Evo ceo komplet događaja:

Pre dva dana, odjednom, prilikom paljenja računara, windows XP nije hteo da se podigne (nije mogao ni safe mod), već je pokazivao grešku da su fajlovi za windows pokvareni ili obrisani.

Hteo sam da reinstaliram windows, ali sam odlučio da prvo uđem u "recovery console" (iako prvi put tu ulazim) da vidim da li odatle nekako mogu da popravim XP, tj, zamenim fajlove koji su pokvareni. Međutim, pošto sam totalni n00b, ništa nisam mogao da uradim  , i jedino što sam tu radio jeste da sam ukucavao "help" i gledao šta koja komanda znači, i shvatio da sa mojim neznanjem ovde ništa neću postići...

I tako sam izašao iz recovery console, i resetovao računar, kad ono: windows se podigne, kao da se ništa nije desilo... i pomislim "još jednom sam imao više sreće nego pameti"  ...

Ali, Avira antivirus, sveže updejtovana, je otkrila virus (TR/Agent.95112 Trojan) unutar sistemskih fajlova (Program Files/Common Files/SystemEngines/wSock.exe) i stavila ga u karantin.
Pustio sam potpuno skeniranje sa Avirom i posle sa Malvarebytsom, i ništa nisu našli.

Za pitanje "kako je taj virus dospeo na računar?" jedino logičko objašnjenje može da bude downloadovanje torrentom male igre zvane "Limbo", jer je to jedino što sam skinuo u poslednjih dve nedelje, i skenirao sam je sa antivirusom, koji je rekao da je igra čista... ali očito nije bila... 
Mada, ne bi me čudilo da je nekako drugačije ušao na računar, samo što je meni to nepoznato...

Sa obzirom da Avira i Malwarebytes ništa nisu našli, mislio sam da je problem rešen... do pre pola sata kada je Avira ponovo našla isti virus (TR/Agent.95112 Trojan) unutar sisteskih fajlova, ovaj put u System Volume Information folderu... i stavila ga u karantin.

Stvarno ne znam kako je taj virus uspeo da se "provuče" kroz skeniranje Avire i Malwarebytsa... ali je dobro što je Avira hitro reagovala kada se on "uključio" (+1 za Aviru ).

Sada se nameće pitanje: Koliko ima još "uspavanih" virusa unutar sistemskih datoteka?
ili još stravičnije pitanje koje mi je palo na pamet: Da li je u računaru virus koji aktivno dvlači nove viruse bez znanja Avire ili Malwarebytsa??? 

Ovde vi upadate: Želim da, ukoliko je moguće, 100% proverim da li su moje sumnje opravdane, odnosno da postoje još virusa unutar sistemskih datoteka... i da ih eliminišem.

Šta mi treba i šta da radim? - a da nije reinstalacija Windowsa... pre mesec dana sam to radio...

Kompjuter se ponaša normalno, nijedan program ne šljaka, regedit i task menadžer nisu blokirani... ali to ne znači da nema virusa, ne? 

Ти вируси у System Volume Information нек те не брину ... то нису вируси него неки ђаво везан за System Restore који Авира конта као инфекцију ...

Увек можеш ово ...

These files are Part of system restore.
You need to clean them out.First create a new restore point.
Then go to disk clean up/more options/system restore/clean up
this will delete all but the last restore point which should be virus free but you can run the checker again to be sure.
peter

Možda, samo mi je čudno što su nazivi za viruse i u System Volume Information i u Common Files isti. 

Inače, uradio sam ovo sa brisanjem restore pointa...

Ово је лажна узбуна ... оно прво можда и није било. Иначе годинама сам имао ИксПе и Авиру на њему и мало мало је проналазила те глупости у СВИ ... и никад ништа није закуцало, ил штуцало ил било шта ...  радило је као лептир.

Опусти се ... 

Sa virusima nikad ne možeš da budeš sigruan...   

Mada, može biti da sam paranoičan... 

Sada sam upalio racunar, i odjednom se sam resetuje kada provede duze od minut unutar usera. I tako svaki put.

Ovo sam pokrenuo iz Safe mod-a sa Networking... 

Pozdrav

Preuzmi Program DDS http://download.bleepingcomputer.com/sUBs/dds.scr
                 
Dvoklikom pokreni DDS
Sacekaj malo, izbacice ti dva loga
Kopiraj mi log DDS.txt (prikaci izvestaj uz poruku)

Malopre sam završio sa popravkom (ne reinstalacijom) Windowsa preko bootabilnog CD-a... sada se ne resetuje posle jednog minuta, no kreće se znatno sporije. 

Preuzmi ComboFix sa sledece adrese na Desktop:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Iskljuci AV

Pokreni Combofix iskljucivo sa desktopa (I Agree)
Na svaki popup prozor klikci Yes \ Ok

Kad zavrsi skeniranje izbacice ti log na desktop

Kopiraj mi log

uradio

Zmaje druze, sad si se prosuo kao nikad do sada!

To u System Volume Information Folderu itekako JESU virusi koje je sam Windows "bekapovao" u svoj System Volume Information folder jer je mislio da su validni sistemski fajlovi!

Upravo njihovo prisustvo u ovom folderu objasnjava sto se stalno "vracaju" nazad!

Sugestija: Iskljuci system restore pa onda uradi full system skan, kad zavrsi i ukloni sve (ako je sta) nasao - onda ponovo ukljuci nazad system restore.

Inace - mislim da ti se virus krije pod SVCHOST procesom ali iz loga koji si okacio nisam 100% siguran.
(Mada - ako jeste virus u Svchostu - to bi i Avira trebala da vidi???)

Ja koristim Total Commander sa dodanim Task Manager Plugin-om koji omogucava Total Commanderu da iscita i prikaze i sadrzaj RAM memorije (!) u kojoj ako nadjem proces kao npr. SVCHOST ali koji NEMA informaciju o verziji fajla - onda vidim lokaciju fajla na hard disku gde se taj proces nalazi, pa onda taj proces jednostavno "ubijem" iz RAM memorije, i onda potom ODMAH i sporan fajl prebrisen sa Shift+Delete Total Commanderom.

To ponovim onoliko puta koliko spornih (inficiranih) fajlova u RAM memoriji vidim da imam, pa onda prepustin Antivirusnom programu da preceslja sistem posle mene

Uspesno je, ali trazi spretnost sa Total Commanderom

Da li te interesuje da ti dam linkove za Task Manager Plugin za Total Commander, ili neces da slusas savet od korisnika Win98-ce?

Deinstaliraj Combofix

Start> run > kucaj

Combofix /Uninstall

enter.

Cisto je sve, imas jos problema?

и ... на крају крајева ... јесу ли вируси те пиздарије у Систем Волуме Инфо ... или нису?

Bulma,jel se tebi dize na taj svchost i "gledanje" memorije preko TC?

Zmaj, jeste.


Kolega, ovo treba skloniti..

"SysEng"="wscript.exe" jer nema  vise skripte koju treba da izvrsava. Cisto da mu ne iskacu greske.

Mislis iz registra?

System volume information folder je sistemski folder kojem samo sistem ima pristup (ali i ti mozes da zaviris u njega koristeci obican My Computer ako uradis preuzimanje vlasnistva nad doticnim folderom /"Take Ovnership"/) a u njemu su sistemski fajlovi bekapovani od strane Windowsa koji se koriste kada korisnik izabere "Last Known Good Configuration" iz startnog menija ako Windows dodje u situaciju da ne moze da se upali ali takodje System Volume Information folder ume biti i pravo steciste virusa koje sam sistem bekapuje misleci da predstavljaju validne sistemske procese!
Ukratko - ako ti je Avira pistala u trenutku dok je skenirala System Volume Information Folder onda JESI imao viruse u njemu.

@Diarno - da - "lozim" se na TC, imas nesto protiv?

Poz

Nema, sve funkcioniše kao podmazano sada.
I kada sam gledao inficirane fajlove koje je brisao, video sam da je među njima bio i "Limbo v1.05", što mi je potvrdilo sumnje da je sve ovo odatle poteklo.

Tako da, ivicapas, puno ti hvala na pomoći!!! 

Zmaju
da, i pre su bili virusi unutar System Volume Information i prouzrokavali probleme.
Može biti da su unutar S.V.I. virusi bili izbrisani kada sam obrisao resotre pointove juče.  Pa se valjda neće vraćati...
Da budem iskren, nemam pojma o tim stvarima. 

Bulma
Hvala na objašnjenjima kako ti to radiš na total commanderu na Win98, samo je šteta što je to kod mene manje-više neupotrebljivo.

Što se tiče, sa obzirom da je sve gotovo, neka bude lock.