potrebna pomoć

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

ComboFix 08-07-03.5 - Windows Xp 2008-07-04 18:30:31.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.31 [GMT 2:00]
Running from: C:\Documents and Settings\Windows Xp\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\Windows Xp\Desktop\CFScript.txt
* Created a new restore point
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\Config.exe
c:\windows\system32\gebccab.dll
C:\WINDOWS\SYSTEM32\kerest.dll
C:\WINDOWS\system32\OBeamuo7.exe
C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Tasks\At10.job
C:\WINDOWS\Tasks\At11.job
C:\WINDOWS\Tasks\At12.job
C:\WINDOWS\Tasks\At13.job
C:\WINDOWS\Tasks\At14.job
C:\WINDOWS\Tasks\At15.job
C:\WINDOWS\Tasks\At16.job
C:\WINDOWS\Tasks\At17.job
C:\WINDOWS\Tasks\At18.job
C:\WINDOWS\Tasks\At19.job
C:\WINDOWS\Tasks\At2.job
C:\WINDOWS\Tasks\At20.job
C:\WINDOWS\Tasks\At21.job
C:\WINDOWS\Tasks\At22.job
C:\WINDOWS\Tasks\At23.job
C:\WINDOWS\Tasks\At24.job
C:\WINDOWS\Tasks\At3.job
C:\WINDOWS\Tasks\At4.job
C:\WINDOWS\Tasks\At5.job
C:\WINDOWS\Tasks\At6.job
C:\WINDOWS\Tasks\At7.job
C:\WINDOWS\Tasks\At8.job
C:\WINDOWS\Tasks\At9.job

.
((((((((((((((((((((((((( Files Created from 2008-06-04 to 2008-07-04 )))))))))))))))))))))))))))))))
.

2008-06-23 16:53 . 2008-06-23 16:53 244 --ah----- C:\sqmnoopt19.sqm
2008-06-23 16:53 . 2008-06-23 16:53 232 --ah----- C:\sqmdata19.sqm
2008-06-23 14:09 . 2008-06-23 14:09 244 --ah----- C:\sqmnoopt18.sqm
2008-06-23 14:09 . 2008-06-23 14:09 232 --ah----- C:\sqmdata18.sqm
2008-06-23 10:14 . 2008-06-23 10:14 244 --ah----- C:\sqmnoopt17.sqm
2008-06-23 10:14 . 2008-06-23 10:14 232 --ah----- C:\sqmdata17.sqm
2008-06-23 08:53 . 2008-06-23 08:53 244 --ah----- C:\sqmnoopt16.sqm
2008-06-23 08:53 . 2008-06-23 08:53 232 --ah----- C:\sqmdata16.sqm
2008-06-20 08:34 . 2008-07-03 17:08 <DIR> d-------- C:\Program Files\WinClamAVShield
2008-06-20 08:01 . 2008-06-20 08:01 <DIR> d-------- C:\Program Files\Crawler
2008-06-20 08:00 . 2008-07-04 00:00 <DIR> d-------- C:\Program Files\Spyware Terminator
2008-06-20 08:00 . 2008-07-04 00:00 <DIR> d-------- C:\Documents and Settings\Windows Xp\Application Data\Spyware Terminator
2008-06-20 08:00 . 2008-07-03 17:08 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-06-20 08:00 . 2008-06-20 08:00 141,312 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-06-14 14:36 . 2008-06-14 14:37 <DIR> d-------- C:\Program Files\Acme CAD Converter

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-04 16:22 --------- d-----w C:\Documents and Settings\Windows Xp\Application Data\stickies
2008-07-02 01:16 --------- d-----w C:\Documents and Settings\Windows Xp\Application Data\MegauploadToolbar
2008-07-01 18:15 --------- d-----w C:\Documents and Settings\Windows Xp\Application Data\Corel
2008-07-01 15:22 --------- d-----w C:\Documents and Settings\Windows Xp\Application Data\uTorrent
2008-06-20 09:34 --------- d-----w C:\Program Files\uTorrent
2008-06-02 13:19 --------- d-----r C:\Program Files\Vizros
2008-05-31 19:04 --------- d-----w C:\Program Files\CDisplay
2008-05-25 17:10 --------- d-----w C:\Documents and Settings\Windows Xp\Application Data\Skype
2008-05-21 10:13 --------- d-----w C:\Program Files\Corel
2008-05-21 10:13 --------- d-----w C:\Program Files\Common Files\Corel
2008-05-03 21:44 96,864 ----a-w C:\WINDOWS\~GLC0001.TMP
2008-05-03 21:41 96,864 ----a-w C:\WINDOWS\~GLC0000.TMP
2007-04-19 01:47 88 --sh--r C:\WINDOWS\system32\7BABFE60C1.sys
2007-11-17 12:34 88 --sh--r C:\WINDOWS\system32\D9C8DBE01D.sys
.

((((((((((((((((((((((((((((( [Link mogu videti samo ulogovani korisnici] )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-01 09:08:26 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-04 15:04:48 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-06-30 06:45:29 10,332 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
+ 2008-07-01 17:29:48 10,332 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 03:07 15360]
"iolo Utility Bar"="C:\Program Files\iolo\System Mechanic 5 Professional\SMUtilityBar.exe" [2005-01-31 12:58 735232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-10-28 22:05 344064]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-09-29 18:55 949376]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 03:07 158208]
"ISUSPM Startup"="C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 16:30 249856]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 16:30 81920]
"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-06-20 08:00 1817600]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 03:07 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 03:07 15360]

C:\Documents and Settings\Windows Xp\Start Menu\Programs\Startup\
Stickies.lnk - C:\Program Files\stickies\stickies.exe [2007-03-08 23:28:19 700416]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
Source= C:\Documents and Settings\Windows Xp\Desktop\html Ivana\baby_desktop.html
FriendlyName=

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.3iv2"= 3ivxVfWCodec.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.VP31"= vp31vfw.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Acrobat Assistant.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^AutoCAD Startup Accelerator.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\AutoCAD Startup Accelerator.lnk
backup=C:\WINDOWS\pss\AutoCAD Startup Accelerator.lnkCommon Startup
=

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 01:47 31016 C:\Program Files\Microsoft Office 2007\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 13:54 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 16:57 282624 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 20:24 32768 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-12-22 11:09 77824 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\PopCap Games\\Bejeweled Deluxe\\WinBej.exe"=
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\WINDOWS\\system32\\svchost.exe"=
"C:\\Program Files\\eMule2\\eMule.exe"=
"C:\\Program Files\\uTorrent\\utorrent.exe"=
"C:\\Program Files\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\Custom Content Manager\\CCM.exe"=
"C:\\Program Files\\Opera\\Opera.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\Pando Networks\\Pando\\pando.exe"=
"C:\\Program Files\\Microsoft Office 2007\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Microsoft Office 2007\\Office12\\GROOVE.EXE"=
"C:\\Program Files\\Microsoft Office 2007\\Office12\\ONENOTE.EXE"=
"C:\\Program Files\\DC++\\DCPlusPlus.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"C:\\Program Files\\Windows Media Player\\wmplayer.exe"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-06-20 08:00]
S3 PIXMCV;JVC Communication PIX-MCV Driver;C:\WINDOWS\system32\Drivers\pixmcvc.sys [2002-09-28 07:08]
S3 PIXMCVA;JVC PIX-MCV Audio Capture;C:\WINDOWS\system32\Drivers\pixmcva.sys [2002-10-04 03:53]
S3 PIXMCVV;JVC PIX-MCV Video Capture;C:\WINDOWS\system32\Drivers\pixmcvv.sys [2002-11-28 09:16]
S3 usnjsvc;Messenger Sharing Folders USN Journal Reader service;"C:\Program Files\MSN Messenger\usnsvc.exe" [2007-01-19 13:54]

*Newly Created Service* - CATCHME
.
Contents of the 'Scheduled Tasks' folder
"2008-06-19 05:47:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Link mogu videti samo ulogovani korisnici]
Rootkit scan 2008-07-04 18:34:56
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


**************************************************************************
.
Completion time: 2008-07-04 18:48:38
ComboFix-quarantined-files.txt 2008-07-04 16:47:34
ComboFix2.txt 2008-07-01 15:51:42
ComboFix3.txt 2008-07-01 09:22:49

Pre-Run: 3,772,514,304 bytes free
Post-Run: 3,767,697,408 bytes free

201

Dopuna: 04 Jul 2008 19:23

Napomena br. 1:
Pitanje s početka je postavila supruga, ali je sada na letovanju, pa je ja odmenjujem u posetama ambulanti.

Napomena br. 2:
Nakon završenog skeniranja na ekranu je ostao log, i ništa više. Bez ikonica na desktopu, bez taskbara, bez start menija, bilo čega. Morao sam da restartujem računar kako bih bilo šta mogao da uradim dalje. Je li to normalno?

Dopuna: 05 Jul 2008 19:28

Još nešto, primetio sam da mi se, kada startujem Firefox, pojavljuje prvo prozor sa porukom "Trying to load a non-local URI" ili nešto slično. Toga ranije nije bilo, a mislim da se pojavljuje od pre par dana.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

2)није баш нормално то што се десило..
3)пробај да деинсталираш MegaUplaodToolbar, рекоше ми да он може да прави те проблеме, и да су се највероватније јавили после апгрејда firefox-а...

какво је стање са рачунаром сада, има ли поп апова и даље?? да ли је мало бржи??

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Iskreno, računar je neznatno brži. I dalje se sistem podiže i gasi jako dugo, a nekada se sve zakoči na desetak sekundi. Popupova više nema.

Deinstalirao sam megaupload toolbar, ali se ona poruka opet pojavljuje. Inače, firefox nije skoro apgrejdovan, bar ne namerno, koliko ja znam, a dotični toolbar je instaliran pre više meseci. Je li moguće da virus pokušava da otvori neku stranicu? Šta uopšte znači "URI"?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Овај лог је чист, што се тиче проблема са FireFox-ом, пробај овде [Link mogu videti samo ulogovani korisnici]

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Hvala, probaću.
Nego, zanima me ona priča o USB stikovima. Postoji li način da utaknem tuđi usb, da ga skeniram i preuzmem potrebne podatke, a da se ne zarazim? Mogu li uz pomoć Flash Disinfectora da to obavim, i da, recimo, održavam svoj usb stik, jer ga koristim na više računara?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Можеш држати шифт, када убацујеш флешку, тако избегаваш покретање ауторана (тако и долази до инфекције) или користити програм превентивно, који си користио и овде...

поздрав

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Hvala puno na odgovorima.
Imam samo još jedno (dva) pitanja. Da li držanjem šifta na tuđem računaru sprečavam da se moj fleš zarazi? Da li se fleš zarazi samo tokom autorana ili može i kada se pristupa podacima?

Pozdrav

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ne postoji nacin da sprecis infekciju flesha ukoliko ga prikljucis na zarazen racunar.
Eventualno, ukoliko je flesh takav da ima mali preklopnik za prebacivanje u read-only mode, to moze jedino spreciti infekciju flesha.

Drugi problem je kako da sprecis da se cist racunar inficira kada se u njega ubaci zarazen flesh, ali ovome ce uskoro biti resenja posto upravo radimo na programu bas za ovu namenu.
Upravo ga maksimalno testiramo i bice postavljen na download tokom sledece nedelje.