imam problem oko podizanja windowsa xp

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

bobby izvini što sam malo kasnio, bio mi je zauzet ovaj računar što je na internetu. a izvini i što ja moram sve ovako detaljno ali prošli put mi se desilo da brisem zaražene viruse na svoje "znanje" pa sam pobrisao šta ne treba. Zaustavio sam avast i pokrenuo ComboFix i posle kratkog vremena mi izbacuje sledeću poruku (na slici) smijem li ići na DA


Dopuna: 27 Jan 2009 17:52

ispravka: zaražene fajlove

Dopuna: 27 Jan 2009 18:04

Uz izvinjenje da dodam da je ovaj kompjuter što je na internetu prije 5-6 dana bio kod "majstora" jer sam mu ja prethodno pobrisao mnogo toga što nije trebalo nakon skeniranja NOD-om, pa nije mogao podići sistem. Tako da mislim da je nakon toga "majstor" sve napravio da je OK. Ako se za ovih 5-6 dana nije šta nakačilo.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

U onom dijalogu mozes slobodno kliknuti na Yes.

Ne moze nista da naskodi ako pustis ComboFix. Cak i ako obrise nesto pogresno, on pravi backup, pa mozemo stvari vratiti na mesto.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

ComboFix 09-01-21.04 - Pc 2009-01-27 18:44:38.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1033.18.446.184 [GMT 1:00]
Running from: c:\documents and settings\Pc\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 090127-0] *On-access scanning disabled* (Updated)
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\admin\Application Data\gadcom
c:\documents and settings\admin\Application Data\gadcom\gadcom.exe
c:\documents and settings\admin\Local Settings\Temporary Internet Files\fbk.sts
c:\program files\Microsoft Common

.
((((((((((((((((((((((((( Files Created from 2008-12-27 to 2009-01-27 )))))))))))))))))))))))))))))))
.

2009-01-22 21:39 . 2009-01-22 21:39 <DIR> d---s---- c:\documents and settings\Pc\UserData
2009-01-22 19:08 . 2009-01-22 19:09 <DIR> d-------- C:\USBNoRisk
2009-01-15 21:15 . 2009-01-15 21:15 <DIR> d-------- c:\program files\Common Files\LightScribe
2009-01-15 21:13 . 2009-01-15 21:13 <DIR> d-------- c:\documents and settings\Pc\Application Data\Ahead
2009-01-15 21:13 . 2009-01-15 21:13 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Ahead
2009-01-15 21:10 . 2009-01-15 21:10 <DIR> d-------- c:\program files\Nero
2009-01-15 21:10 . 2009-01-15 21:10 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Nero
2009-01-15 20:47 . 2009-01-15 20:47 <DIR> d-------- c:\program files\Webteh
2009-01-15 20:43 . 2009-01-15 20:43 <DIR> d-------- c:\program files\Realtek
2009-01-15 20:42 . 2005-04-16 22:20 487,424 --a------ c:\windows\RtlExUpd.dll
2009-01-15 20:42 . 2004-03-17 14:36 15,872 --a------ c:\windows\system32\spupdsvc.exe
2009-01-15 20:40 . 2009-01-15 20:41 <DIR> d-------- c:\program files\Winamp
2009-01-15 20:40 . 2009-01-15 20:40 <DIR> d-------- c:\program files\Common Files\Adobe AIR
2009-01-15 20:40 . 2009-01-15 20:41 <DIR> d-------- c:\documents and settings\Pc\Application Data\Winamp
2009-01-15 20:40 . 2009-01-15 20:40 <DIR> d-------- c:\documents and settings\Pc\Application Data\CyberLink
2009-01-15 20:38 . 2009-01-15 20:38 <DIR> d-------- c:\windows\system32\QuickTime
2009-01-15 20:38 . 2009-01-15 20:38 <DIR> d-------- c:\windows\system32\custom matrices
2009-01-15 20:38 . 2009-01-15 20:38 <DIR> d-------- c:\windows\system32\C2MP
2009-01-15 20:38 . 2009-01-15 20:38 <DIR> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\CyberLink
2009-01-15 20:37 . 2009-01-15 20:37 <DIR> d-------- c:\program files\CyberLink
2009-01-15 20:34 . 2003-06-19 00:31 17,920 --a------ c:\windows\system32\mdimon.dll
2009-01-15 20:34 . 2009-01-15 20:34 376 --a------ c:\windows\ODBC.INI
2009-01-15 20:32 . 2009-01-15 20:32 <DIR> d-------- c:\program files\Microsoft.NET
2009-01-15 20:31 . 2009-01-15 20:31 <DIR> d-------- c:\program files\Microsoft Works
2009-01-15 20:29 . 2009-01-15 20:29 <DIR> dr-h----- C:\MSOCache
2009-01-15 20:14 . 2004-08-03 23:59 57,472 --a------ c:\windows\system32\drivers\redbook.sys
2009-01-15 20:14 . 2001-08-17 14:59 3,072 --a------ c:\windows\system32\drivers\audstub.sys
2009-01-15 20:13 . 2004-08-04 01:56 74,240 --a------ c:\windows\system32\usbui.dll
2009-01-15 20:13 . 2004-08-03 23:31 20,992 --a------ c:\windows\system32\drivers\RTL8139.sys
2009-01-15 20:11 . 2009-01-15 20:28 <DIR> d--h----- c:\documents and settings\Default User.WINDOWS
2009-01-15 20:11 . 2009-01-15 19:19 <DIR> dr------- c:\documents and settings\All Users.WINDOWS\Documents
2009-01-15 20:09 . 2009-01-15 19:25 261 --a------ c:\windows\system32\$winnt$.inf
2009-01-15 20:01 . 2006-01-04 21:05 520,192 --------- c:\windows\system32\ati2sgag.exe
2009-01-15 19:29 . 2009-01-15 19:29 <DIR> d-------- c:\program files\Alwil Software
2009-01-15 19:27 . 2009-01-22 21:39 <DIR> d-------- c:\documents and settings\Pc
2009-01-15 19:27 . 2009-01-15 19:27 <DIR> d--hs---- c:\documents and settings\LocalService.NT AUTHORITY
2009-01-15 19:26 . 2009-01-15 19:26 <DIR> d--hs---- c:\documents and settings\NetworkService.NT AUTHORITY
2009-01-15 19:26 . 2009-01-15 19:26 8,192 --a------ c:\windows\REGLOCS.OLD
2009-01-15 19:25 . 2006-02-28 13:00 28,288 --a--c--- c:\windows\system32\dllcache\xjis.nls
2009-01-15 19:23 . 2006-02-28 13:00 13,463,552 --a--c--- c:\windows\system32\dllcache\hwxjpn.dll
2009-01-15 19:22 . 2004-05-13 00:39 876,653 --a--c--- c:\windows\system32\dllcache\fp4awel.dll
2009-01-15 19:21 . 2009-01-15 21:08 <DIR> d--hs---- c:\documents and settings\All Users.WINDOWS\DRM
2009-01-15 19:21 . 2009-01-15 19:21 749 -rah----- c:\windows\WindowsShell.Manifest
2009-01-15 19:21 . 2009-01-15 19:21 749 -rah----- c:\windows\system32\wuaucpl.cpl.manifest
2009-01-15 19:21 . 2009-01-15 19:21 749 -rah----- c:\windows\system32\sapi.cpl.manifest
2009-01-15 19:21 . 2009-01-15 19:21 749 -rah----- c:\windows\system32\nwc.cpl.manifest
2009-01-15 19:21 . 2009-01-15 19:21 749 -rah----- c:\windows\system32\ncpa.cpl.manifest
2009-01-15 19:21 . 2009-01-15 19:21 749 -rah----- c:\windows\system32\cdplayer.exe.manifest
2009-01-15 19:21 . 2009-01-15 19:21 488 -rah----- c:\windows\system32\WindowsLogon.manifest
2009-01-15 19:21 . 2009-01-15 19:21 488 -rah----- c:\windows\system32\logonui.exe.manifest
2009-01-15 19:19 . 2006-02-28 13:00 768,512 --a--c--- c:\windows\system32\dllcache\helpctr.exe
2009-01-15 19:18 . 2006-02-28 13:00 1,352,192 --a--c--- c:\windows\system32\dllcache\cimwin32.dll
2009-01-15 17:44 . 2009-01-15 20:02 <DIR> d---s---- c:\windows\system32\config\systemprofile\History
2009-01-02 19:04 . 2009-01-07 19:38 2 --a------ C:\203720626
2008-12-30 20:44 . 2008-12-30 20:44 0 -rahs---- C:\khq

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-15 20:12 --------- d-----w c:\program files\Common Files\Ahead
2009-01-15 19:43 --------- d-----w c:\program files\Common Files\InstallShield
2009-01-15 19:40 --------- d-----w c:\program files\Common Files\Adobe
2009-01-15 19:37 --------- d--h--w c:\program files\InstallShield Installation Information
2008-09-20 20:15 21,032 ----a-w c:\documents and settings\admin\Application Data\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-02-28 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-01-04 344064]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm
"vidc.hfyu"= huffyuv.dll
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-06-27 19:03 152872 c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2007-06-25 08:47 1057064 c:\program files\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 20:24 32768 c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
--a------ 2007-06-25 08:47 1629480 c:\program files\Nero\Nero 7\InCD\NBHGui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-15 111184]
R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-01-15 20560]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b925a6e6-e33a-11dd-afc5-0019db587bf0}]
\Shell\AutoRun\command - xo8wr9.exe
\Shell\explore\Command - xo8wr9.exe
\Shell\open\Command - xo8wr9.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Common Files\LightScribe\LSRunOnce.exe"
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.t-com.me/
IE: Iz&vezi u Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-27 18:46:25
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(544)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\antiwpa.dll
.
Completion time: 2009-01-27 18:47:12
ComboFix-quarantined-files.txt 2009-01-27 17:47:11

Pre-Run: 152.438.386.688 bytes free
Post-Run: 153,142,140,928 bytes free

147

je li to to?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Sada cu da pregledam.
Prisutna je USB infekcija, to stoji.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Napomena: Nije mi bio fleš u kompjuteru dok sam skenirao.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b925a6e6-e33a-11dd-afc5-0019db587bf0}]
\Shell\AutoRun\command - xo8wr9.exe
\Shell\explore\Command - xo8wr9.exe
\Shell\open\Command - xo8wr9.exe
Ovo ti stoji u reg. bazi, i to meni govori da je u ovaj komp ubacivan USB uredjaj koji je bio inficiran.

Hajde pokreni USBNoRisk i postavi mi log.
Evo uputstva za USBNoRisk, da te podsetim postupka:

- Preuzmi USBNoRisk na Desktop i pokreni ga duplim klikom na ikonicu programa.
- Sacekaj koji sekund dok program izvrsi inicijalno skeniranje.
- Ubacuj sve USB memorijske uredjaje redom u USB slot i svaki zadrzi u slotu po 10 sekundi.
- Ukoliko imas vise uredjaja za proveru, onda na parcetu papira zapisi kojim redom su ubacivani jer ce nam kasnije trebati taj podatak
- Kada zavrsis sa svim uredjajima, klikni desno dugme misa na sred prozora programa i odaberi opciju Save log. To ce automatski otvoriti log u Notepadu. Iskopiraj nam taj log iz Notepada na forum.

Objasnjenje: U USB memorijske uredjaje spadaju svi oni uredjaji koji po prikljucivanju na kompjuter dobijaju svoju oznaku particije. Tu spadaju USB flash drajvovi, eksterni hard-diskovi, memorijske kartice, MP3 i MP4 plejeri, neki mobilni telefoni, neki GPS (navigacioni) uredjaji itd.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

USBNoRisk by bobby

Started at 27.1.2009 21:20:36

Scanning for connected USB Mass storage...
----------------------------------------
========================================

Scanning for other storage...
----------------------------------------
C: {dc12bca1-e336-11dd-bffe-806d6172696f}
========================================


Scanning fixed storage for autorun.inf files...
----------------------------------------
Autorun.inf on C: - None
----------------------------------------

Sanitizing Shell Menu...
----------------------------------------
No key found for C:
No key found for dc12bca1-e336-11dd-bffe-806d6172696f
========================================

========================================



New device connected at 27.1.2009 21:21:05

Scanning for connected USB mass storage...
----------------------------------------
I: {7b7caba1-e3b1-11dd-afc9-0019db587bf0}
Added I:
========================================

Scanning USB mass storage for files...
----------------------------------------
Autorun.inf on I: - None
----------------------------------------

Sanitizing Shell Menu...
----------------------------------------
Sanitized 7b7caba1-e3b1-11dd-afc9-0019db587bf0
========================================

----------------------------------------

Desktop.ini on I: - None
----------------------------------------

========================================

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

To nije isti USB uredjaj sa kojeg je dosla infekcija.

Ovo je tvoj uredjaj koji si sada skenirao:
7b7caba1-e3b1-11dd-afc9-0019db587bf0

Ovo je uredjaj koji je doneo infekciju:
b925a6e6-e33a-11dd-afc5-0019db587bf0

Svaki uredjaj ima takav identifikacioni broj.

Ako nemas ideju koji je to memorijski uredjaj bio sa kojeg se pojavila infekcija, onda ne bih znao sta da ti kazem.

Ja bih da sada predjemo na onaj drugi komp posto je ovaj sada (rekao bih) cist.

Postavi mi ComboFix log za drugi racunar (napraviti svez log).

Ja cu tvoj odgovor najverovatnije procitati tek sutra, posto cu uskoro na spavanjac (ustajem rano za na posao).

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ovako ako sam ja sve dobro razumio da pojasnim.
U pravu si ovaj zadnji sto sam skenirao je moj fles. i na njemu se javlja ovo sto sam negde gore naveo i slikama pokazao da izbacuje NOD.
E sad u oba ova racunara se ubacuje moj fles i fles od kolege koji radi na ovom kompjuteru gdje ima internet, tako da je moguce da je njegov fles donio infekciju. Pokusao sam sa ComboFix skenirati na mom racunaru ali mi je izbacio poruku kao maloprije

Razmisljajuci da rijesim problem kao maloprije iz desnog donjeg ugla sam zatvorio (uklonio) ikonicu NOD-a, medjutim nista se nije promijenilo opet izbacuje istu poruku. Posto i ja sad zavrsavam posao cujemo se sutra.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

NOD se iskljucuje ovako (iskljucivanje ikonice iz traya ne iskljucuje NOD):

* Otvori Nod32 Control Center (Klik na njegovu tray ikonicu ( ) u donjem desnom uglu ekrana).
* Izaberi AMON iz Threat Protection grupe opcija.
* Na desnom panelu deštikliraj opciju File system monitor (AMON) enabled.
* Gašenje ove opcije pokazaće se kroz promenu boje Control Center-a iz zelene u crvenu.

Napomena: Ne zaboravi da uključiš ovu opciju po završetku čišćenja.