U online skeniranju fajla za koji sumnjam da je zarazen,Kaspersky kaze YOU`RE CLEAN! Avast i Avira kazu da fajl sadrzi gorepomenutog trojanca,Nod32 isto ne nalazi nista. Na Google ukucam Win32 Buzus i procitam detaljan opis,sta radi,sta menja u registrima,ma sve. Znaci Avast i Avira nisu nasli false positive vec Nod i Kasperski nisu detektovali trojanca. Avast i Avira mogu da ga uklone tako sto ce obrisati sa harda cra*k u kome se nalazi trojanac,ali kako da ga uklonim ako sam pokrenuo zarazeni EXE fajl dok sam imao Nod,koji nije nista detektovao?
Te registry promene, jel znaš bar neke gde su (HKLM, HCCU) i šta rade ? Da li se to uopšte desilo ? _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ On je naučen u špijunsko-terorističkim centrima da sve pamti...
:: :: Te registry promene, jel znaš bar neke gde su (HKLM, HCCU) i šta rade ? Da li se to uopšte desilo :: _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ :: On je naučen u špijunsko-terorističkim centrima da sve pamti... :: ::
– [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] Old value: • `Userinit`=`c:windows\system32\userinit.exe,` New value: • `Userinit`=`c:windows\system32\userinit.exe,%SYSDIR%
tos.exe,`
ntos.exe je očigledno VIRUS, pa šroveri da li je tako (ako je new value), i gledaj da ga se oslobodiš. _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ On je naučen u špijunsko-terorističkim centrima da sve pamti...
:: :: Postavlja se pitanje, da li ti je recimo :: :: – [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon :: Old value :: • `Userinit`=`c:windowssystem32userinit.exe, :: New value :: • `Userinit`=`c:windowssystem32userinit.exe,%SYSDIR tos.exe,` :: :: ntos.exe je očigledno VIRUS, pa šroveri da li je tako (ako je new value), i gledaj da ga se oslobodiš :: _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ :: On je naučen u špijunsko-terorističkim centrima da sve pamti... :: ::
start - run i ukucaš regedit -> enter Otvoriće ti se registry editor i onda pratiš putanju HKEY_LOCAL_MACHINE - SOFTWARE - Microsoft - Windows NT - CurrentVersion - Winlogon i u tom folderu sa desne strane na dnu je ključ Userinit sa ovo vrednošću `C:WINDOWSsystem32userinit.exe,` (bez navodnika sa zarezom na kraju). Ako je kod tebe onaj ntos.exe iza zareza, izuvaj ga. _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ On je naučen u špijunsko-terorističkim centrima da sve pamti...
Klikni dvaput na Userinit u desnom prozoru. Otvorice ti ce se prozor Edit value. Obrisi sve sto je iza userinit.exe. Znaci `%SYSDIR% tos.exe,` OUT. Zatvori Registry editor i restartuj komp. Idi na Find > Drive C:, cekiraj Advanced Search, da trazi i u sistem folderima, i trazi `tos.exe`. Ako je tu, gotovo sigurno je u System32 folderu. Brisi gada. Iako, iskreno receno, ne verujem da ces ga naci.
@bax2003 Opet smo kucali u isto vreme, ali bio si brzi sa gornjim objasnjenjem.
Nightbird ISKUSTVO - Proporcionalno količini uništene opreme. HOBI - Način umaranja tokom slobodnog vremena.
Rasho bio si u pravu,nisam ga nasao! Nema nista posle userinit.exe,!!! Sta to onda znaci,nije trojanac?
:: Klikni dvaput na Userinit u desnom prozoru. Otvorice ti ce se prozor Edit value. Obrisi sve sto je iza userinit.exe. Znaci `%SYSDIR% tos.exe,` OUT :: Zatvori Registry editor i restartuj komp :: Idi na Find > Drive C:, cekiraj Advanced Search, da trazi i u sistem folderima, i trazi `tos.exe`. Ako je tu, gotovo sigurno je u System32 folderu. Brisi gada. Iako, iskreno receno, ne verujem da ces ga naci :: :: @bax200 :: Opet smo kucali u isto vreme, ali bio si brzi sa gornjim objasnjenjem :: :: Nightbird :: ISKUSTVO - Proporcionalno količini uništene opreme :: HOBI - Način umaranja tokom slobodnog vremena. :: ::
Obrati samo pažnju da u definiciji virus-a piše da totaje ntos.exe a ne tos.exe.
A obriši i ovo ako je napravio – [HKLM -SOFTWARE - Microsoft - Windows NT - CurrentVersion - Network] New value: • `UID`=`%computer name%_%hex values%`
@rasha44 Spor ti je taj miš. Da mi nisi prodao optimice, završio bi pre mene. _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ On je naučen u špijunsko-terorističkim centrima da sve pamti...
Onda znači da Avast i Avira lupaju ko maximi. Za svaki slučaj prover i ovo iz opisa : Injection – It injects itself into a process. - što znači skini proces explorer Process name: • winlogon.exe
Iako Aviru nahvalise, sumnjam da je bolja od Kaperskog i NOD32. Avg Free je vrlo lose prosao na poslednjih testovima, tako da je vise verujem Kasperskom i Nod-u.
Sem toga, Online scan nije tako pouzdan kao rucno skeniranje pokrenuto sa tvoje masine.
@bax2003 Ne bi ti dosao do Optimice da Mirjanu nije nerviralo skripanje Sad sam se izvestio. Pre nego sto posaljem odgovor, prvo u drugom prozoru proverim da li ima novih upisa.
Nightbird ISKUSTVO - Proporcionalno količini uništene opreme. HOBI - Način umaranja tokom slobodnog vremena.
:: :: Onda znači da Avast i Avira lupaju ko maximi :: Za svaki slučaj prover i ov :: iz opisa :: Injection – It injects itself into a process. - što znači skini proces explorer :: Process name :: • winlogon.ex :: :: Ovako ćeš da proveriš :: http://i288.photobucket.com/albums/ll161/bax2003/sshot-1copy.jp :: _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ :: On je naučen u špijunsko-terorističkim centrima da sve pamti... :: :: http://img381.imageshack.us/img381/1166/28062008004dk0.jpg ja ne znam sta da trazim, pa evo slike,pa pogledajte vi koji znate sta da trazite.
Nemaš ništa sumnjivo u WinLogon-u, tako da ti sistem izgleda čist. _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ On je naučen u špijunsko-terorističkim centrima da sve pamti...
Sem toga, i Kaspersky i NOD32 ga imaju u svojoj bazi, doduse pod drugim imenom, odnosno varijantom. Ali, to je njima vise nego dovoljno da ga otkriju, jer imaju njegov kod. Da si pazljivije citao, video bi ovo:
Broj postavljenih tema: 60355. Broj poslatih odgovora: 646995. Trenutno niste prijavljeni na PC Berzu i zbog toga imate status 'gosta'. Kao gost ne možete da šaljete poruke na Forum. Ako ste registrovani kao član PC Berze, prijavite se. Ako ste novi korisnik, molimo registrujte se da bi dobili mogućnost aktivnog učešća u radu Foruma.
