Poslao: 25 Okt 2006 15:21
|
offline
- GZ
- Ugledni građanin
- Pridružio: 27 Mar 2005
- Poruke: 474
- Gde živiš: Novi Sad
|
Postovani..
Znam da ce ovaj problem najvise da zanima Boby-ja a i mene iskreno najvise zanima..
Dakle, kako sam naveo u naslovu ovaj dll mi NOD32 prijavljuje kao virus i ne moze da ga ukloni jer je aktivan u memoriji..
Pokusao sam iz Safe Mode to da uradim, ali ni tako ne moze.. Mogu sa odredjenim alatima da uklonim ovo (ne bih pisao kojim alatima) ali me zanima sta je ovo jer na googlu ne dobijam nikakav rezultat na upit o cbxwtss.dll i gotovo da sam zbunjen..
Kako rekoh mogu da uklonim ovaj file, ali prije uklanjanja zelim da znam sta je i cemu sluzi, i o kakvom se virusu radi, i da li je uoste virus..
Mada iskreno nisam siguran da je neki od Win-ovih dll.-ova..
Ukoliko neko ima informacije i bilo sta vezano za ovo bio bih zahvalan da saznam o cemu se radi..
Pozdrav..
|
|
|
|
Poslao: 25 Okt 2006 15:31
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Prvo lociraj fajl na disku, pa desni-klik>Properties i vidi da li postoje podaci o proizvodjacu.
Sto se tice Googla, nije obavezno da ces naci ime.
Naime, vecina ovih fajlova cija se imena sastoje od 7 slova, i izgledaju kao nasumicno odabrana slova - to su random (slucajni odabir) imena.
Ukoliko imas takav fajl sa random imenom na disku, onda negde mora da postoji i fajl koji ga generise (dropper).
To ces najbolje da vidis nakon brisanja.
Obrisi fajl, pa skeniraj ponovo NOD-om, ukoliko se pojavi neki drugi fajl sa random imenom, onda NOD ne ume da nadje dropper, ili je dropper rootkitovan.
Ukoliko imas volje, spakuj mi taj fajl 7zip-om i posalji na bobby[at]mycity.rs ili na spasic[at]gmail.com
|
|
|
|
Poslao: 25 Okt 2006 15:35
|
offline
- GZ
- Ugledni građanin
- Pridružio: 27 Mar 2005
- Poruke: 474
- Gde živiš: Novi Sad
|
Da, zaboravio sam da napisem da se pomenuti file nalazi na lokaciji
C:\windows\system32\cbxwtss.dll
Komp nije kod mene, pa cu pokusati da ti posaljem taj file..
Bas me zanima sta je ovo, a pored toga znam da ces naci rjesenje prije mene..
Dakle, prije sutra necu moci da ti posaljem..
Pozdrav
|
|
|
|
Poslao: 25 Okt 2006 15:42
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Ajde uradi i HijackThis log pre nego sto ga uklonis.
Nemoj da zaboravis da HJT mora da se raspakuje u svoj folder pre nego sto ga pokrenes, inace nece da uradi backup.
Pre nego sto startujes HJT, preimenuj mu EXE fajl, posto ga poneki malware prepoznaje po imenu procesa, pa ce da se sakrije od njega.
|
|
|
|
Poslao: 26 Okt 2006 15:49
|
offline
- GZ
- Ugledni građanin
- Pridružio: 27 Mar 2005
- Poruke: 474
- Gde živiš: Novi Sad
|
OK.. Znam raditi sa HJT programom.. Sve mogu da ti donesem tek sutra s obzirom da se radi o racunaru u jednoj skoli..
problem sam postavio ovde jer me zivo zanima o cemu se radi, a znam da si i ti veoma zainteresovan za neobicne stvari poput ove..
Poz...zzzz
Dopuna: 26 Okt 2006 12:58
@Bobby
Poslao sam pomenuti fajl zapakovan u 7Zip i takodje sam poslao log fajl od HijakThis programa..
Pozdrav...
Dopuna: 26 Okt 2006 15:49
@Bobby
Zamolio bih te, da ukoliko uspijes da saznas nesto vise o fajlu koji sam ti poslao da nam svim ovde napises o cemu se radi.. Pomenuti fajl sam uklonio sa racunara ali nisam uklonio iz glave jer jos ne znam nista o njemu..
S toga, posto si jak iz ove oblasti, molio bih te vise informacija o ovom fajlu da bi ti ukrali malo vise znanja..
Hvala mnogo na pomoci...
Pozdrav GZ.
|
|
|
|
Poslao: 26 Okt 2006 16:03
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Fajl koji si mi poslao je Trojan-Clicker.Win32.Small.mb.
Generalno, Clickeri se kace na internet, tj. na odredjeni sajt, i na tom sajtu simuliraju klikove na reklame ili dugmice. Obicno sluze da tom sajtu donesu zaradu od reklama, ili za podizanje rejtinga na portalima ili pretrazivacima.
Upravo sam "secirao" ovaj tvoj fajl, i vidim da ima referencu prema LargeInterest.dll (proveri da li ga imas na kompu).
Pri svakom logonu/logoffu na sistem, on pristupa registry bazi, i to CLSID-u {3A947772-3B29-41DB-A436-4B5CAAECE2F6} (da napomenem da neznam sta radi tacno sa tim CLSID-om).
Dopuna: 26 Okt 2006 16:03
btw. zaboravio sam da te pitam: zasto na tom kompu nemate instaliran SP2?
bez SP2 i bez firewalla, taj komp je na vetrometini svaki put kada se prikljucite na net.
|
|
|
|
Poslao: 30 Okt 2006 12:09
|
offline
- GZ
- Ugledni građanin
- Pridružio: 27 Mar 2005
- Poruke: 474
- Gde živiš: Novi Sad
|
Uh, sta da ti kazem..
Razlog sto nije instaliran SP2 je veoma jednostavan..
Komp jedva radi na nekih cudnih 98 MB RAM-a, jer se nekad nasao neki pametnjakovic i izvukao postojecih 256 i stavio taj neki meni no name RAM od 98 (pitam se samo od kud mu to), a Win kada je instaliran nije ni postojao SP2..
Dakle, i onako je spor pod XP-om a tek jos da bacim na njega i SP2..
Kako sam vec rekao, ranije je na tom kompu internet koristen za sve i svasta jer je neki cudak radio za njim, sada kada su se korisnici promijenili, ovaj komp izlazi iskljucivo na gmail nalog i nista vise, ali izgleda da je prije toga bilo svasta..
Sad ostaje da direktor pokusa da nabavi veci ram i da racunar stavimo u dobro stanje a otvorena je i mogucnost ADSL-a tako da ce to malo potrajati dok sve ne dodje na svoje mjesto, tako da moramo raditi ovako kakav je kako sam ti vec napisao zbog brda nekih podataka u istom...
Dobro je da sam saznao o kom se virusu radi je znas i sam iz iskustva da je radoznalost ubila macku, pa ce tako i mene na kraju..
P.S. Mail sam dobio i postupicu po uputstvu cim budem mogao i naravno obavijestiti te o svemu..
Mnogo hvala
Dopuna: 30 Okt 2006 11:09
Problem rijesen...
Hvala Bobby na svemu..
Ukoliko smatras za potrebno da ovde objavim i linkove za uklanjanje ovog problema ja cu da ih postavim..
Rjesenje koje si napisao u potpunosti je OK..
Mnogo hvala na strpljenu, vremenu i svemu sto si uradio na ovom polju..
Mnogo srece ti zelim...
GZ
|
|
|
|