|
Poslao: 08 Avg 2010 23:04
|
offline
- Simke
- Mod u pemziji
- Pridružio: 21 Jul 2007
- Poruke: 9424
- Gde živiš: Kako kad
|
Ovako. Sve je pocelo juce. Imao sam neki PDF fajl koji Foxit nije mogao da otvori kako treba. Onda resim da instaliram Adobe Reader. Prekopam po diskovima i nadjem neki Digital disk od prosle godine i na njemu Reader 9.2. Instaliram ga i ispostavi se da ni on ne moze nista bolje da otvori taj fajl. Ali ... dok sam pokusavao sve to, oko otvaranja, ukapiram da mi nesto "sisa" net. Protok pun. Konekcija sa moje strane Sistem, a sa druge samo IP adresa. Pogledam na IP Database i nadjem da je to Akamai. Kakav bre web host? Odakle to? Ok, mozda Reader pokusava da se update-je. Ekspresno ga deinstaliram. Ali nista protok je i dalje tu. Blokiranje konekcije nista ne pomaze, jer se odmah, stvara nova i tako u krug. Restart racunara isto tako nista ne pomaze. Iznova i iznova. Na kraju popizdim i resim da ostavim da vidim dokle ce ici bas. Islo je do nekih 30-tak MB i tu je stalo i sve se smirilio. Ok, super. Ali ne dugo posle toga iskace Avira C:/ Windows/Microsft/Update/msconf.exe je zarazen. Upozorenje izlazi na svakih 10-tak sekundi. Ne postoji nikakava akcija koja to moze da resi. Samo upozorenje.
Posle restarta podize se Opera ( tri primerka ) i odmah puca. Vidim unos u startup kartici, ali ne mogu da ga eliminise, pojavljuje se ponovo. Ok, resim da pustim DR.Web-a danas, sto sam i uradio i on kaze: "Ma kakvi, tebi je masina cista 100%. Nema nikakvih problema" ( eee, a pola dana je skenirao ). Avira ponovo iskace i iskace i iskace, poludeh vise ( sada su mi jasni klinci sto deinstaliraju AV kada se zaraze ). Ona me samo obavestava da mi je racunar zarazen, ali ne nudi nista sto bi mogla da uradi po tom pitanju ( i jeste mi neki AV  ).
Evo sada ono sto sto treba za temu:
DDS (Ver_10-03-17.01) - NTFSx86
Run by Elim Garak at 20:52:29,03 on ned 08.08.2010
Internet Explorer: 8.0.7600.16385
Microsoft Windows 7 Ultimate 6.1.7600.0.1250.381.1033.18.2046.1306 [GMT 2:00]
============== Running Processes ===============
C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k RPCSS
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Windows\system32\conhost.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\MCShield\MCShieldRTM.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\MCShield\MCShieldTray.exe
C:\Program Files\MagicDisc\MagicDisc.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Windows\system32\taskhost.exe
C:\Program Files\Opera\opera.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Users\Elim Garak\Desktop\dds.com
C:\Windows\system32\conhost.exe
C:\Windows\system32\wbem\wmiprvse.exe
============== Pseudo HJT Report ===============
uInternet Settings,ProxyOverride = *.local
BHO: AutorunsDisabled - No File
uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun
uRun: [MCShield] c:\program files\mcshield\MCShieldRTM.exe
uRun: [MCShieldTray] c:\program files\mcshield\MCShieldTray.exe
uRun: [{344543M6-I8MB-1UD0-65OY-5K28SFDNDWXh}] c:\windows\microsoft\windows\update\msconf.exe
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [COMODO Internet Security] "c:\program files\comodo\comodo internet security\cfp.exe" -h
mRun: [{344543M6-I8MB-1UD0-65OY-5K28SlDNDWX4}] c:\windows\microsoft\windows\update\msconf.exe
uExplorerRun: [Policies] c:\windows\microsoft\windows\update\msconf.exe
mExplorerRun: [Policies] c:\windows\microsoft\windows\update\msconf.exe
StartupFolder: c:\users\elimga~1\appdata\roaming\micros~1\windows\startm~1\programs\startup\magicd~1.lnk - c:\program files\magicdisc\MagicDisc.exe
mPolicies-system: ConsentPromptBehaviorAdmin = 0 (0x0)
mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)
mPolicies-system: EnableLUA = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
mPolicies-system: PromptOnSecureDesktop = 0 (0x0)
IE: E&xport to Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
TCP: {0C30D0E3-DC69-4008-8F04-6CF424ED5C15} = 156.154.70.22,156.154.71.22
TCP: {FEBAB2D3-1871-421D-96F4-8A460BA53740} = 62.240.12.1,62.240.12.2
AppInit_DLLs: c:\windows\system32\guard32.dll
mASetup: {XWXKED34-5K64-627T-LU72-OV4VOUXL0421} - c:\windows\microsoft\windows\update\msconf.exe
================= FIREFOX ===================
FF - ProfilePath - c:\users\elimga~1\appdata\roaming\mozilla\firefox\profiles\doiatkm5.default\
FF - prefs.js: browser.startup.homepage -
FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\k-lite codec pack\real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\k-lite codec pack\real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npwachk.dll
FF - plugin: c:\program files\nvidia corporation\3d vision\npnv3dv.dll
FF - plugin: c:\program files\opera\program\plugins\nppl3260.dll
FF - plugin: c:\program files\opera\program\plugins\nprpjplug.dll
---- FIREFOX POLICIES ----
c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
============= SERVICES / DRIVERS ===============
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [2010-3-23 218560]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2010-3-3 30032]
R1 sensorsview;sensorsview;c:\program files\sensorsviewpro41\drv\sensorsview32.sys [2008-7-26 14416]
R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\avira\antivir desktop\sched.exe [2010-3-28 135336]
R2 AntiVirService;Avira AntiVir Guard;c:\program files\avira\antivir desktop\avguard.exe [2010-3-28 267432]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2010-3-28 60936]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\drivers\Rt86win7.sys [2010-3-4 277536]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\drivers\SkyNET.sys [2010-5-24 627288]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888]
S3 cpudrv;cpudrv;c:\program files\systemrequirementslab\cpudrv.sys [2009-12-18 11336]
S3 tap0801co;TAP-Win32 Adapter V8 (coLinux);c:\windows\system32\drivers\tap0801co.sys [2010-4-9 25856]
S4 SensorsVService;SensorsVService;c:\program files\sensorsviewpro41\svservice.exe [2010-6-17 923648]
S4 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\nvidia corporation\3d vision\nvSCPAPISvr.exe [2010-4-3 240232]
=============== Created Last 30 ================
2010-08-07 23:55:02 0 d-----w- c:\windows\microsoft
2010-08-07 23:53:18 0 d-----w- c:\programdata\ashampoo
2010-08-07 21:41:01 0 d-----w- c:\programdata\Adobe
2010-08-06 19:21:40 0 d-----w- c:\program files\Ashampoo
2010-08-06 18:49:36 65536 --sha-w- c:\users\elim garak\NTUSER.DAT{5191fc25-a18b-11df-ad2b-001d7dd0a409}.TM.blf
2010-08-06 18:49:36 524288 --sha-w- c:\users\elim garak\NTUSER.DAT{5191fc25-a18b-11df-ad2b-001d7dd0a409}.TMContainer00000000000000000002.regtrans-ms
2010-08-06 18:49:36 524288 --sha-w- c:\users\elim garak\NTUSER.DAT{5191fc25-a18b-11df-ad2b-001d7dd0a409}.TMContainer00000000000000000001.regtrans-ms
2010-08-06 15:45:37 0 d-----w- c:\users\elim garak\DoctorWeb
2010-08-05 17:07:47 0 d-----w- c:\programdata\Blizzard Entertainment
2010-08-05 17:07:47 0 d-----w- c:\program files\common files\Blizzard Entertainment
2010-08-04 00:29:00 0 d-----w- c:\users\elimga~1\appdata\roaming\STV Software
2010-08-04 00:28:55 0 d-----w- c:\program files\SensorsViewPro41
2010-07-29 22:18:20 0 d-----w- c:\windows\Profiles
2010-07-26 22:38:39 0 d-----w- c:\programdata\ALLPlayer
2010-07-22 08:53:45 12856 ----a-w- c:\windows\system32\drivers\KBFILTER.SYS
2010-07-22 08:53:43 0 d-----w- c:\program files\Media Key
2010-07-22 08:53:37 306688 ----a-w- c:\windows\IsUninst.exe
2010-07-19 21:28:02 14 ----a-w- c:\windows\levels.dat
2010-07-18 19:41:20 49 ----a-w- c:\windows\Commando.dat
2010-07-10 23:47:26 0 d-----w- c:\program files\Haali
==================== Find3M ====================
2010-07-01 14:21:45 319456 ----a-w- c:\windows\DIFxAPI.dll
2010-07-01 14:21:38 315392 ----a-w- c:\windows\HideWin.exe
2010-05-27 08:00:00 108032 ----a-w- c:\windows\system32\ff_vfw.dll
2010-05-26 20:58:22 3315712 ----a-w- c:\windows\system32\x264vfw.dll
2009-07-14 04:56:42 31548 ----a-w- c:\windows\inf\perflib\0409\perfd.dat
2009-07-14 04:56:42 31548 ----a-w- c:\windows\inf\perflib\0409\perfc.dat
2009-07-14 04:56:42 291294 ----a-w- c:\windows\inf\perflib\0409\perfi.dat
2009-07-14 04:56:42 291294 ----a-w- c:\windows\inf\perflib\0409\perfh.dat
2009-07-14 04:41:57 174 --sha-w- c:\program files\desktop.ini
2009-07-14 00:34:40 291294 ----a-w- c:\windows\inf\perflib\0000\perfi.dat
2009-07-14 00:34:40 291294 ----a-w- c:\windows\inf\perflib\0000\perfh.dat
2009-07-14 00:34:38 31548 ----a-w- c:\windows\inf\perflib\0000\perfd.dat
2009-07-14 00:34:38 31548 ----a-w- c:\windows\inf\perflib\0000\perfc.dat
2009-06-10 21:26:35 9633792 --sha-r- c:\windows\fonts\StaticCache.dat
2009-07-14 01:14:45 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe
============= FINISH: 20:53:15,41 ===============
https://www.mycity.rs/must-login.png
I Gmer:
https://www.mycity.rs/must-login.png
https://www.mycity.rs/must-login.png
https://www.mycity.rs/must-login.png
Eeee, sada, zasto pisem sa Meka, odnosno zasto sa Meka otvaram temu u ambulanti? Zbog Gmera. Stvar je isla ovako. Prvi log je napravio laganica. Drugi je nesto duze radio, ali je na kraju zabola masina. Znaci oba jezgra rade 100%, a memorija je dosla do 98% zauzeca. Masina je bila totalno neupotrebljiva. Ali, ja sam vrlo strpljiv covek, jelte i pustim ga tako da vidim dokle ce. Nista, 45 min je bio zakucan totalno i onda sam morao prinudno da ga restartujem. Onda uradim treci log, ali nedugo zatim ponovo je zabola masina. Isti simptom. Radi dva minuta i najednom procesor skace na 100% i nesto "puni" ram, osim misa koji se jedva mice, ostalo nista ne moze da se pokrene. Ponovo restart masine, na prazno bez pokretanja icega ( osim Avire koja iskace naravno i Opere po startu win-a, a koliko kapiram posto je ona default browser, nju pokrece ono sranje ), sve radi normalno jedno minut ili dva i ponovo pocinje zabadanje.
Kao sto rekoh, to je pocelo posle drugog loga Gmera. Ovo nije prvi put da mi se desilo da Gmer napravi sranje. Prosli put je reinstalacija morala da padne, ovaj put nadam se da nece  .
Savet. Ako ikako mozete, izbacite Gmer i uvedite neku alternativu. Ovo djubre meni vise na masinu nece doci.
Koliko je ovo sranje kojim je sistem zarazen tesko za ocistiti?
|
|
|
|
|
|
|
|
|
Poslao: 09 Avg 2010 00:00
|
offline
- Simke
- Mod u pemziji
- Pridružio: 21 Jul 2007
- Poruke: 9424
- Gde živiš: Kako kad
|
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Folder "c:\windows\microsoft" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Evo  .
|
|
|
|
|
|
|
Poslao: 09 Avg 2010 00:15
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
Ako može upload C:\avenger\backup.zip bilo bi fino (ako nije preterano veliko).
http://www.mycity.rs/ambulanta-upload.php
Sada je bolje stanje?
Mislim da je ostalo samo da se počisti po registru, no sad nemam vremena za to. Sutra poslepodne ću detaljno sve da pregledam i privešćemo ovo kraju.
|
|
|
|
|
|
|
Poslao: 09 Avg 2010 00:27
|
offline
- Simke
- Mod u pemziji
- Pridružio: 21 Jul 2007
- Poruke: 9424
- Gde živiš: Kako kad
|
Nije veliki, oko 300KB. Podigao sam ga.
Za sada je bolje. Ono zakivanje procesora je izazivala Avira, cini mi se. Jer posle restarta Avengera je sve ok. A i dok sam njega raspakovao procesor je vec skoro dosao do 100%, sreca te pukao restart posle toga .
Sto se tice daljnjeg ciscenja, ok, nije problem, po vremenu kako ko ima, posto su oni logovi bas kratki   ... A i nije to toliko ni bitno, bitno mi je da AV ne iskace ( a iskakao je non stop, bukvalno ), a da pritom ne moze nista da uradi.
Ono sto mi je, ajd u najmanju ruku cudno, jeste da jedan AV koji pretenduje da bude ozbiljan ne moze da primeni nikakvu akciju, a jedan AV koji vazi za ponajbolji on-demand skener nema pojmaaa o cemu se radi  .
Jedino ako je nesto novo, ali bas novo. Sto je ne moguce jer ga je Avira detektovala, jelte, sto opet znaci da zna o cemu se radi, ali ne zna kako da ga se resi. Sto je opet smesno totalno. Cemu onda AV? Da me obavesti da imam zarazu na masini? To bi bilo isto kao i kada bih otisao kod doktora zato sto sam bolestan i on mi rekao "Eeee, znas sta? Ti si bolestan". Mis'im ...
Kapiram kada su nove zaraze u pitanju. To ok, ne znas da nesto postoji i to je to. Ali ako imas nesto u bazi i znas sta je to, a ne mozes da ga se resisi, onda cemu tvoja funkcija? Sta je ona tu savetnik? Smesno ...
|
|
|
|
|
|
|
|
|
|
Preuzmi 
