Zarazen racunar

Zarazen racunar

offline
  • Pridružio: 28 Jan 2008
  • Poruke: 17

Pozdrav

Racunar je imao stari kaspersky koji nije azuriran 3-4 godine, koji je skinut i onda je pokrenut Combofix (jeb*ga) i onda sam ja instalirao kaspersky 7 i MBAM. Medjutim ne radi update ni jednog ni drugog preko interneta, ali sam to uradio rucno i skenirao racunar prvo kasperskim, onda MBAM-om. Kaspersky je nasao nekoliko zarazenih fajlova i obrisao, MBAM ne nalazi nista.
Sada svaki put kad se ubaci USB memorija on na njoj kreira autorun.inf i foleder RECYCLER sa virusom koji kaspersky detektuje i brise svaki put.

Evo Logova (combofix i hijackthis, koliko vidim nisu trazeni/pozeljni u prvom koraku, ali sta cu kad je vec odradjeno)

Link je 384/128

Hvala unaprijed


DDS (Ver_09-10-26.01) - NTFSx86
Run by as at 0:44:20,42 on Fri 11/13/2009
Internet Explorer: 6.0.2800.1106
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1033.18.255.116 [GMT 1:00]


============== Running Processes ===============

C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe -k imgsvc
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\as\Desktop\MC\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.myskyp.com/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 6.0\reader\activex\AcroIEHelper.dll
BHO: Skype add-on (mastermind): {22bf413b-c6d2-4d91-82a9-a0f997ba588c} - c:\program files\skype\toolbars\internet explorer\SkypeIEPlugin.dll
EB: Media Band: {32683183-48a0-441b-a342-7c2a440a9478} - %SystemRoot%\System32\browseui.dll
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NVMCTRAY.DLL,NvTaskbarInit
IE: E&xport to Microsoft Excel - c:\progra~1\micros~2\office10\EXCEL.EXE/3000
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - {85E0B171-04FA-11D1-B7DA-00A0C90348D6} - c:\program files\kaspersky lab\kaspersky anti-virus 7.0\SCIEPlgn.dll
IE: {77BF5300-1474-4EC7-9980-D32B190E9B07} - {77BF5300-1474-4EC7-9980-D32B190E9B07} - c:\program files\skype\toolbars\internet explorer\SkypeIEPlugin.dll
DPF: DirectAnimation Java Classes - file://c:\windows\java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\java\classes\xmldso.cab
DPF: {33564D57-0000-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
DPF: {33564D57-9980-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/D/0/D/D0DD87DA-994F-4334-8B55-AF2E4D98ED0C/wmv9dmo.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
TCP: {224AF3B4-BEB4-4011-A564-DFA7CC872BB7} = 192.168.1.254
Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\program files\common files\microsoft shared\web folders\PKMCDO.DLL
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
Notify: klogon - c:\windows\system32\klogon.dll

============= SERVICES / DRIVERS ===============

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2007-4-4 24344]
S2 gxrrhd;Update Config;c:\windows\system32\svchost.exe -k netsvcs [2001-8-23 12800]
S3 FXDRV;FXDRV;\??\e:\fxdrv.sys --> e:\Fxdrv.sys [?]

=============== Created Last 30 ================

2009-11-12 11:04:30 0 d-----w- c:\docume~1\as\applic~1\Malwarebytes
2009-11-12 11:04:25 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-12 11:04:24 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-12 11:04:24 0 d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-12 11:04:24 0 d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes
2009-11-12 00:23:30 0 d-----w- C:\ckis
2009-11-12 00:19:03 82258 ----a-w- c:\windows\system32\drivers\klin.dat
2009-11-12 00:19:03 82258 ----a-w- c:\windows\system32\drivers\klick.dat
2009-11-12 00:18:05 0 d-----w- c:\docume~1\alluse~1\applic~1\Kaspersky Lab
2009-11-12 00:18:02 4064 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-11-12 00:18:02 28316 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-11-12 00:18:02 21024 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-11-12 00:18:02 1879840 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-11-12 00:16:57 0 d-----w- c:\docume~1\alluse~1\applic~1\Kaspersky Lab Setup Files
2009-11-11 23:45:59 98816 ----a-w- c:\windows\sed.exe
2009-11-11 23:45:59 77312 ----a-w- c:\windows\MBR.exe
2009-11-11 23:45:59 267264 ----a-w- c:\windows\PEV.exe
2009-11-11 23:45:59 161792 ----a-w- c:\windows\SWREG.exe
2009-11-11 22:20:53 12160 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2009-11-11 22:20:53 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys
2009-11-11 22:20:25 9600 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2009-11-11 22:20:25 9600 ----a-w- c:\windows\system32\drivers\hidusb.sys

==================== Find3M ====================

2002-08-29 02:41:00 163025 --sha-r- c:\windows\system32\nzcrrkv.dll

============= FINISH: 0:44:38,90 ===============

mycity.rs/must-login.png

mycity.rs/must-login.png

mycity.rs/must-login.png

mycity.rs/must-login.png

mycity.rs/must-login.png

mycity.rs/must-login.png

mycity.rs/must-login.png

Ova arhiva sadrzi virus sa USB-a pa sam stavio pass "mycity"
mycity.rs/must-login.png

offline
  • diarno  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 15 Jun 2007
  • Poruke: 5572

Greska br.1 Exclamation Uploadovao si maliciozne fajlove na forum...ko bi snosio posledice da si inficirao neke radoznale clanove ovde????/


Greska br.2 Exclamation Koristio si Combofix jer si sigurno negde procitao da on uklnja svu gamad...Sta bi bilo da posle njegovog koriscenja nisi mogao da dignes sistem...CF je jedan od najmocnijih i kompleksnijih alata i kao takav sklon je bagovima.... Ovo ti govorim iz iskustva a ne iz teorije ili da te plasim..Desavalo se da bug u CF totalno unakazi sistem...
Imao si srece(zaista) sto ti je sistem u funkcionalnom stanju posle upotrebe poslednje verzije CF-a.



Arrow Otvoriti Notepad i iskopirati sledeci tekst:

File::
c:\windows\system32\nzcrrkv.dll
c:\windows\system32\necsopp.sys

Driver::
necsopp
gxrrhd

NetSvc::
gxrrhd



Snimiti na Desktop fajl iz Notepada kao "CFScript"




Prevuci snimljeni skript/tekst na ComboFix ikonicu kao na slici.
Postaviti u sledecoj poruci log koji bude bio napravljen na kraju ciscenja/skeniranja.

Arrow Preuzmi Dr.Web CureIt (~13 MB).
Restartuj kompjuter u Safe Mode (uputstvo za Safe Mode)

Dvoklikom pokreni launch.exe, nakon čega će se pojaviti uvodni prozor - klikni Start

Pojaviće se obaveštenje o započinjanju uvodnog skeniranja - klikni OK

Sačekaj nekoliko minuta da Dr.Web CureIt izvrši Express Scan; ukoliko malware bude pronađen, klikom na taster Yes to All u prozoru koji se pojavi dozvoli programu da izvrši dezinfekciju

Klikni Options > Change settings F9; u prozoru koji će se otvoriti, dečekiraj opciju Heuristic Analysis a zatim klikni OK

U glavnom prozoru obeleži opciju Complete scan a zatim klikni i Dr.Web CureIt će započeti skeniranje

Ukoliko malware bude pronađen, klikom na taster Yes to All u prozoru koji se pojavi dozvoli programu da izvrši dezinfekciju

Kada skeniranje bude završeno, klikni Select all taster (ukoliko je dostupan), a zatim klikni Cure i,
u meniju koji se otvori, klikni Move incurable:


Po završetku procesa, klikni File > Save report list i sačuvaj log na Desktopu


Iskopiraj sadržaj Dr.Web CureIt loga u temu na forumu.



Arrow - Preuzmi USBNoRisk na Desktop i pokreni ga duplim klikom na ikonicu programa.
- Sacekaj koji sekund dok program izvrsi inicijalno skeniranje.
- Ubacuj sve USB memorijske uredjaje redom u USB slot i svaki zadrzi u slotu po 10 sekundi.
- Ukoliko imas vise uredjaja za proveru, onda na parcetu papira zapisi kojim redom su ubacivani jer ce nam kasnije trebati taj podatak
- Kada zavrsis sa svim uredjajima, klikni desno dugme misa na sred prozora programa i odaberi opciju Save log. To ce automatski otvoriti log u Notepadu. Iskopiraj nam taj log iz Notepada na forum.

Objasnjenje: U USB memorijske uredjaje spadaju svi oni uredjaji koji po prikljucivanju na kompjuter dobijaju svoju oznaku particije. Tu spadaju USB flash drajvovi, eksterni hard-diskovi, memorijske kartice, MP3 i MP4 plejeri, neki mobilni telefoni, neki GPS (navigacioni) uredjaji itd.

offline
  • Pridružio: 28 Jan 2008
  • Poruke: 17

Pozdrav,

nadam se da nikom nisam nacinio stetu sa time (uradio sam koliko sam mogao stavio pass i napomenuo)
DrWeb CureIt nije izbacio nikakav log - napisao samo "Done - no infections found" (ili tako nesto)

mycity.rs/must-login.png

mycity.rs/must-login.png

offline
  • diarno  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 15 Jun 2007
  • Poruke: 5572

Kakvo je sad stanje?

offline
  • Pridružio: 28 Jan 2008
  • Poruke: 17

Napisano: 13 Nov 2009 19:17

Koliko vidim USB flash-ove vise ne zarazava, a veceras cu provjeriti kakvo je stanje sto se tice update-a antivirusnih definicija jer mi je sad taj racunar "offline" pa javljam rezultat veceras

Hvala na brzom odgovoru.

Pozdrav

Dopuna: 13 Nov 2009 22:49

Sve je u redu koliko vidim.
Ne vidim opciju za imjenu posta pa sam morao pisati novi

Hvala jos jednom.

Pozdrav

offline
  • diarno  Male
  • Anti Malware Fighter
    Rank 2
  • Pridružio: 15 Jun 2007
  • Poruke: 5572

Uradi jos ovo

Potrebno je deinstalirati ComboFix:
klikni start (ili ), a zatim RUN.

Na Visti koristiti Start Search polje ukoliko Run nije dostupan.

U liniju za unos teksta ukucaj (iskopiraj) sledeće:

ComboFix /Uninstall

Primeti da postoji razmak između "ComboFix" i "/Uninstall".



a zatim klikni OK (ili pritisni Enter).


Sačekaj da se proces deinstalacije završi.



i jos nesto..Ako sledeci put dodjes sa Combofix logom a nije ti receno da isti koristis..tema ce biti zakljucana...Ne brini se ti nista..sve instrukcije i korake cemo ti mi dati...Nema potrebe nista na svoju ruku da radis Wink

offline
  • Pridružio: 28 Jan 2008
  • Poruke: 17

Odrradjeno...

Hvala

Ko je trenutno na forumu
 

Ukupno su 761 korisnika na forumu :: 44 registrovanih, 6 sakrivenih i 711 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: A.R.Chafee.Jr., amaterSRB, Andrija357, Atomski čoban, awathorn, babaroga, BlekMen, cemix, CrniGavran, crnitrn, dac, damirZR, dankisha, DARKMEN22, Deneb, Dimitrise93, djboj, dragon986, galijot, goxin, ivan1973, ivan979, Koridor 11, kybonacci, madza, Marko Marković, Milan A. Nikolic, milosrdni94, nuke92, Panter, pera12345, perko91, ruso, Srki98, ssekir75, trajkoni018, VaRvArI 85, VladaKG1980, vlvl, voja64, vranjanac29, wolf431, xJeremijAx, yrraf