kraju sam morao da napravim format C - sto i trebalo da je dovoljno da ga unisti ....ali ?? Ali mi se posle instalacije sistema 3 puta desilo da mi izbaci poruku kako je doslo da fatalne greske na nekom .....i da se sistem mora restartovati za ,recimo 30 sec. i prc- restart !!! Tako da nisam bas siguran sta sve taj konj radi i sta jos unistava , tj. gde se sve useljava ? Samo da nije preziveo ....?
Ako neko ima informacije o ovom KONJU , neka postuje !!

POZ.

http://www.f-secure.com/v-descs/sdbot_mb.shtml
http://www.spywaredb.com/remove-backdoor-sdbot/

E ovako : pustio sam ovu alatku u rad i nije ga nasla ni u memoriji ni na hardu ??? Ali mi se komp i dalje ponasa nekako "ludo "??!!
AVG mi se zaglupeo i kad ga updat-ujem posle nekog vremena on se vrati Up-to -date ?? A ADSL mi je vidno slabiji od predjasnjeg stanja ?Kada pustim FlashGet da vuce torente Dw_Load je do 10 ? A isao je i do 32 !!!
Jedino da je Telekom ustrojio P2P - ako nije virus , a F-Secure kaze nije - ??? Ili da opet lupim sistem ??
Dajte neku preporuku za AV i FW koji ne dave mnogo a odradjuju posao !!

POZ. Ekipo !!

Ako i dalje sumnjaš da ti neka štetočina radi u pozadini stavi ovde hijack this log pa da vidimo šta sve tu ima.

Vezano za pitanje: Imaš na forumu rasprave o "najboljem" antivirusu i firewall-u gde je gomila ljudi dala svoja lična iskustva pa pročitaj malo i odluči se...

Evo log -a mLAN-e :

UH ,ajde brate malo samo mi pojasni kako da to izvedem - kako do startup-a i sta jos ...kako da ih poiskljucujem - iskreno ,nikada se nisam sretao sa ovim stvarima ?? I ja sam zablokirao !!!
A pre svega , hvala ti sto se trudis !!!!!

POZ.

Nema brate ovog fajla tamo ima samo WinP2P.exe (performs peer 2 peer conections ) ????
Tako je i za slucaj 2. fajla ???
A boga mi i 3. ??? Da nije to to ??
A restore sam iskljucio jos kada sam instalirao sistem - pre 4-5 dana !!

Sta sad ??

POZ.

Pazi ovako. Tvoj Hijack log je pokazivao da postoje ti klučevi u momentu kada si ga napravio. Postoji velika mogućnost da maliciozni program sam sebe kopira u fajlove različitih imena i menja startup vrednosti u registry-ju. Ali to je uvek isto s***** pa zvao se on WinP2P ili WinPSR.exe. Dakle, makni taj WinP2P iz registry-ja i pre toga ubi mu proces Task Manager-om. Ako ga ne možeš ubiti, najbolje da uđeš u safe mod i tamo odradiš stvari sa svim savetima koje sam ti gore dao.

OK , odmah cu da probam pa se javljam ako budes jos tu !!

Hvala ti onoliko na savetima i strpljenju !!!

Evo odradio sam sve ovako osim sto nisam uspeo da udjem u safe mod - jbg. pitao me za first boot device ...ali sam ga smazao na "zivo" pa sta bude !! Evo loga opet od HJD-a pa pogledaj !!??

Deluje OK. Mada:
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe

Čudno mi je što je na ovaj način napisao imena ovih datoteka. Kao da su reimenovana. Mada ti imaš SP1 pa moguće je da je to tako kod tebe.

Ok sada ti samo ostaje da nabaciš NOD i Spyware Terminator i neki firewall po mogućnosti Kerio. Kad ih nabaviš update-uj ih i skeniraj kompjuter za mogućim ostacima ovih programa.

P.S. IE6 bolje zameni sa 7-icom ili Operom ili Firefix-om i što pre nabavi SP2.

Pozdrav

edit: Sad sam proverio. Imena fajlova su i kod mene ista. HijackThis te fajlove na taj način predstavlja...

<sub>[Ovu poruku je menjao mLAN dana 09.04.2007. u 01:10 GMT+1]

[Ovu poruku je menjao mLAN dana 09.04.2007. u 01:11 GMT+1]</sub>

E sada je druga pesma - pici torent i do 32 , ali je sve vratio u normalu ,( od 25-29 ), to je bitno !!!
Jutros mi se pojavi neka poruka za neki izbor za Miss na srpskom jeziku ( ?? ) a mogao bi jos da mi pomognes kako da Kerio FW namestim da ne usporava Flash get posto ga on upolovaci - ovo ostalo radi EXTRA !!!
POZ.

Za Any other application stavi Ask a evo slika za ostale aplikacije:

OK ovo je eu redu samo meni u listi aplikacija uopste nema FG ?? Ali zato imam nekih stvari koje ti nemas a cini mi se da su sistemske - pa bi valjalo da ti posaljem .jpg !! Mislim na ova prva 4 ?!

POZ.

_{[Ovu poruku je menjao Iggy-ar dana 09.04.2007. u 21:50 GMT+1]}

Za Any other application stavi sve ASK pa pokreni FG. Daj mu neki download i kada te Kerio pita nešto otkači Remember i klikni Permit.
A normalno je da nemaš sve procese kao i ja, jer imaš i različite programe....

Vazi probacu pa se javljam ! Ovo mora da se zavrsi picem u NS-u !!
POZ.

Da dopunim : pitao me je 26 puta za dozvole za razne portove i out i incom. je mu sve dozvolio .... ???

Važi :) Nego. Nemoj baš sve da dozvoljavaš. Obrati pažnju koji program želi da izađe na internet, a pogotovo obrati pažnju koji program prima konekciju sa interneta! To bi trebao dozvoliti samo torentu i nekim ftp browserima!

P.S. Prva četiri procesa su microsoft active sync procesi i trebali bi da su bezbedni...

Evo ponovo slicice ! Valja li ovako, nekako ?

Pa ne znam kakav sve softver imaš na računaru ali nikako ne stavljaj tek tako na konekcije sa interneta Permit. Nema potrebe. Dakle ukloni one dozvole sa Internet In sa Microsoft File and printer sharing, Opere i Flashget-a i postavi Ask ili Deny. U stvari pogledaj moju sliku i na osnovu nje namesti podešavanja.
Samo izmeni Firefox = Opera....

Evo stavih ja kako si mi rekao !! Ali me nesto buni - zar FG - u ne treba dolazna veza sa neta da bi primao torente ?? Ako ova pitanja koja stizu za internet in ,postavim kao pravilo bez daljeg pitanja hoce li mu to smetati !?
POZ.

E ovako : Ne mora da mu se dozvoli IN veza da bi radio down. !! (Da znaju i ostali ) . Radi extra , a sada mi se opet pojavila neka poruka , pa cu je zakaciti dole a ti ako znas,- ha ,AKO ,znam da znas !!!- reci mi jeli ovo sistemska poruka ili neki shit ...??? I nju bi izgleda trebao malo da nekako UBIJEM !!!

POZ.

http://www.cryptguard.com/security_alerts.shtml

Dakle lažnjak.

Onesposobi messenger service. Idi Start - Run: services.msc

Na listi pronađi Messenger. Idi mu na properties i za Startup type namesti Disabled. Posle toga skeniraj kompjuter sa Antivirusom i antispywerom. (Update-ovanim)

Pozdrav

Evo , uradio sam onako i NOD i Ad-Aware nisu nasli nista ?! Valjda je to OK !! Jos jednom hvala CAR si !!!!

POZ.

Evo posle 10 dana ukljucih komp i evo sta je Nod uhvatio - ja ga pobrisah pa cisto da se konsultujem da li je to dovoljno !!?? Sada je neki drugi trojanac ,a ukljucen je i Kerio FW i Nod (doduse ovaj ga je capio ) ali FW nije reagovao ? Ajde mLAN-e "intervenisi " !!!

POZ.