Provera sta je u pitanju

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Evo odradio sam sve.

Nece da da iz Task Menadzera kada mu ukucam echo %PATH% nista sem toga da ne moze da ga nadje putem ovog obavestenja:



Vratio sam sistem na stanje iz 21.01.2009. ko je kofigurisao tu tacku vracanje stvarno ne znam. Ja sam imao tacku od nesto ranije ali nje nema.

Na kraju ubacio sam instalacioni CD ukucao komandu i preskenirao Windows. Restartovao sistem, da dekstopu opet nista, samo su se promenile ikonice koje su bile izmenje pomocu jednog programa da nalikuju Vistinim ikonicama (cinimi se da se zove program Vista Mizer), sada su sve ikonice, prozori i okruzenje u Windows XP stilu.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Daje li bilo sta kada ukucas samo PATH bez iceg drugog?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uloguj se preko Facebooka da bi skinuo fajl:

Ne daje nazalost nista osim onog obestenja da ne moze pronaci PATH i da ga potrazim preko "Starta".

Dopuna: 24 Jan 2009 12:48

Ne znam koliko je ovo bitno, preskenirao sam sistem sada sa programom
Advanced SystemCare 3, i dao mi je ovaj log (sto do sada nije nikada radio), i uputio me je na Nod online skeniranje sistema, ali on trazi da se skeniranje izvrsi u IE-u, a u IE-u mi samo otvori pocetnu stranu a drugu adresu nece da prihvati.

Onda mi je dao ovu stranicu kao alternativu, da iskopiram log.
[Link mogu videti samo ulogovani korisnici]

Evo ispod okacenog loga, mozda nesto pomogne.
[Link mogu videti samo ulogovani korisnici]

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Tebi izgleda fali gomila sistemskih fajlova.

Hajmo da probamo sledece:

Preuzmi Dr.Web CureIt (~12 MB).
Restartuj kompjuter u Safe Mode (uputstvo za Safe Mode)

Dvoklikom pokreni launch.exe, nakon čega će se pojaviti uvodni prozor - klikni Start

Pojaviće se obaveštenje o započinjanju uvodnog skeniranja - klikni OK

Sačekaj nekoliko minuta da Dr.Web CureIt izvrši Express Scan; ukoliko malware bude pronađen, klikom na taster Yes to All u prozoru koji se pojavi dozvoli programu da izvrši dezinfekciju

Klikni Options > Change settings F9; u prozoru koji će se otvoriti, dečekiraj opciju Heuristic Analysis a zatim klikni OK

U glavnom prozoru obeleži opciju Complete scan a zatim klikni i Dr.Web CureIt će započeti skeniranje

Ukoliko malware bude pronađen, klikom na taster Yes to All u prozoru koji se pojavi dozvoli programu da izvrši dezinfekciju

Kada skeniranje bude završeno, klikni Select all taster (ukoliko je dostupan), a zatim klikni Cure i,
u meniju koji se otvori, klikni Move incurable:


Po završetku procesa, klikni File > Save report list i sačuvaj log na Desktopu

Iskopiraj sadržaj Dr.Web CureIt loga u temu na forumu.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nije mi dalo komadnu Select all, a ni Cure, tako da nisam ni odradio Move incurable. Completno skeniranje je trajalo preko 4 sata.

data002\32788R22FWJFW\psexec.cfexe C:\Documents and Settings\Administrator\Desktop\ComboFix.exe\data002 Program.PsExec.171
data002 C:\Documents and Settings\Administrator\Desktop\ComboFix.exe Archive contains infected objects
ComboFix.exe C:\Documents and Settings\Administrator\Desktop Archive contains infected objects Moved.
nitro_pdf_professional5.msi\stream010 C:\Documents and Settings\Administrator\Local Settings\Application Data\Downloaded Installations\{CCD2B5D7-6227-4596-A7C0-D3079 Tool.ProcessKill.12
nitro_pdf_professional5.msi C:\Documents and Settings\Administrator\Local Settings\Application Data\Downloaded Installations\{CCD2B5D7-6227-4596-A7C0-D3079 Archive contains infected objects Moved.
data002\32788R22FWJFW\psexec.cfexe C:\Documents and Settings\Administrator\Local Settings\Application Data\Opera\Opera\profile\cache4\opr0GHZ4\data002 Program.PsExec.171
data002 C:\Documents and Settings\Administrator\Local Settings\Application Data\Opera\Opera\profile\cache4\opr0GHZ4 Archive contains infected objects
opr0GHZ4 C:\Documents and Settings\Administrator\Local Settings\Application Data\Opera\Opera\profile\cache4 Archive contains infected objects Moved.
A0013076.dll C:\System Volume Information\_restore{ECF4826E-397E-4F80-8961-E484A4BC4C24}\RP84 Trojan.KeyLogger.2669 Deleted.
A0019473.msi\stream010 C:\System Volume Information\_restore{ECF4826E-397E-4F80-8961-E484A4BC4C24}\RP89\A0019473.msi Tool.ProcessKill.12
A0019473.msi C:\System Volume Information\_restore{ECF4826E-397E-4F80-8961-E484A4BC4C24}\RP89 Archive contains infected objects Moved.
3f26813.msi\stream002 C:\WINDOWS\Installer\3f26813.msi Tool.ProcessKill.12
3f26813.msi C:\WINDOWS\Installer Archive contains infected objects Moved.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

U sustini nije nadjeno nista posebno...

Moracu da te zamolim da sacekas.
Probacu sutra da napisem program koji ce nam pomoci da resimo ovde neke stvari.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ok tu sam, naravno da cu sacekati.

Imam nekih novosti sta je ovaj ustvari radio. Kaze da je instalirao neki program (koji program i sa koje web stranice nije mi pomenio). Prilikom instalacije programa se oglasio AV program i po njegovim recima stvaio je sve u karantin, i posle toga deinstalirao AV program, zasto je to radio nemam pojma, a izgleda da ne zna ni on . Kasnije je opet skinuo neki anti malware program i preskenirao sistem (ni taj program ne zna kako se zove). Prilikom sledeceg restarta se desilo ovo stanje sistema koje sam ja zatekao.

Kaze da iz Windowsa sigurno nije nista dirao niti brisao, osim sto je deinstalirao AV program i program sa kojim je kasnije preskenirao sistem.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Hajde skini sledece programce:
[Link mogu videti samo ulogovani korisnici]

Pokreni ga i klikni na dugme Scan.
Nakon skeniranja iskopiraj log ovde, da vidimo sta ima.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

================= Boot.ini =================
[boot loader]
timeout=3
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /TUTag=NO06A4 /Kernel=TUKernel.exe
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional (TuneUp Backup)" /noexecute=optin /fastdetect /TUTag=NO06A4-BAK
================= Process =================
[4] system
[796] c:\windows\system32\smss.exe
[960] c:\windows\system32\csrss.exe
[1016] c:\windows\system32\winlogon.exe
[1076] c:\windows\system32\services.exe
[1088] c:\windows\system32\lsass.exe
[1280] c:\windows\system32\svchost.exe
[1372] c:\windows\system32\svchost.exe
[1476] c:\windows\system32\svchost.exe
[1628] c:\windows\system32\svchost.exe
[1844] c:\windows\system32\svchost.exe
[284] c:\windows\system32\spoolsv.exe
[824] c:\program files\raxco\perfectdisk2008\pd91agent.exe
[880] c:\windows\system32\hpzipm12.exe
[920] c:\program files\sunbelt software\counterspy\sbamsvc.exe
[1000] c:\program files\alcohol soft\alcohol 120\starwind\starwindservice.exe
[1120] c:\windows\system32\svchost.exe
[1092] c:\windows\system32\tuprogst.exe
[1560] c:\windows\system32\alg.exe
[1528] c:\windows\system32\taskmgr.exe
[2684] c:\windows\system32\ctfmon.exe
[3356] c:\program files\rocketdock\rocketdock.exe
[1344] c:\documents and settings\administrator\local settings\application data\google\update\googleupdate.exe
[2412] c:\program files\opera\opera.exe
[2896] c:\documents and settings\administrator\desktop\lil_tool.exe
================= Hidden =================
[4] <--- HIDDEN
================= %PATH% =================
C:\WINDOWS\system32
C:\WINDOWS
C:\WINDOWS\system32\wbem
C:\Program Files\Intel\DMIX
C:\Program Files\Common Files\Adobe\AGL
================= Explorer - File =================
================= Explorer - Registry=================
PowerdownAfterShutdown=1
ReportBootOk=1
Shell=Explorer.exe
ShutdownWithoutLogon=0
System=
Userinit=C:\WINDOWS\system32\userinit.exe,
VmApplet=rundll32 shell32,Control_RunDLL "sysdm.cpl"
allocatedasd=0
cachedlogonscount=10
scremoveoption=0
UIHost=LogonUI.EXE
Background=0 0 0
DebugServerCommand=no
WinStationsDisabled=0
AltDefaultUserName=Administrator
AltDefaultDomainName=PIVKV-COMP
ScreenSaverGracePeriod=5
DefaultUserName=Administrator
DefaultPassword=
DefaultDomainName=PIVKV-COMP
AutoAdminLogon=1
ForceAutoLogon=1
DontDisplayLastUserName=0
IgnoreShiftOverride=0
LegalNoticeCaption=
LegalNoticeText=
AllocateFloppies=0
AllocateCDRoms=0

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Fali ti skroz explorer.exe
Pokusaj da ga prekopiras sa nekog zdravog kompjutera.
Nalazi se u C:\Windows folderu.

Ako nemas drugi kompjuter pri ruci, onda javi, pa da tiuploadujem fajl negde.