Virus

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uloguj se preko Facebooka da bi skinuo fajl:

Pozdrav, imam sledeci problem: Znaci kada udjem na FaceBook pocne se slati nekakav link prijateljima u inbox, ja msm da je to neki virus, al nez sta da uradim. Trenutno sam deaktiviro profil radi toga, salje se ko ludo, po 20-30 poruka u 2-3min. Nadam se da cete mi pomoci. Hvala!



DDS (Ver_2012-11-20.01) - FAT32_x86
Internet Explorer: 6.0.2900.2180 BrowserJavaVersion: 10.17.2
Run by Bojan at 13:44:37 on 2013-05-10
.
============== Running Processes ================
.
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Bojan.BOJAN-10BB93A0A\Application Data\svchosts.exe
C:\Documents and Settings\Bojan.BOJAN-10BB93A0A\Application Data\nig1.tmp.bat
C:\Documents and Settings\Bojan.BOJAN-10BB93A0A\Application Data\nig2.tmp.bat
C:\DOCUME~1\BOJAN~1.BOJ\LOCALS~1\Temp\minerd.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://search.conduit.com?SearchSource=10&CUI=UN33495761603207119&ctid=CT3220468
BHO: {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - <orphaned>
BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} -
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [Microsoft Corp] c:\documents and settings\bojan.bojan-10bb93a0a\application data\svchosts.exe
uRun: [WINSXS32] c:\documents and settings\bojan.bojan-10bb93a0a\application data\nig2.tmp.bat
mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
mRun: [nwiz] nwiz.exe /install
mRun: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
mRun: [WinampAgent] "c:\program files\winamp\winampa.exe"
mRun: [Microsoft Corp] c:\documents and settings\bojan.bojan-10bb93a0a\application data\svchosts.exe
mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
mExplorerRun: [Microsoft Corp] c:\documents and settings\bojan.bojan-10bb93a0a\application data\svchosts.exe
uPolicies-Explorer: NoDriveTypeAutoRun = dword:145
mPolicies-Explorer: NoDriveTypeAutoRun = dword:145
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
TCP: NameServer = 192.168.1.1
TCP: Interfaces\{1588775F-0C14-4120-93E6-D33E81EC8F13} : DHCPNameServer = 192.168.1.1
mASetup: {8A69D345-D564-463c-AFF1-A69D9E530F96} - "c:\program files\google\chrome\application\26.0.1410.64\installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level --multi-install --chrome
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\documents and settings\bojan.bojan-10bb93a0a\application data\mozilla\firefox\profiles\kqe44taz.default\
FF - plugin: c:\program files\google\update\1.3.21.135\npGoogleUpdate3.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_6_602_180.dll
FF - plugin: c:\windows\system32\npDeployJava1.dll
FF - plugin: c:\windows\system32\npptools.dll
FF - ExtSQL: 2013-03-10 19:09; speedanalysis@SpeedAnalysis.com; c:\documents and settings\bojan.bojan-10bb93a0a\application data\mozilla\extensions\speedanalysis@SpeedAnalysis.com
FF - ExtSQL: !HIDDEN! 2013-03-10 19:09; speedanalysis@SpeedAnalysis.com; c:\documents and settings\bojan.bojan-10bb93a0a\application data\mozilla\extensions\speedanalysis@SpeedAnalysis.com
.
============= SERVICES / DRIVERS ===============
.
.
=============== Created Last 30 ================
.
2013-05-10 09:55:19 88912 ----a-w- c:\documents and settings\bojan.bojan-10bb93a0a\application data\nig1.tmp.bat
2013-05-10 09:55:19 300880 ----a-w- c:\documents and settings\bojan.bojan-10bb93a0a\application data\nig2.tmp.bat
2013-05-10 09:55:16 0 ----a-w- c:\documents and settings\bojan.bojan-10bb93a0a\application data\nig2.tmp
2013-05-10 09:55:16 0 ----a-w- c:\documents and settings\bojan.bojan-10bb93a0a\application data\nig1.tmp
2013-05-09 10:52:59 14336 ----a-w- c:\windows\system32\dllcache\tsprof.exe
2013-05-09 10:51:50 7680 ----a-w- c:\windows\system32\dllcache\migregdb.exe
2013-05-09 10:50:59 94208 ----a-w- c:\windows\system32\dllcache\fpencode.dll
2013-05-09 10:49:52 68608 ----a-w- c:\windows\system32\dllcache\isatq.dll
2013-05-09 10:41:24 24661 ----a-w- c:\windows\system32\spxcoins.dll
2013-05-09 10:41:24 24661 ----a-w- c:\windows\system32\dllcache\spxcoins.dll
2013-05-09 10:41:24 13312 ----a-w- c:\windows\system32\irclass.dll
2013-05-09 10:41:24 13312 ----a-w- c:\windows\system32\dllcache\irclass.dll
2013-05-09 10:21:22 -------- d-sh--w- C:\FOUND.005
2013-05-09 09:55:30 88912 ----a-w- c:\documents and settings\bojan.bojan-10bb93a0a\application data\nig6.tmp.bat
2013-05-09 09:55:26 0 ----a-w- c:\documents and settings\bojan.bojan-10bb93a0a\application data\nig6.tmp
2013-05-09 09:32:24 88912 ----a-w- c:\documents and settings\bojan.bojan-10bb93a0a\application data\nig15.tmp.bat
2013-05-09 09:32:22 0 ----a-w- c:\documents and settings\bojan.bojan-10bb93a0a\application data\nig15.tmp
2013-05-08 17:21:13 0 ----a-w- c:\documents and settings\bojan.bojan-10bb93a0a\application data\nig39E.tmp
2013-05-08 12:10:43 0 ----a-w- c:\documents and settings\bojan.bojan-10bb93a0a\application data\nig5.tmp
2013-05-06 19:35:16 -------- d-sh--w- C:\FOUND.004
2013-05-05 20:58:01 0 ----a-w- c:\documents and settings\bojan.bojan-10bb93a0a\application data\nig1918.tmp
2013-05-05 20:42:05 72528 --sh--r- c:\documents and settings\bojan.bojan-10bb93a0a\application data\svchosts.exe
.
==================== Find3M ====================
.
2013-04-05 14:35:38 693976 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-04-05 14:35:36 73432 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-03-10 17:58:04 94112 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
2013-03-10 17:58:02 143872 ----a-w- c:\windows\system32\javacpl.cpl
2013-03-10 17:58:00 861088 ----a-w- c:\windows\system32\npDeployJava1.dll
2013-03-10 17:58:00 782240 ----a-w- c:\windows\system32\deployJava1.dll
.
============= FINISH: 13:45:03.99 ===============




mycity.rs/must-login.png

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Preuzmi program GMER sa donjeg linka na Desktop:


GMER download
Klikni dati link;
Kada se otvori dijalog za izbor lokacije na kojoj treba sačuvati file, odaberi Desktop i klikni Save.


Dvoklikom pokrenite GMER.
Sačekaj da se završi uvodno skeniranje - ukoliko se pojavi bilo kakav upit, klikni No;

klikni Scan i sačekaj da skeniranje bude završeno;

klikni Save ... - izveštaj sačuvaj na Desktop (pod nazivom Gmer1);

klikni desnim tasterom u prozor programa Gmer i odaberi Options > 3rd party - klikni Scan;

po završetku skeniranja klikni Save ... - izveštaj sačuvaj na Desktop (pod nazivom Gmer2);

klikni taster >>> i odaberi Autostart karticu;

po završetku kratkotrajnog skeniranja, klikni Copy;

otvori Notepad i u njega postavi kopirani tekst - izveštaj sačuvaj na Desktop (pod nazivom Gmer3);

Slikoviti prikaz postupka

Priloži sva tri izveštaja uz poruku korišćenjem opcije Prikači fajl.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uloguj se preko Facebooka da bi skinuo fajl:

Evo
mycity.rs/must-login.png

mycity.rs/must-login.png

mycity.rs/must-login.png

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Preuzmi sUBs-ov ComboFix sa sledeće adrese na Desktop:


Bleeping Computer
Klikni desnim tasterom na link i odaberi opciju Save Target As... (Save Link As..., Save Linked Content As... ili sličnu);
Kada se otvori dijalog za izbor lokacije na kojoj treba sačuvati file, odaberi Desktop i klikni Save.



Kada preuzimanje programa bude završeno:
deaktiviraj zaštitni softver (uputstvo);
zatvori pokrenute programe;
dvoklikom pokreni program ComboFix;
u prozoru koji se otvori klikni "I Agree".
U toku rada, ComboFix će:proveriti postoji li novija verzija programa:
klikni Yes ako bude ponuđeno preuzimanje iste.ako Recovery Console nije instalirana, ponuditi instalaciju:
obavezno prihvati klikom na Yes i isprati postupak.postaviti/dati određeni broj upita/obaveštenja:
prihvati klikom na Yes ili OK.po potrebi, restartovati Windows (više puta);
na kraju rada, otvoriti Notepad sa izveštajem o skeniranju.

Iskopiraj izveštaj koji je ComboFix napravio u temu na forumu:
klikni desnim tasterom miša u prozor Notepad-a i izaberi Select All;
klikni desnim tasterom miša na obeleženi tekst i izaberi Copy;
klikni desnim tasterom miša u polje za pisanje poruke i izaberi Paste.


Napomena:Izveštaj će biti sačuvan pod nazivom ComboFix.txt na sistemskoj particiji (tipična lokacija: C:\ComboFix.txt);
Ukoliko nakon slanja poruke primetiš da izveštaj nije kompletan, iskoristi opciju Prikači fajl za prilaganje file-a C:\ComboFix.txt uz poruku;
Nemoj kliktati u okviru ComboFix prozora dok radi jer to može usporiti rad alata;
Nemoj ponovo pokretati ComboFix na svoju ruku - javi se u temi bilo kakav problem da imaš tokom prvog pokretanja alata;
Ako nakon restarta dobijaš grešku prilikom startovanja pojedinih programa da su označeni za brisanje (Illegal operation attempted on a registry key that has been marked for deletion), onda ponovo restartuj sistem i to ce rešiti problem.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nisam zavrsio, nije mi htjelo ocitati uvijek stajalo na 10min

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Mozes li malo bolje da objasnis, sta nije htelo ocitati. Pri pokretanju ili posle...?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Kada je ocitavalo onih 10min u plavom prozoru.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Obriši staru ikonicu ComboFix-a i preuzmi novu sa sledece adrese na Desktop

ComboFix

Deaktiviraj zastitni softver --> http://www.mycity.rs/MyCity-Laboratorija/Iskljucivanje-zastitnog-softvera.html

Zatim klikni na Start --> Run , a zatim kopiraj pažljivo sledeci tekst

"%userprofile%\Desktop\ComboFix.exe" /KillAll /StepDel /NoMBR

Pritisni OK i ComboFix ce zapoceti sa skeniranjem.