Isti problem imao sam pre dva dana.Instalirao sam jedan program skinut sa emula i verovatno je bio u njemu virus ili nesto slicno.Nakon dva minuta blokiro mi je nod32 i Search and Destroy i nije bilo sanse da ih ponovo instaliram.Ja nisam pitao nikoga za savet vec sam deinstalirao i instalirao novi XP i sad je sve ok.Formatirao sam samo c:/ particiju pa se nadam da se nisam zeznuo.Moj ti je savet da ponovo instaliras Windows tako ti je naj sigurnije(mada znam da te mrzi....smor je to).

Da li si pokusavao system restore? ..kada vec nemozes instalirati niti jedan av, za pocetak bi mogao odraditi download Hiren's Boot CD pa sa njim proveriti imas li kakvog malicioznog smeca na racunaru ili ne. Naravno u obzir dolaze i online av skeneri.. ovde su navedeni neki korisni linkovi

Da li si probao da instaliras najnoviju verziju Avast-a ili to radis sa nekim starijim? Ako koristis stariju verziju skini najnoviji installer sa njihovog sajta i probaj da instaliras. Ako ne pomogne vici :)

Kao prvo da vam se zahvalim na brzim odgovorima, već sam vidio da se to tako radi na ovom sajtu. Valjda zato i postoji; da ljudi brzo razmjenjuju informacije ili traže pomoć i nije badava toliko reklamiran, mislim po drugim forumima ili privatno.

Meni je najmanji problem formatirati disk i instalirati XP, već sam to uradio zilion puta, ali ostalo...restore ništa nije rješio, kao i uvijek kad zatreba, pa ga i treba zaboraviti, jer ostali programi koji prave tačku vraćanja umjesto njega isto nisu rješili problem. Maločas sam završio skeniranje Pandom, našao mi je nekih stvari, ali srećom, kada već neće da mi badava dezinfekuje, makar je dao izvještaj gdje je šta, nazive i putanje pa ću sada pokušati to odrađivati. I upravo skidam i Hiren's Boot CD, pa ću da vidim. I normalno, da vam javim šta je bilo. Red je, zar ne.

Ali svejedno, sve me kopka da sam zarib'o neki sistemski fajl prilikom jedne greške koju sam juče napravio.
Naravno da sam spasio sve dokumente, oko 20 Gb, jer je tamo sav moj trud, i jer je to najdragocenije, i jer je zbog toga i izmišljem kompjuter, to manipulisanje i obrada podataka. Sada se sada mogu i igrati, pa naučim nešto od forumaša, mada nisam naučio važnu lekciju, na vrijeme backup, klonirana particija i sl. Ima to ''sutra ću'' i svoje ime: ljenost.


_{[Ovu poruku je menjao sinapsa dana 02.11.2007. u 19:57 GMT+1]}

Ako nisi jos formatirao, mozes probati da restartujes komp u safe mode-u (pritiskas F8 dok se sistem podizhe, tj jos pre dizanja windowsa), a pre toga skini drweb cureIt (http://www.freedrweb.com/) program. On ne zahteva instalaciju,samo ga pokrenes i sa njim skeniras racunar, pa ako nadje nesto mozes obrisati.
Pozdrav

I ja imam isti problem kao sinapsa. Takođe sam koristio Avast....
Uspio sam skenirati računar jedino sa BitDefender online scannerom http://www.bitdefender.com/scan8/ie.html .
On je našao na nekoliko mjesta Bagle.STG worm (c:\windows\exefld\*.exe) i izbrisao ga, ali problem je ostao. Existenz, ne možeš ući ni u safe mod, jer je virus izmijenio neke sistemske fajlove. Komanda za vraćanje originalnih ms fajlova je "sfc /scannow" iz command prompta, ali šta vrijedi kad ih virus odmah vrati.

Mislim da je riječ o novijem malweru i da se može ukloniti samo sa nekim namjenskim cleanerom, ali vidjećemo...

Hajde onda postujte HiJackThis! logove. Pre skena preimenujte HiJackThis!.exe u Analyse.exe.

P.S. Ja sam imao slicnih problema sa korupcijom Avasta ali sam ih resio bas sa Avast-om. Mislim da sam otisao u Program Files, odatle aktivirao koruptovan Avast koji je jos bio instaliran i zakazao boot time scan na sledecem restartu. Boot time scan je prosao i skinuo neke viruse, posle cega sam usao u Windows i skinuo najnoviju tadasnju verziju Avast-a koju sam uspeo da instaliram i resio sam problem samo pomocu Avasta, ali mozda moj problem nije bio isti kao vas pa zato mislim da je najbolje da vidimo vase HJT! logove i da probamo da uklonimo eventualne malware ili viruse koje HJT! nadje.

Ok, evo HijackThis loga...

Još nisam formatirao disk, mada sam do sada mogao sve odraditi. Ali me sada kopka koliko mogu, uz vašu pomoć, da nešto uradim. Skinuo sam ovo što mi je sugerisao Existenz. To je skup zgodnih programa i alata. a mene je najviše interesovalo da li će mi raditi dva AV programa koji su tamo. McAfee i F-Prot Antivirus.


McAfe mi je skenirao sve, ali se nije dao ažurirati. možda je ipak ovo što kaže Xigma.


Drugi se ažurirao, ali je preskočio skeniranja C diska, što mi ustvari i treba. Ovdje je na slici hibernacija, ali nakon što sam je isključio opet je C preskočen.


Onda sam tragajući po Registry, koristeći prigodne programe otkrio da mi se jedan ključ uvijek iznova generiše odnekle, ja ga obrišem. ali se on po ponovljenoj pretragi (koristio Registry Booster 2) ponovo pojavi. E sad, koji postoje načini ili alatke da se otkrije iz kojeg fajla dolazi. Ili tražim previše, ipak to ne znam.
Sada ga neću brisati, besmisleno je. Nego ima li način da ga modificiram, promjenim binarni kod ili sl. da ostane ali da se više ne pojavljuje u izvornom obliku?
Evo ga:
Empty Key: HKEY_CLASSES_ROOT\TypeLib\{F310F027-lSCB-4A7F-B10D-3
The key HELPDIR under HKEY_CLASSES_ROOT\TypeLib\ {F310F027-15CB-4A7F-B10D-3A4AFB5013A5}\1.0 is empty

Binary Mind...imaš li ideju

_{[Ovu poruku je menjao sinapsa dana 04.11.2007. u 01:00 GMT+1]}

Skini HiJackThis! 1.99.1.

http://files3.majorgeeks.com/f...425/spyware/hijackthis_sfx.exe

On je za XP. Kad ga ekstrahujes, preimenuj HiJackThis.exe u Analyse.exe i pokreni scan. Ovaj log sto si postovao je skroz OK, ali zelim videti log sa ovom starijom verzijom.

Da li si probao trik sa Avast-om koji sam odao. Probaj da pokrenes ashAvast.exe iz program files-a i ako je Avast koruptovan i da zakazes boot-time scan pre dizanja Windows-a. Ako prodje skini najnoviju verziju Avast-a probaj da je instaliras kao sto sam vec rekao.


Hiren's je dobar ali cemo probati ovo da resimo bez njega.

Ona registry vrednost koju si naveo ne treba da se brise. Bezopasna je. Verovatno je umece neki od toolbar-ova koji koristis.

Trik sa Avast-om nisam probao kada sam trebao jer sam kasno doznao za njega. Naime kako sam reintalisao (pokušao) najnoviju verziju jednostavno su blokirani .exe fajlovi, pa i nema u njegovom instalacionom fajlu ashAvast.exe, ima opcija za AVASTSS za Screen Saver i radi, nešto je popravio, ali bez rezultata. Dakle, ne mogu se instalirati .exe fajlovi u nijednom AV.
Evo primjera iz Antivir i tako je bilo i sa svim ostalim:



Toliko sam čistio registry, ručno, pa i agresivnim metodama, čudi me da dosad nisam srušio sistem (Marfijev zakon), da mora da sam ga već uneredio, iako sve ostao radi normalno i da mi preostaje samo nova instalacija XP. I pamet u glavu: backup i kloniranje.
Još ću pokušati sa Fix u Hijack, maltene svega, pa šta bude. Hebi ga, znanje je znanje, a ja ga nemam, niti imam vremena za učenje o održavanju XP (onih 60%) jer imam baš 60 godina.

Proveri koji su sve servisi ukljuceni.

Probao sam sada sa Avastom boot time scan, i odradio je ali nije nista nasao....
Evo i hijackthis log sa ovom starijom verzijom:

Hajmo sad ovako. Deinstaliraj sve antiviruse koje si uspeo da instaliras, poput ovog koruptovanog Avasta. Kada i ako pita za restart prihvati. Posle toga idi u Program files i obrisi sve ostatke tih antivirusa (njihovi folderi). Ocisti registar sa onim programima sto si pre korisito. Koristi CCleaner da obrises i djubre i registar. Restaruj posle toga racunar. Posle toga u HiJackThis! stikliraj sve vrednosti gde pise (file missing) i obrisi sa fix checked. Posle svega ovoga skini najnoviji Avast i probaj da ga instaliras.

Primjetio sam kada otvorim C:\WINDOWS\system32 u explorer prozoru, fajl ntoskrnl.exe se svakih par sekundi pojavljuje i nestaje. Veličina fajla je 2,03 MB. Znam da win xp ima neku caku da "štiti" sistemske fajlove od brisanja tako da ako korisnik ili softver izmjeni neki od njih, sistem ga vrati, i virusi to često zloupotrebljavaju. Zna li neko gdje se može isključiti taj servis ili opcija?

Problem riješen ! :)

Riješen je sa programom AVG Anti-Rootkit, kojeg možete skinuti ovdje:
http://www.grisoft.com/doc/download-free-anti-rootkit/us/crp/0

Kada ga instalirate pokrenuti jednostavno "search for rootkits". Meni je našao rootkit u fajlu C:\windows\system32\drivers\srosa.sys. Srosa.sys je ustvari drajver lažnjak u kojem je integrisan ovaj malware. Nakon toga "remove selected items", restart i to je to.

Sada mogu instalirati normalno antivirus programe, spy bot i sl. Ntoskrnl.exe je stabilan, i autentičan MS, što se može provjeriti sa progijem ntoskrnl_check (http://download.bleepingcomputer.com/sUBs/Beta/ntoskrnl_check.exe).

Još jednom, bravo za AVG, i tebi sinapsa preporučujem da ga probaš pošto su simptomi isti kao kod mene.

Sledeci korak bi bio sa anti-rootkit alatima :) Preduhitrili ste me. Danas sam imao puno posla i nisam imao vremena za pisanije :)

heh imao sam i ja taj problem probaj na google ukucati bilo sto sto sadrzi "antivirus" kao rijec i samo ti izbaci iz prozoda nemozes nista instalirati ali skine AVG on je meni pomoga