|
Poslao: 13 Nov 2009 09:42
|
offline
- RiciSambora
- Novi MyCity građanin
- Pridružio: 28 Jan 2008
- Poruke: 17
|
Pozdrav
Racunar je imao stari kaspersky koji nije azuriran 3-4 godine, koji je skinut i onda je pokrenut Combofix (jeb*ga) i onda sam ja instalirao kaspersky 7 i MBAM. Medjutim ne radi update ni jednog ni drugog preko interneta, ali sam to uradio rucno i skenirao racunar prvo kasperskim, onda MBAM-om. Kaspersky je nasao nekoliko zarazenih fajlova i obrisao, MBAM ne nalazi nista.
Sada svaki put kad se ubaci USB memorija on na njoj kreira autorun.inf i foleder RECYCLER sa virusom koji kaspersky detektuje i brise svaki put.
Evo Logova (combofix i hijackthis, koliko vidim nisu trazeni/pozeljni u prvom koraku, ali sta cu kad je vec odradjeno)
Link je 384/128
Hvala unaprijed
DDS (Ver_09-10-26.01) - NTFSx86
Run by as at 0:44:20,42 on Fri 11/13/2009
Internet Explorer: 6.0.2800.1106
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1033.18.255.116 [GMT 1:00]
============== Running Processes ===============
C:\WINDOWS\system32\svchost -k rpcss
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe -k imgsvc
C:\WINDOWS\System32\ctfmon.exe
C:\Documents and Settings\as\Desktop\MC\dds.scr
============== Pseudo HJT Report ===============
uStart Page = hxxp://www.myskyp.com/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 6.0\reader\activex\AcroIEHelper.dll
BHO: Skype add-on (mastermind): {22bf413b-c6d2-4d91-82a9-a0f997ba588c} - c:\program files\skype\toolbars\internet explorer\SkypeIEPlugin.dll
EB: Media Band: {32683183-48a0-441b-a342-7c2a440a9478} - %SystemRoot%\System32\browseui.dll
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NVMCTRAY.DLL,NvTaskbarInit
IE: E&xport to Microsoft Excel - c:\progra~1\micros~2\office10\EXCEL.EXE/3000
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - {85E0B171-04FA-11D1-B7DA-00A0C90348D6} - c:\program files\kaspersky lab\kaspersky anti-virus 7.0\SCIEPlgn.dll
IE: {77BF5300-1474-4EC7-9980-D32B190E9B07} - {77BF5300-1474-4EC7-9980-D32B190E9B07} - c:\program files\skype\toolbars\internet explorer\SkypeIEPlugin.dll
DPF: DirectAnimation Java Classes - file://c:\windows\java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\java\classes\xmldso.cab
DPF: {33564D57-0000-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
DPF: {33564D57-9980-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/D/0/D/D0DD87DA-994F-4334-8B55-AF2E4D98ED0C/wmv9dmo.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
TCP: {224AF3B4-BEB4-4011-A564-DFA7CC872BB7} = 192.168.1.254
Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\program files\common files\microsoft shared\web folders\PKMCDO.DLL
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
Notify: klogon - c:\windows\system32\klogon.dll
============= SERVICES / DRIVERS ===============
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2007-4-4 24344]
S2 gxrrhd;Update Config;c:\windows\system32\svchost.exe -k netsvcs [2001-8-23 12800]
S3 FXDRV;FXDRV;\??\e:\fxdrv.sys --> e:\Fxdrv.sys [?]
=============== Created Last 30 ================
2009-11-12 11:04:30 0 d-----w- c:\docume~1\as\applic~1\Malwarebytes
2009-11-12 11:04:25 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-12 11:04:24 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-12 11:04:24 0 d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-12 11:04:24 0 d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes
2009-11-12 00:23:30 0 d-----w- C:\ckis
2009-11-12 00:19:03 82258 ----a-w- c:\windows\system32\drivers\klin.dat
2009-11-12 00:19:03 82258 ----a-w- c:\windows\system32\drivers\klick.dat
2009-11-12 00:18:05 0 d-----w- c:\docume~1\alluse~1\applic~1\Kaspersky Lab
2009-11-12 00:18:02 4064 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-11-12 00:18:02 28316 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-11-12 00:18:02 21024 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-11-12 00:18:02 1879840 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-11-12 00:16:57 0 d-----w- c:\docume~1\alluse~1\applic~1\Kaspersky Lab Setup Files
2009-11-11 23:45:59 98816 ----a-w- c:\windows\sed.exe
2009-11-11 23:45:59 77312 ----a-w- c:\windows\MBR.exe
2009-11-11 23:45:59 267264 ----a-w- c:\windows\PEV.exe
2009-11-11 23:45:59 161792 ----a-w- c:\windows\SWREG.exe
2009-11-11 22:20:53 12160 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2009-11-11 22:20:53 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys
2009-11-11 22:20:25 9600 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2009-11-11 22:20:25 9600 ----a-w- c:\windows\system32\drivers\hidusb.sys
==================== Find3M ====================
2002-08-29 02:41:00 163025 --sha-r- c:\windows\system32\nzcrrkv.dll
============= FINISH: 0:44:38,90 ===============
mycity.rs/must-login.png
mycity.rs/must-login.png
mycity.rs/must-login.png
mycity.rs/must-login.png
mycity.rs/must-login.png
mycity.rs/must-login.png
mycity.rs/must-login.png
Ova arhiva sadrzi virus sa USB-a pa sam stavio pass "mycity"
mycity.rs/must-login.png
|
|
|
|
|
|
|
Poslao: 13 Nov 2009 11:23
|
offline
- diarno
- Anti Malware Fighter
Rank 2
- Pridružio: 15 Jun 2007
- Poruke: 5572
|
Greska br.1  Uploadovao si maliciozne fajlove na forum...ko bi snosio posledice da si inficirao neke radoznale clanove ovde????/
Greska br.2 Koristio si Combofix jer si sigurno negde procitao da on uklnja svu gamad...Sta bi bilo da posle njegovog koriscenja nisi mogao da dignes sistem...CF je jedan od najmocnijih i kompleksnijih alata i kao takav sklon je bagovima.... Ovo ti govorim iz iskustva a ne iz teorije ili da te plasim..Desavalo se da bug u CF totalno unakazi sistem...
Imao si srece(zaista) sto ti je sistem u funkcionalnom stanju posle upotrebe poslednje verzije CF-a.
 Otvoriti Notepad i iskopirati sledeci tekst:
File::
c:\windows\system32\nzcrrkv.dll
c:\windows\system32\necsopp.sys
Driver::
necsopp
gxrrhd
NetSvc::
gxrrhd
Snimiti na Desktop fajl iz Notepada kao "CFScript"
Prevuci snimljeni skript/tekst na ComboFix ikonicu kao na slici.
Postaviti u sledecoj poruci log koji bude bio napravljen na kraju ciscenja/skeniranja.
Preuzmi Dr.Web CureIt (~13 MB).
Restartuj kompjuter u Safe Mode (uputstvo za Safe Mode)
Dvoklikom pokreni launch.exe, nakon čega će se pojaviti uvodni prozor - klikni Start
Pojaviće se obaveštenje o započinjanju uvodnog skeniranja - klikni OK
Sačekaj nekoliko minuta da Dr.Web CureIt izvrši Express Scan; ukoliko malware bude pronađen, klikom na taster Yes to All u prozoru koji se pojavi dozvoli programu da izvrši dezinfekciju
Klikni Options > Change settings F9; u prozoru koji će se otvoriti, dečekiraj opciju Heuristic Analysis a zatim klikni OK
U glavnom prozoru obeleži opciju Complete scan a zatim klikni  i Dr.Web CureIt će započeti skeniranje
Ukoliko malware bude pronađen, klikom na taster Yes to All u prozoru koji se pojavi dozvoli programu da izvrši dezinfekciju
Kada skeniranje bude završeno, klikni Select all taster (ukoliko je dostupan), a zatim klikni Cure i,
u meniju koji se otvori, klikni Move incurable:
Po završetku procesa, klikni File > Save report list i sačuvaj log na Desktopu
Iskopiraj sadržaj Dr.Web CureIt loga u temu na forumu.
- Preuzmi USBNoRisk na Desktop i pokreni ga duplim klikom na ikonicu programa.
- Sacekaj koji sekund dok program izvrsi inicijalno skeniranje.
- Ubacuj sve USB memorijske uredjaje redom u USB slot i svaki zadrzi u slotu po 10 sekundi.
- Ukoliko imas vise uredjaja za proveru, onda na parcetu papira zapisi kojim redom su ubacivani jer ce nam kasnije trebati taj podatak
- Kada zavrsis sa svim uredjajima, klikni desno dugme misa na sred prozora programa i odaberi opciju Save log. To ce automatski otvoriti log u Notepadu. Iskopiraj nam taj log iz Notepada na forum.
Objasnjenje: U USB memorijske uredjaje spadaju svi oni uredjaji koji po prikljucivanju na kompjuter dobijaju svoju oznaku particije. Tu spadaju USB flash drajvovi, eksterni hard-diskovi, memorijske kartice, MP3 i MP4 plejeri, neki mobilni telefoni, neki GPS (navigacioni) uredjaji itd.
|
|
|
|
|
|
|
|
|
|
|
Poslao: 13 Nov 2009 22:49
|
offline
- RiciSambora
- Novi MyCity građanin
- Pridružio: 28 Jan 2008
- Poruke: 17
|
Napisano: 13 Nov 2009 19:17
Koliko vidim USB flash-ove vise ne zarazava, a veceras cu provjeriti kakvo je stanje sto se tice update-a antivirusnih definicija jer mi je sad taj racunar "offline" pa javljam rezultat veceras
Hvala na brzom odgovoru.
Pozdrav
Dopuna: 13 Nov 2009 22:49
Sve je u redu koliko vidim.
Ne vidim opciju za imjenu posta pa sam morao pisati novi
Hvala jos jednom.
Pozdrav
|
|
|
|
|
|
|
|
|
|
), a zatim 
