Paranoja ili ???

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pozdrav za sve!
Da li sam paranoican ili se nesto desava sa mojim racunarom?!
Nod je prilikom pronalska infekcija do sada uspijevao da obrise odredjen broj Trojanaca,medjutim,desavaju mi se cudne stvari,konekcija je oslabila i upload i download,cesto ne mogu da ugasim racunar ni na gasenje ni na restart,a i neki programi cesto jednostavno zablokiraju?
Takodjer imam osjecaj da mi je neko u racunaru i prati ono sto ja radim,ima puno razloga koji su me naveli na ovu "paranoju",ali da ih ne spominjem sada!

Evo log Hijackthis-a i molim za pomoc,ako nesto nije uredu,posto nisam bas dobar u prepoznavanju mogucih uljeza u file-ovima:

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pozdrav...


Preuzmi Deljob.
Dvoklikom pokreni deljob.exe
Log (logit.txt) će se otvoriti u Notepad-u (file će se nalaziti na Desktop-u)
Iskopiraj sadržaj tog loga u temu na forumu


-------------------------------------------------------------------------------------


Skini ComboFix sa jedne od sledecih adresa i sačuvaj ga na desktop-u:
http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Startuj ga i ne diraj prozor programa dok skenira.
Sledi uputstva na ekranu. Kada zavrsi pojavice se log koji ces nam ovde iskopirati.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Hvala na brzom javljanju!

Evo ovo prvo sto ste trazili:

File(s) moved to C:\deljob

A5F15698918ACC20.job
--------------------------------------------------------
--------------------------------------------------------

Dopuna: 31 Okt 2007 14:27

Sto se tice ovog Combofix-a,da li moze ostetiti sistem,jer nasao sam na internetu ovakvo pojasnjenje:

Citat:It has recently been discovered, that there is a rootkit in the wild that can cause Combofix to start wiping files from hard drives. Therefore, Combofix has been withdrawn and is not safe to use, until further notice.

I urge anyone who has a copy of Combofix to delete it from their system immediately.


Upozorite me ako bi neka od aktivnosti koje mi preporucujete imala i najmanju mogucnost da osteti sistem,molim vas jer imam nekih dokumenata koji mi trebaju a jos ih nisam uspio prebaciti!!!

Molim vas!!! Unaprijed hvala!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

U pitanju je stari problem, odavno rešen.

Budi siguran da je svaki program na koji te ovde uputimo legitiman i proveren, stoga slobodno isprati uputstvo za ComboFix.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

OK Hvala jos jednom unaprijed!

Uz nekih par poteskoca,nejasnih ni meni,uspio sam,evo log ComboFix-a:

ComboFix 07-10-29.1** - PB 2007-10-31 19:33:55.1 - NTFSx86
**************************************************************************
.
Completion time: 2007-10-31 19:37:40
.
--- E O F ---

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Rekoh li ja da se ComboFix sačuva na desktop?
Koje su to poteškoće bile u pitanju?


-------------------------------------------------------------------------------------


Upload-uj mi file C:\WINDOWS\UnGins.exe
preko sledećeg linka: http://www.mycity.rs/ambulanta-upload.php


-------------------------------------------------------------------------------------


Potrebno je da privremeno isključiš AdWatch .


Pokrenite AdAware SE.
Kliknite na AdWatch.
Kliknite na Tools and Preferences.
Destiklirajte Active i Automatic.
Nemojte zaboraviti da ponovo ukljucite ove opcije kada zavrsimo ciscenje.



Pokreni HijackThis, skeniraj i čekiraj sledeće linije:

O2 - BHO: (no name) - {A57EE9D7-0534-496A-B2B0-E95866D0C1B0} - (no file)
O4 - HKLM\..\Run: [meal software barb ooze] C:\Documents and Settings\All Users\Application Data\itch cast meal software\activereadme.exe
O4 - HKCU\..\Run: [math corn] C:\DOCUME~1\PB\APPLIC~1\ATOMBI~1\Ace face.exe

a zatim klikni na Fix Checked.


-------------------------------------------------------------------------------------


Ukljucivanje prikaza skrivenih fajlova i foldera:
Otvorite My Computer.
Odaberite Tools meni i kliknite Folder Options.
Odaberite View Tab.
U grupi Hidden files and folders stiklirajte Show hidden files and folders.
Destiklirajte Hide protected operating system files (recommended).
Kliknite Yes da bi ste potvrdili izbor.
Kliknite OK.


Pronađi i obriši sledeće foldere:

C:\Program Files\atom bike mode
C:\Documents and Settings\PB\Application Data\atom bike mode
C:\Documents and Settings\All Users\Application Data\Cast ping base frag
C:\Documents and Settings\All Users\Application Data\itch cast meal software


-------------------------------------------------------------------------------------


1) Preuzmi program SmitfraudFix sa ovog linka.

2.) Extract-uj program na desktop. (Takodje na ovaj način pripremi i program Hijack This koje će se kasnije koristiti)

3.) Restartuj računar i podigni sistem u Safe Mode-u. [ Safe Mode info link

4.) Pronadji na desktop-u folder gde si raspakovao SmitfraudFix program i dvoklikom pokreni fajl SmitfraudFix.cmd.
Kada se alat za uklanjanje prvi put startuje pokazaće ti se ekran za odobrenje. Jednostavno pretisni bilo koje dugme na tastaturi da bi prešao na sledeći nivo.

5.)



6.) Program će početi sa čišćenjem kompjutera. Posle završenog čišćenja SmitfraudFix-om
pokrenuće ti se Windows-ov program Disk Cleanup.




Nakon sto SmitFraudFix zavrsi svoj posao, postavi nam ovde log koji se nalazi na C:\rapport.txt i svez HJT log.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Na zalost nisi mi rekao da sacuvam Combofix log na desktopu,jedino da ponovo skeniram pa da ga snimim na desktop?!

Jednostavno niz nekih propratnih pojava na ekranu,blokiranje kursora misa treperenje ekrana kompletnog povremeno,a i javio mi je da je msn diskonektovan,pa sam malo poslije imao problem sa konekcijom opet,dakle nemam pojma sta je uzrok,skeniranje ili to nesto ili neko u mom racunaru!!!


-------------------------------------------------------------------------------------


Upload-ovao sam ti file C:\WINDOWS\UnGins ikona je kao korpa za smece,al inisam nasao direktno UnGins.exe

-------------------------------------------------------------------------------------

Javi je li to to?

A ja idem po uputama ovo dalje

Hvala

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nije trebalo sačuvati log na desktopu, već program combofix.
No, sada nije bitno...

File si uploadovao, sada odradi i ostalo.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

eh,mala poteskoca ili neznanje:

sve sam odradio do safe moda

Kad idem F8 na pocetku
ne otvori m ise onako kako bi trebalo vec ovako:

Plavi ekran i pise:
Boot menu

== select a boot first device ==

> hard disc
> cdrom

kad kliknem na opciju > hard disk

dobijem opcije

- CH2M : STXXXXXXXAS (ovo X su neki brojevi razliciti)

- bootable add in cards

Post onemam pojma sta da izaberem kliknem na ovo - CHM2M

nako ntoga se podigne sistem kao i obicno bez safe moda


Moze l ipojasnjenje kako da dodjem onda do onog crnog prozora safe moda,to mi nikako ne daje kao opciju

---------------------------------------------------------

Jos jedna napomena:

kad je podigao sistem,posto je AD wach desactive

javio mi je tri upozorenja

pokusaj promjene registri vrijednosti za msn,pa ima svasta nesto
i ova dva jos sto si ti pomenuo cini mi se ovaj itch cast meal software i jos jedan

kliknuo sam block i evo ponovo sam desactivirao AD wach

Dopuna: 31 Okt 2007 21:44

napomena evo postavicu i Combofix na desktop da je spreman

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ovako ćemo...

Prvo opet ukloni one tri linije u HijackThis-u (ako budu vidljive) i kada ti Ad-Watch idući put prijavi promene, ti ih prihvati. Znači, nemoj blokirati već dozvoli.

Što se tiče programa SmitFraudFix, zasada ga možeš pokrenuti iz normalnog moda i izabrati opciju 1 (znači, ne 2 već 1).
Kada završi skeniranje, otvoriće ti logfile C:\rapport.txt koga trebaš ovde iskopirati.