[bobby]Brontok virus i trojanci

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Evo loga combo.txt nakon nakon prebacivanja fajla CFScript.txt
Sto se tice loga USB blocker-a napravio ga je ali mi na mom kompu u njemu nasao pretnje i ne mogu da ga otvorim a ni iskopiram sa USB-a ,a ni sa CD-a jer sam ga i narezao.U sustini koristili su cesto samo jedan MP3 i povremeno neki koji su uzeli od drugara.

ComboFix 08-11-27.07 - MiliMare 2008-11-30 12:16:27.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.381.1033.18.252 [GMT 1:00]
Running from: c:\documents and settings\MiliMare\Desktop\ComboFix.exe
Command switches used :: c:\documents and settings\MiliMare\Desktop\CFScript.txt
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
c:\windows\Tasks\At1.job
c:\windows\Tasks\At2.job
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Tasks\At1.job
c:\windows\Tasks\At2.job

.
((((((((((((((((((((((((( Files Created from 2008-10-28 to 2008-11-30 )))))))))))))))))))))))))))))))
.

2008-11-28 16:20 . 2008-11-28 16:21 <DIR> d-------- c:\documents and settings\MiliMare\DoctorWeb
2008-11-24 19:21 . 2008-11-28 16:26 <DIR> d-------- c:\documents and settings\Administrator
2008-11-24 16:27 . 2008-11-24 16:27 <DIR> d-------- c:\program files\Microsoft Games
2008-11-24 15:46 . 2008-11-25 16:04 <DIR> d-------- c:\windows\system32\drivers\Avg
2008-11-24 15:46 . 2008-11-24 15:46 <DIR> d-------- c:\program files\AVG
2008-11-24 15:46 . 2008-11-24 15:46 <DIR> d-------- c:\documents and settings\MiliMare\Application Data\AVGTOOLBAR
2008-11-24 15:46 . 2008-11-25 16:04 <DIR> d-------- c:\documents and settings\All Users\Application Data\avg8
2008-11-24 15:46 . 2008-11-24 15:46 97,928 --a------ c:\windows\system32\drivers\avgldx86.sys
2008-11-24 15:46 . 2008-11-24 15:46 76,040 --a------ c:\windows\system32\drivers\avgtdix.sys
2008-11-22 16:46 . 2008-11-22 16:46 <DIR> d--h----- c:\windows\PIF
2008-11-15 12:03 . 2008-11-27 18:25 <DIR> d-------- c:\program files\Sistemska mapa
2008-11-12 22:19 . 2006-11-11 04:43 487,328 -ra------ c:\windows\system32\drivers\LV561AV.SYS
2008-10-16 13:28 . 2005-09-08 03:02 3,072 --a------ c:\windows\system32\drivers\sfcure01.sys
2008-10-01 13:13 . 2008-10-01 13:13 <DIR> d-------- c:\program files\Midway

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-28 17:28 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-28 17:21 45,056 ----a-w c:\windows\NCUNINST.EXE
2008-11-28 16:52 --------- d-----w c:\program files\VVSN
2008-11-19 08:14 --------- d-----w c:\program files\SuperTux
2008-11-17 20:15 --------- d-----w c:\program files\Winamp
2008-11-17 20:15 --------- d-----w c:\program files\DecjaEnc
2008-11-17 20:15 --------- d-----w c:\program files\Canon
2008-11-12 22:02 --------- d-----w c:\program files\Izzy_CD
2008-10-24 17:38 --------- d-----w c:\program files\Common Files\Blizzard Entertainment
2008-10-24 17:32 --------- d-----w c:\program files\Delicious Deluxe
2008-10-24 17:29 --------- d-----w c:\program files\Word Emperor
2008-10-24 17:28 --------- d-----w c:\program files\Warblade
2008-09-29 13:36 223,128 ----a-w c:\windows\system32\drivers\dtscsi.sys
2008-09-21 17:01 7,168 --sha-w c:\program files\Thumbs.db
2008-09-01 14:39 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-08-28 10:23 43,520 ----a-w c:\windows\system32\CmdLineExt03.dll
2007-12-10 19:14 317 ----a-w c:\documents and settings\MiliMare\Application Data\bbbconfig.dat
2004-08-03 23:56 1,392,671 --sh--r c:\windows\system32\msvbvm60.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]
"NBJ"="c:\progra~1\Ahead\NEROBA~1\NBJ.exe" [2005-02-10 1937408]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-11-22 118784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"LogitechCommunicationsManager"="c:\program files\Common Files\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 284184]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam10\QuickCam10.exe" [2006-11-15 746520]
"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2005-12-10 133016]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

c:\documents and settings\MiliMare\Start Menu\Programs\Startup\
PowerReg Scheduler V3.exe [2007-12-13 225280]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-22 734872]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Documents and Settings\\MiliMare\\Desktop\\hltv.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);c:\windows\system32\drivers\sfsync03.sys [2005-12-06 35328]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-11-24 97928]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-11-24 231704]
R2 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2008-11-24 76040]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, gmer.net
Rootkit scan 2008-11-30 12:18:10
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(800)
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2008-11-30 12:18:55
ComboFix-quarantined-files.txt 2008-11-30 11:18:40
ComboFix2.txt 2008-11-29 10:20:01

Pre-Run: 55,269,896,192 bytes free
Post-Run: 55,255,932,928 bytes free

111

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ako je tvoj antivirus blokirao log, to je najverovatnije znak je neki od tih stickova inficiran.

Hocemo li pokusati i njih da sredimo, ili ces da se uzdas da ce tvoj antivirus da ih ocisti?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pa ovako :Mislim da znam koji je usb inficiran ,njihov (od brata i sestre) .Ja na mom kompu koristim Nod32 a na njihovom kompu ,na kom su koristili taj MP3 nema nikakve zastite.Sta predlazes?
I jos jedno pitanje da li je ostalo ocisceno ?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Komp je cist, ako je verovati logovima.

Ostali su ti USB drajvovi.
USB_blocker bi trebao da je onesposobio automatsko pokretanje malwarea na tim stickovima, ali moguce je da tamo jos uvek stoje EXE fajlovi na koje neko moze slucajno da klikne.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Mislio sam da im instaliram neki besplatan antivirus (AVG) i nesto protiv spyware i malware (Spybot ili Terminator) za pocetak pa ako hoce nesto komercijlno neka kupe.
Sta mislis cime da probam da ocistim i taj sporni MP3 ili da ga vise jednostavno ne koriste.
I da na kraju nadam se uspesnog puta jedno VELIKO HVALA

Dopuna: 01 Dec 2008 16:59

Treba li jos nesto da se odradi pre nego sto zakljucamo slucaj i ja skinem brata s vrata ( kako se rimuje) i prestanem tebe da mucim.Pozdrav

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Skini odavde i instaliraj USB_blocker Home Edition:
http://amf.mycity.rs/personal/bobby/USB_blocker/

To im ostavi na kompu da ih stiti od buba-svaba sa MP3 plejera.

Hajmo jos da deinstaliramo ComboFix (to ce jos dodatno ocistiti HD od junk fajlova):

Klikni START a zatim RUN
U liniju za unos teksta ukucaj Combofix /u i klikni OK





Sačekaj da se proces deinstalacije završi
Gornja procedura će:
Obrisati sledeće:
ComboFix i njegove file-ove i foldere
VundoFix Backups folder, ako postoji
C:\Deckard folder, ako postoji
C:\OtMoveIt folder, ako postoji
Resetovati podešavanja sata na kompjuteru
Sakriti ekstenzije file-ova, ako je potrebno
Sakriti sistemske/skrivene file-ove/foldere, ako je potrebno
Resetovati System Restore

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Izvini boby jos samo ovo.Nije hteo komp da deinstalira combofix kad ukucam u RUN.Pise windows cannot find combofix/u.....
Da li je bitna velicina slova ,razmaci...

Da li isto tretira combofix/u (bez razmaka) i combofix /u ( sa razmakom)

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Sa razmakom.
Ako si ga obrisao sa desktopa, onda nece da radi deinstalacija.

Probaj u Run da ukucas sledece:
c:\documents and settings\MiliMare\Desktop\ComboFix.exe /u

Ako nece ni to da radi, onda rucno obrisi foldere:
c:\combofix
c:\qoobox

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Hvala ti jos jednom