Win32 Rond-E <adw> ??Zapucava masina..

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Evo jedan svez log...
I,otkad se pojavilo ovo svaki put kada pokrecem system avast se javlja i izbaci nesto kao Continue anyway,i tako to...Uglavnom taj virus je detektovan u c:/windows/bi22.exe...
A bilo je i par detektovanih odnosno primeljenih reklama na msn..Nesto kao Imagine..
Pozz

Logfile of HijackThis v1.99.1
Scan saved at 17:50:38, on 5.9.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
C:\Program Files\Adobe\Adobe Photoshop Lightroom 1.1\apdproxy.exe
C:\WINDOWS\retadpu.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\MSI\Common\RaUI.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\rfkhb.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Documents and Settings\luki\Desktop\T3.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [Link mogu videti samo ulogovani korisnici]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [Link mogu videti samo ulogovani korisnici]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Link mogu videti samo ulogovani korisnici]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Link mogu videti samo ulogovani korisnici]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Link mogu videti samo ulogovani korisnici]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Link mogu videti samo ulogovani korisnici]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Link mogu videti samo ulogovani korisnici]
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [Link mogu videti samo ulogovani korisnici]
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2F0B318F-F7C9-4675-98D5-509108D3AD35} - C:\WINDOWS\system32\ddcya.dll
O2 - BHO: (no name) - {4AA7B12D-AB2C-4D16-BCFB-704945A98FDD} - C:\WINDOWS\system32\byxvtuv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Adobe Photoshop Lightroom 1.1\apdproxy.exe"
O4 - HKLM\..\Run: [MSN] msnmsgs.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu.exe
O4 - HKLM\..\Run: [horymy] C:\Program Files\Messenger\horymy22011.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ShareSearcher] c:\rfkhb.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: MSI Wireless Utility.lnk = C:\Program Files\MSI\Common\RaUI.exe
O8 - Extra context menu item: &Windows Live Search - [Link mogu videti samo ulogovani korisnici]\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - [Link mogu videti samo ulogovani korisnici]\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\luki\Start Menu\Programs\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [Link mogu videti samo ulogovani korisnici]
O17 - HKLM\System\CCS\Services\Tcpip\..\{717CF4D6-F968-4328-80A6-B46D37F68575}: NameServer = 195.252.109.4 194.106.163.3
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: byxvtuv - C:\WINDOWS\SYSTEM32\byxvtuv.dll
O20 - Winlogon Notify: ddcya - C:\WINDOWS\system32\ddcya.dll
O20 - Winlogon Notify: winmxw32 - C:\WINDOWS\SYSTEM32\winmxw32.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Spakuj u jedan ZIP sledece fajlove:
C:\WINDOWS\retadpu.exe
C:\Program Files\Messenger\horymy22011.exe
c:\rfkhb.exe
C:\WINDOWS\system32\ddcya.dll
C:\WINDOWS\system32\byxvtuv.dll
C:\WINDOWS\SYSTEM32\winmxw32.dll

Uploaduj nam to za analizu preko sledece forme:
[Link mogu videti samo ulogovani korisnici]

Nakon toga, idi na Start> Search>For Files or Folders
Tu odaberi All files and folders.
Na sledecem ekranu klikni na More advanced options i uveri se da su ukljucene sledece opcije:
Search system folders
Search hidden files and folders
Search subfolders

Malo vislje, u polju Look in: treba da su prikazane oznake svih lokalnih particija.

Sada u skroz gornje polje All or part of the file name unesi sledece:
msnmsgs.exe

Klikni na dugme Search

U sledecoj poruci nam ili prepisi rezultate te pretrage, ili napravi screenshot.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Samo da nagovestim da je Avast odjednom bio poludeo..I poceo ko mentol da mi izbacuje i to cesto u system 32 folderu:
win32 agent kap trj
win32 load adv-j trj
win32 small-epj trj

I fajlovi su uploadovani...
msnmsgs.exe Nije uopste pronadjen!Hm?Da panicim sad ili posle??
Posto je komp gadno zabagovan a sto je najgore nema ni FW..A vec mi je Avast izbacivao poruku tipa Prekini Konekciju jer je neko pokusao da mi upadne sa odredjene ip adresse..hm?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uh, lose...
Racunar ti je zarazen virusom (u pravom smislu te reci), tj. fajl-infektorom.
Virus je vrsta malwarea koja ce zaraziti i ostale fajlove na sistemu, tj. programe i igrice koje imas instalirane, kao i sistemske fajlove.

Sledeca dva fajla su ti zarazena virusom Virus.Win32.Virut.o:
C:\WINDOWS\retadpu.exe
C:\Program Files\Messenger\horymy22011.exe

Ukoliko tvoj Avast ne nalazi da su ta dva fajla zarazena, onda postoji mogucnost da imas jos zarazenih fajlova, ali Avast tu infekciju ne prepoznaje.

Moj prijateljski savet je da instaliras antivirus program koji moze da izadje na kraj sa tim virusom.
Od besplatnih programa, AVG i AntiVir prepoznaju taj virus, tako da ne bi bilo lose da deinstaliras ili zaustavis Avasta, i da ocistis komp jednom od ta dva programa.
Nakon sto dezinfikujes komp, mozes opet vratiti svog Avasta i deinstalirati program koji si instalirao (AVG ili AntiVir).

Ostali fajlovi koje si mi poslao su isto malware, ali bih ja to ostavio za kasnije, nakon sto se resis virusa.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pa logicno kada mi stalno iskace...I,da naravno Avast nije prepoznao nijedan od ona dva da imaju virus...Koju verziju AVG da skinem??I,da li ce nakon dezinfekcije sve normalno raditi..ili da ja ipak lepo format c: ??

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Skini AVG Free i proskeniraj komp.
Kada naidje na virus on ce ti ponuditi nesto tipa 'desinfect', a kada naidje na one ostale tada ce ponuditi samo 'delete'. Mislim, to je standarno tako.

Ukoliko za fajlove zarazene virusom prvo ponudi 'desinfect', pa nakon toga prijavi da dezinfekcija nije uspela i predlaze ti da uradi 'delete', to znaci da ce ti MOZDA sistem nakon toga biti nestabilan ukoliko je fajl koji je bio inficiran neki od sistemskih fajlova.

U sustini, kada sistem bude zarazen virusom (ne bilo koji malware, nego bas virus), tu nema nikakve garancije kako ce sistem da radi nakon dezinfekcije.
Cak, recimo, u slucajevima virusa Virus.Win32.Parite.b nema drugog spasa osim reformatiranja.

U svakom slucaju skini AVG ili Antivir i proskeniraj CD-ove, posto postoji mogucnost da ti je neki od programa ili igara sa nekog CD-a izvor infekcije, ili si snimao neki CD dok ti je racunar bio zarazen, pa je velika verovatnoca da si na CD snimio i neki zarazen program.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Aha..okay...Javicu se ja jos nakon scana...Nadam se da ces biti On,da ovo izvucemo do kraja???A reci mi posto mi nekako iz tvog prethodnog posta zvuci da Avast zvuci kao los AV kada vec ocigledno nije nasao viruse u navedenim fileovima..Da li je okay da i ostane AVG free(skidam 7.5 verziju)...???

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nasa politika je da moderator ne sme da preporuci ni jedan antivirus, tj. da ih ne izdavajamo, a sve to zbog toga sto sa svima njima imamo saradnju u manjem ili vecem obimu.

Moje licno misljenje je da ni jedan od mainstream antivirusa nije los, ali da ni jedan nije ni blizu savrsenstva.
Dacu ti jedan banalan primer:
AntiVir (relativno mala firma kada su antivirusi u pitanju) ne vazi za popularan antivirus, ali iz iskustva znam da jako puno malwarea imaju u definicijama cak i po vise od 6 meseci pre renomiranih Kasperskog ili NOD-a. Rec je o tome da svako od njih obraca vise paznje na drugu grupu malwarea.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

E,komp ipak nije proskeniran AVG-om posto sam ja krenuo da sredim taj komp(inace burazerov je),i odjednom se pojavio i odneo kuciste na pola "mog" posla kod jednog lika..Tako da je odradjen "format c:/"..Hvala ti bobby u svakom slucaju..pozZ