Da li netko prepoznaje ovaj virus?

[Chupo]

Trenutno je u kompjuteru dosta razlicitih file-ova koji su posljedica
zaraze, ali je sve pocelo na slijedeci nacin (W XP):

- Na desktop-u su bila otvorena 2 prozora My Documents i poceo je
'stekati' internet

- Nakon restarta se je pojavilo nekoliko parova prozora: 'Windows
cannot find 'path\ime_file-a'. Make sure you typed the name correctly
and then try agan...' + 'Could not load or run 'path\ime_file-a'
specified in the Registry. Make sure the file exists on your computer
of remove the reference to it in the Registry'. Virus je ocito u
Registry unio pozive raznih file-ova ali je uzrokovao i par pogresnih
unosa, ti su pogresni unosi bili: 'C:\Documents', 'and' i 'Settings
\ime_account-a\nohdw.exe'

- trazo sam na netu nohdw.exe i nisam naso podatke ali taj je proces
bio aktivan u Task Manager-u

- U Task Manager-u sam primijetio jos par sumljivih procesa: visestruke
NOTEPAD.EXE-ove (za razliku od normalnog notepad.exe), 41.exe i slicno.

- Probao sam se ponovo spojiti na net (preko Vipme stick-a) i minutu
nakon spajanja su se opet sama otvorila 2 My Documents prozora i net je
ponovo poceo stekati

- Sa search sam izlistao sve file-ove po modified datumima (s
ukljucenim hidden i system file-ovima) i otkrio da se kod svakog
spajanja ne net u prefetch folder download-a jos nekoliko file-ova a
istovremeno se i pozivi nekih od njih dodaju i u Registry (pod Run ili
Load)

- S obzirom da me je posebno zabrinulo ime jednog od njih, a to je
keyhook.exe :-) se s tim laptopom vise nisam spajao online i s drugog
kompjutera sam za svaki slucaj promijenio sve vaznije password-e

- S gpedit.msc sam iskljucio autorun i ubacio stick - odma mi je bilo
sumnjivo predugo trajanje zmiganja lampice nakon ubacivanja sticka, pa
sam provjerio sta se je desilo - na sticku su svi ranije postojeci
folderi bili sakriveni a umjesto njih su kreirani shortcut-ovi s istim
imenom

- Shortcut-ovi su:

%windir%\system32\cmd.exe /c "start %cd%RECYCLED\f0162513.exe && %
windir%\explorer.exe %cd%originalno_ime_folder-a

Znaci, kad bi neko umjesto na (skriveni) folder kliknuo na shortcut
koji ga je zamijenio, pokrenuo bi se .exe u folder-u RECYCLED (kojeg je
virus isto kreirao na USB stick-u) a nakon toga otvorio ranije skriveni
folder (folder koji je tu postojao od ranije, njega je kreirao vlasnik
stick-a) i sve bi izgledalo normalno.

- u Documents and Settigs\ime_account-a\Apllication Data sam naso
slijedece skrivene file-ove - prema imenima bi mozda netko mogo
prepoznati o kojem se virusu radi:

4, 4D, 4E, 4F, 5, 6, 7, 8, 41, ..., acugk, ckirwd, fedbci, noxiog, ...
i jos jedno 20 slicnih - sve .exe file-ovi.

Imena su mozda generirana random, a mozda se i uvijek koriste ista pa
sam ih zato nekoliko napisao.

U nekim sam .exe file-ovim s hex editorom naso ime 'Benji'. Virus je i
iskljucio firewall.

Da li netko prepoznaje o kojem se virusu radi i zna kako da ga najlakse
ocistim bez formatiranja/reinstaliranja Windows-a?

Mozda bi za pocetak bilo najbolje pokrenuti neki offline virus scanner
koji bi omogucavao skidanje najnovijih definicija pa nakon toga
kreiranje boot CD-a ili USB stick-a? Za sad sam naso offline verziju
Windows Defender-a koja izgleda to moze:

http://tinyurl.com/6pmzfpy

Razmisljam i zarar-ane file-ove sa stick-om prebaciti na drugi
kompjuter, upload-ati ih na:

http://virusscan.jotti.org

pa tako mozda doznati vise podataka.

AKo nitko nije naletio bas na taj isti virus, nadam se da ce netko
barem predloziti sta bi sve (HijackThis, Spybot - S&D, Ad-Aware, neki
alati s Hiren's-a, ...) mogo iskoristiti da probam system ocistiti bez
formatiranja diska. Zahtjev je, znaci, da se to moze napraviti bez da
se ide online a najbolje bi bilo i da se alat pokrece s boot diska jer
bi virusi u RAM-u mogli utjecati na funkcionalnost novoinstaliranih
antivirusnih programa.
--
Chupo

[Chupo]

> Za sad sam naso offline verziju Windows Defender-a
>

I ovo:

http://tinyurl.com/cvzmv8
--
Chupo

[Stalker]

On 19.12.2012. 12:38, Chupo wrote:
> Mozda bi za pocetak bilo najbolje pokrenuti neki offline virus scanner
> koji bi omogucavao skidanje najnovijih definicija pa nakon toga
> kreiranje boot CD-a ili USB stick-a? Za sad sam naso offline verziju
> Windows Defender-a koja izgleda to moze:
>
> http://tinyurl.com/6pmzfpy
>
> Razmisljam i zarar-ane file-ove sa stick-om prebaciti na drugi
> kompjuter, upload-ati ih na:
>
> http://virusscan.jotti.org
>
> pa tako mozda doznati vise podataka.
>
> AKo nitko nije naletio bas na taj isti virus, nadam se da ce netko
> barem predloziti sta bi sve (HijackThis, Spybot - S&D, Ad-Aware, neki
> alati s Hiren's-a, ...) mogo iskoristiti da probam system ocistiti bez
> formatiranja diska. Zahtjev je, znaci, da se to moze napraviti bez da
> se ide online a najbolje bi bilo i da se alat pokrece s boot diska jer
> bi virusi u RAM-u mogli utjecati na funkcionalnost novoinstaliranih
> antivirusnih programa.

Uh, koliko teksta... :D

Sve si sam napisao, pokreni neki antivirus izvan OS-a, imas ih masu koji
se zbutaju iz nekog live Linuxa i skeniraju Windows NTFS particije
offline. Velike su sanse da nisi prvi i jedini zarazen s istim virusom.

Mozes i probati otici u safe mod pa rucno pocistiti virus, odnosno
killati sve sumnjive procese, pocistiti registry... potrebno je ubiti
sve procese virusa i onemoguciti ponovno pokretanje istih nakon reboota.
Tu treba malo iskustva, Process Explorer i slicni alati, nije za
pocetnike, ni za naprednije, a ponekad nije lako niti za gurue.

[Chupo]

In article <kat0js$pnu$1...@ls237.t-com.hr>, Stalker <stal...@live.com>
says...
> Uh, koliko teksta... :D
>

:-))

Mozda je malo pretjerano :-) ali mozda i nekom ko se nadje u slicnoj
situaciji da ideju od kuda krenuti.

> Sve si sam napisao, pokreni neki antivirus izvan OS-a, imas ih masu koji
> se zbutaju iz nekog live Linuxa i skeniraju Windows NTFS particije
> offline. Velike su sanse da nisi prvi i jedini zarazen s istim virusom.
>
> Mozes i probati otici u safe mod pa rucno pocistiti virus, odnosno
> killati sve sumnjive procese, pocistiti registry... potrebno je ubiti
> sve procese virusa i onemoguciti ponovno pokretanje istih nakon reboota.
> Tu treba malo iskustva, Process Explorer i slicni alati, nije za
> pocetnike, ni za naprednije, a ponekad nije lako niti za gurue.
>

Najprije sam skinuo:

http://www.avg.com/eu-en/avg-rescue-cd-download

s zboot-ao s tog diska pa pokrenuo scan. Definicije su bile od 22.11. i
nasno je jedno 70% od onih file-ova koje sam vec i ja naso rucno. S
obzirom da je bilo ocigledno da ih nije prepoznao sve, sam s Google-om
trazio sumnjive procese i vidio da je jedan od njih:

http://tinyurl.com/cmhu2wg

http://www.superantispyware.com/malwarefiles/YWDRIVE32.EXE.html

noviji od definicija s kojima sam skenirao. Njega i njegove pozive u
Registry-ju sam maknuo s HijackThis a onda sam vidio da neke od
kljuceva nije mogo obrisati. Nisam ih mogo obrisati niti ja, pa ni iz
Safe mode-a nakon sta sam napravio kill Explorera. Virus je promijenio
permission-e za taj node i nakon sta sam dozvolio full access sam ih na
kraju mogo obrisati.

Problem je sad kako detektirati ako je virus zamijenio neke od
systemskih file-ova tako da bi se mogli prepoznati jedino po MD5 hash-u
ili eventualno checksum-u :-/

Virus je neke od .exe-ova preko registry-ja pokretao direktno iz
recycler foldera a folderima na stick-u koje je sakrio je stavio i
attribut 'system' tako da sam ih morao vratiti s attrib. I sad je
pitanje sta je jos sve ta hrpa .exe-ova promijenila, moguce cak da je i
prvi val generirao neki report pa su se onda u slijedecim valovima
download-ali file-ovi specificno pripremljeni za situaciju kakva je
detektirana. Moguce da je neke od file-ova nemoguce detektirati sve dok
ne zapocnu komunikaciju s nekim serverom - moracu neko vrijeme
situaciju pratiti s TcpView, WireShark-om i nekim firewall-om :-/

Nekako mi se cini da sad vise ne postoji nacin da bi bez formatiranja
vise ikad bio siguran da je sve cisto :-/
--
Chupo

[Thorien Kell]

"Chupo" wrote in message news:MPG.2b3c2d7ce...@news.t-com.hr...


http://www.superantispyware.com/malwarefiles/YWDRIVE32.EXE.html

>> Nekako mi se cini da sad vise ne postoji nacin da bi bez formatiranja
>> vise ikad bio siguran da je sve cisto :-/

lol
napokon si skužio
u vremenu koje je tebi trebalo da ispišeš onaj wall teksta ja bi instalirao novi OS ; )
ne spominjimo uopće vrijeme koje si izgubio na testiranje i zajebavanje

[Stalker]

On 19.12.2012. 20:01, Chupo wrote:
> Problem je sad kako detektirati ako je virus zamijenio neke od
> systemskih file-ova tako da bi se mogli prepoznati jedino po MD5 hash-u
> ili eventualno checksum-u :-/
>
> Virus je neke od .exe-ova preko registry-ja pokretao direktno iz
> recycler foldera a folderima na stick-u koje je sakrio je stavio i
> attribut 'system' tako da sam ih morao vratiti s attrib. I sad je
> pitanje sta je jos sve ta hrpa .exe-ova promijenila, moguce cak da je i
> prvi val generirao neki report pa su se onda u slijedecim valovima
> download-ali file-ovi specificno pripremljeni za situaciju kakva je
> detektirana. Moguce da je neke od file-ova nemoguce detektirati sve dok
> ne zapocnu komunikaciju s nekim serverom - moracu neko vrijeme
> situaciju pratiti s TcpView, WireShark-om i nekim firewall-om :-/
>
> Nekako mi se cini da sad vise ne postoji nacin da bi bez formatiranja
> vise ikad bio siguran da je sve cisto :-/

Da, zajebano je to malo... :) Pogotovo ako nisi strucnjak koji se
profesionalno bavi samo analizom virusa po citave dane :)
Ili poskenirat disk sa bar 5 antivirusa, spyware, adware i rootkit
remove i slicnim alatima, ili reinstalacija najbolje za apsolutnu
sigurnost... ovisno o kolicini paranoje :) Ako je neki napredan virus,
ni md5, ni tcpview ti nece pomoci :D Srecom, vecina virusa se relativno
jednostavno pocisti.

[Stalker]

Ha cuj, ako imas vec instalirane i fino podesene Windoze, s nekoliko
desetina ili stotina dodatnih programa, tweakova... a nemas image
particije negdje sacuvan i nisi besposlicar, nije ti svejedno :))) U tom
se slucaju itekako isplati potrosit dan, cak i par dana na ciscenje
virusa i pokusaj spasavanja postojece instalacije. Imao sam par takvih
slucajeva zaraze, i dosad uvijek sam uspijevao rijesiti stvar, srecom.

[Chupo]

In article <katjb7$85o$1...@ls237.t-com.hr>, Thorien Kell
<korrda...@OVOyahoo.com> says...
> lol
> napokon si skuľio
> u vremenu koje je tebi trebalo da ispiąeą onaj wall teksta ja bi instalirao novi OS ; )

> ne spominjimo uopće vrijeme koje si izgubio na testiranje i zajebavanje
>

Evo jedne slicne situacije od prije par godina kad sam isto dobio takav
prijedlog (da odmah reinstaliram):

https://groups.google.com/group/hr.comp.os.winnt/msg/332f91e501eed67f

Lako je reinstalirati, imam i Ghost od friske instalacije, ali na PC-u
mi nakon zadnje reinstalacije jos mjesecima nije bilo podeseno sve ko
ranije. Na laptopu bi reinstaliranje i podesavanje svega, istina,
trajalo puno manje, ali opet vise nego da tjedan dana po par sati na
dan potrosim na ciscenje bez reinstalacije.

Jedno sam vrijeme Ghost image radio svaka 2 tjedna ali, s obzirom da
Program Files imam i na drugim particijama, samo zbog njih ne radim i
njihov image - nego zbootam neki disk s file manager-om pa te foldere
samo zarar-am. Jer sta ce mi Ghost C particije ako nemam i Program
Files, a svaki put raditi image svih particija bi zauzimalo previse
mjesta...
--
Chupo

[Chupo]

In article <katm3f$9mm$1...@ls237.t-com.hr>, Stalker <stal...@live.com>
says...

> U tom
> se slucaju itekako isplati potrosit dan, cak i par dana na ciscenje
> virusa i pokusaj spasavanja postojece instalacije.
>

Upravo tako :-)
--
Chupo

[Cose]

On Thu, 20 Dec 2012 01:28:33 +0100, Stalker <stal...@live.com>
wrote:

>Ha cuj, ako imas vec instalirane i fino podesene Windoze, s nekoliko
>desetina ili stotina dodatnih programa, tweakova... a nemas image
>particije negdje sacuvan i nisi besposlicar, nije ti svejedno :)))

Kad ti nije svejedno onda imas napravljen image dobro slozenog sustava
- za ovakav slucaj, krepavanje diska ili neceg treceg sto ti trashira
sustav.

--
Kresimir Kos

"When people are fanatically dedicated to political or religious faiths
or any other kinds of dogmas or goals, it's always because these dogmas
or goals are in doubt." (Zen and the Art of Motorcycle Maintenance)

[Stalker]

On 20.12.2012. 11:22, Cose wrote:
> On Thu, 20 Dec 2012 01:28:33 +0100, Stalker <stal...@live.com>
> wrote:
>
>> Ha cuj, ako imas vec instalirane i fino podesene Windoze, s nekoliko
>> desetina ili stotina dodatnih programa, tweakova... a nemas image
>> particije negdje sacuvan i nisi besposlicar, nije ti svejedno :)))
>
> Kad ti nije svejedno onda imas napravljen image dobro slozenog sustava
> - za ovakav slucaj, krepavanje diska ili neceg treceg sto ti trashira
> sustav.

Tocno, ali zaboravljas na ogromnu kolicinu teskih ljencina i
prokrastinatora u opcoj populaciji :)

[Cose]

On Thu, 20 Dec 2012 22:42:12 +0100, Stalker <stal...@live.com>

wrote:

>>> Ha cuj, ako imas vec instalirane i fino podesene Windoze, s nekoliko
>>> desetina ili stotina dodatnih programa, tweakova... a nemas image
>>> particije negdje sacuvan i nisi besposlicar, nije ti svejedno :)))
>>
>> Kad ti nije svejedno onda imas napravljen image dobro slozenog sustava
>> - za ovakav slucaj, krepavanje diska ili neceg treceg sto ti trashira
>> sustav.
>
>Tocno, ali zaboravljas na ogromnu kolicinu teskih ljencina i
>prokrastinatora u opcoj populaciji :)

Takvi onda nauce na tezi nacin. O:X

[Hombre]

On Fri, 21 Dec 2012 13:37:35 +0100, Cose <firstname...@gmail.com> wrote:

>>>> Ha cuj, ako imas vec instalirane i fino podesene Windoze, s nekoliko
>>>> desetina ili stotina dodatnih programa, tweakova... a nemas image
>>>> particije negdje sacuvan i nisi besposlicar, nije ti svejedno :)))
>>>
>>> Kad ti nije svejedno onda imas napravljen image dobro slozenog sustava
>>> - za ovakav slucaj, krepavanje diska ili neceg treceg sto ti trashira
>>> sustav.
>>
>>Tocno, ali zaboravljas na ogromnu kolicinu teskih ljencina i
>>prokrastinatora u opcoj populaciji :)
>
>Takvi onda nauce na tezi nacin. O:X

Neki ne nauče nikad.

[Stalker]

> Neki ne nau�e nikad.

Ziva istina :)

[crnigad]

hitna-pc-sluzba ti prepoznaje virus kad defragmentira disk, vec onda znaju
koji je to virus

[Chupo]

In article <1rigqtwry2jv6.b...@40tude.net>, crnigad
<crn...@spam.box> says...

> hitna-pc-sluzba ti prepoznaje virus kad defragmentira disk, vec onda znaju
> koji je to virus
>

:-))))))))))))
--
Chupo

[Bax]

"crnigad" <crn...@spam.box> wrote in message
news:1rigqtwry2jv6.b...@40tude.net...

LOL :) da lik je legendaran