[ bjesodrag @ 27.09.2008. 10:02 ] @
na proslom windowsu je pre nekog vremena, pri pokusaju pristupa nekom od hard diskova, pocela da mi se pojavljuje poruka C:\resycled\boot.com is not a valid Win32 application. posle gomile pokusaja sredjivanja problema sam instalirao novi windows na kome se sve ponavlja.
nema virusa, nema crva. istim diskovima mogu da pristupim preko opcije Explore bez problema.

ima li neko ideju o cemu se radi?
[ Seyokiller @ 27.09.2008. 20:08 ] @
Prva greska: ne pise se resycled nego recycled
Kao drugo izgleda da se radi o sledecem smecu:
Win32/Chir.B@mm et I-Wom/Nimda.A.HTM
Pokusaj da ga uklonis sa:
programom combofix koji se nalazi:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
zatim sa AVG Anti Rootkit
i probaj Clean Navipromo version 3.5.7 koji se nalazi:
http://www.malekal.com/download/clean.zip kojeg ces pokrenuti u safe mod-u!
Javi nam sta je bilo
[ bjesodrag @ 27.09.2008. 21:27 ] @
Bravo!
ComboFix ga je rasturio!

Sto se tice "resycled" greske evo je:




Hvala jos jednom!
[ sani2002 @ 27.09.2008. 21:37 ] @
i kod mene combofix ga razbucao bravo care
[ magna86 @ 27.09.2008. 22:19 ] @
moras tu skriptu i uninstalirati!
i nije se smela pokretati sa AV u pozadini
i bez HjTa..bar je uklonio virus
start/run kucaj Combofix /u i klikni OK
[ bjesodrag @ 27.09.2008. 22:20 ] @
Seyokiller imam jedno pitanje za tebe.. Gde se taj glupavi crv sakrio kad sam formatirao ceo hard disk i instalirao nov windows? To mi nekako nije jasno..
[ bjesodrag @ 27.09.2008. 22:57 ] @
da li ovo sad valja?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:43:27 PM, on 9/27/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\LClock\LClock.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iolo\System Mechanic Professional 7\SMSystemAnalyzer.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Styler\Styler.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SMSystemAnalyzer] "C:\Program Files\iolo\System Mechanic Professional 7\SMSystemAnalyzer.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Styler.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{756FFD48-15D2-4EBF-8A31-05B14149F515}: NameServer = 212.200.152.34 212.200.152.36
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iolo DMV Service (ioloDMV) - Unknown owner - C:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

i zasto mi nod prijavljuje da je ukljucen antivirus i firewall a sistem mechanic i hjt kazu da nije?
[ Seyokiller @ 28.09.2008. 00:11 ] @
Postoje virusi koji se integrisu u tzv. MBR (Master Boot Record) zapisu hard diska kod kojih ne pomaze formatiranje osim low level formata mada nisam apsolutno siguran !
Sto se tice loga od Hijack-a super je.
Pozdrav
[ nicr @ 04.10.2008. 14:49 ] @
@Seyokiller
..a ti virusi jedu malu decu za dorucak, tako da.. pazite potomstvo
mbr je moguce popraviti bez llf-a. Botujes komp sa instalacaionog cd-a xp (pretpostavimo da se o xp-u radi) ides na restoration console, odaberes instalirani sistem, kuca se komanda FIXMBR i to je to.
[ tex-rec @ 03.11.2008. 23:06 ] @
ja imam trenutno isti problem na dva laptopa sta god radim , koliko god puta system da obnovim, cim prvi star prodje i udjem u system on mi neda da otvorim HDD..
Pokuso sam sa ovim navedenim ComboFix, i kao pocne nesto da radi i na jednom dijelu ispise mi nesto u onim plavim DOS prozoru kao sve je Done..Al pocne onda taj prozor da blinkera, samo miga, a HDD idalje stoji isto..Sta ciniti da se ovo ukloni, posto sam ja pravo pocetnik sto se tice popravka vakvih stvari, stvarno mi treba detaljni opis kako i sta. Molim za pomoc..

Unaprijed hvala...
[ magna86 @ 04.11.2008. 07:53 ] @
cek..sta mislis da imas virus a?
nisam te ja bas razumeo...

ako mislis na neki virus

ovo uradi uradi:
1. start/run kucaj Combofix /u i klikni OK <----- ovo obavezno
cf nije AV pa da se skenira tek tako sa njim i bez njegovog loga i nema neku funkciju
2.koji AntiVirus koristis?
skini,update-uj pa skeniraj komp sa ovim programima (besplatni su)
http://www.malwarebytes.org/mbam.php
http://www.safer-networking.org/en/download/

ako ti se i dalje javlja problem...
otvori novu temu,pojasni malo bolje problem
pa skini ovaj program
http://www.majorgeeks.com/download5554.html
Stavi ga u zaseban folder na Desktop
Promeni naziv foldera i programa (opcija Rename) u bilo sta drugo npr.Systav.exe

* Pokreni HijackThis
* Izaberi opciju "Do a system scan and save the logfile"
* Na kraju skeniranja program ce izbaciti tekstualni log.
* taj log kopiraj ovde ( opcije copy / paste)

aj pa srecno
[ MR-PlaYeR @ 13.11.2008. 23:10 ] @
Ljudi hvala...Combofix za precednika
[ MR-PlaYeR @ 13.11.2008. 23:13 ] @
Batice samo ugasi anti virus na kompu i onda pokreni Combofix....uspece videes
xD
[ virus_crew @ 13.12.2008. 02:36 ] @
Au ljudi i mene ovo malopre zadesilo zakljucao mi hdd sa combofix--om sam uspeo da ga otkljucam.Ali mi je napravio i daoteku Qoobox, da li ovo smem da obrisem ili ne.
Hvala
[ kristi1 @ 13.12.2008. 08:20 ] @
Citat:
start/run kucaj Combofix /u i klikni OK
[ draganilic82 @ 17.12.2008. 21:43 ] @
I meni pomoglo i izbrisao sam qoobox, masu sumnjivih programa, za sada nemam problema. hvala i sta znaci sto su neki nazivi programa i nazivi video klipova obojeni plavim slovima?
[ Stefan 93 @ 19.12.2008. 21:59 ] @
Znači da si ih kompresovao preko Windowsa iz Properties.
[ dusko54 @ 29.12.2008. 08:33 ] @
Pomocu FixDrive
Obelezi particiju i klikni na fix, pa restartuj.


http://www.softpedia.com/progD.../FixDrive-Download-108681.html
[ dimnicar @ 29.12.2008. 18:35 ] @
Hvala Vam puno za ComboFix.Super je.Resio sam problem sa mojim kompom.Zakocio mi sve particije,ali sa combom sam ga osposobio.
Sad cu da ga proverim na jos dva kompa,koja imaju slican problem.
Pozdrav
[ vlajko66666 @ 05.01.2009. 10:03 ] @
Ljudi imao sam i ja problem sa ovim virusom i uradio sam ovo sa combofixom ali sada mi stoji prva opcija na particijama search zna li neko kako to da resim.
[ kristi1 @ 05.01.2009. 10:23 ] @
Skini FixDrive
Pokreni ga, obelezi particiju i klikni na Fix
Restartuj!

Sad pitanje da li si imao samo to ili jos neki virus koji je ostao.
[ dimnicar @ 08.01.2009. 16:02 ] @
Hvala puno .
Razbio je to smece.
Sve najbolje