MyCity » Zaštita od zlonamernih programa » AdobeR.exe???

AdobeR.exe???

Napisano na dan: 25.2.2007
2

AdobeR.exe???
Pagination Prethodna strana
Sledeća strana Pagination

Idi na vrh

Poslao: 05 Apr 2007 19:16
Idi na vrh
offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Ajmo ovako:
Kada se explorerom udje u neki folder Explorer odmah potrazi da li postoji fajl desktop.ini u kojem su sacuvana podesavanja za taj folder.
Iz desktop.ini-ja je moguce ucitati HTML fajl koji moze sluziti kao pozadina za taj folder. HTML ko HTML moze sadrzati JavaScript ili VBScript, i koriscenjem nekog od poznatih exploita moze da pokrene EXE fajl.

Na ovakav nacin, do zaraze dolazi jednostavnim ulaskom u folder koriscenjem Windows Explorera.

Kada se malware jednom startuje, on ce nakon toga inficirati svaki folder kojem se pristupi.

Rucno brisanje bi podrazumevalo ulazak u Safe Mode i brisanje spomenutih fajlova iz nekog fajl-menadzera, a da to ne bude Explorer.

Osim toga, najverovatnije je taj malware upisao neki svoj registry kljuc koji ce ga startovati zajedno sa Windowsom.

Dopuna: 05 Apr 2007 19:16

mineki ::Kako da proverim da li imam SP2?
Desno dugme na My Computer, pa tu odaberi Properties. Tu pise koji Service Pack imas.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
Poslao: 05 Apr 2007 19:33
Idi na vrh
offline
  • mineki 
  • Novi MyCity građanin
  • Pridružio: 04 Apr 2007
  • Poruke: 8

OK, nasla sam...
Pokusavam da se resim arobera, a nikada nisam koristila tu Ambulantu.
Valjda cu se snaci...
Ako neko ima neku sugestiju, moze da mi pomogne!

Dopuna: 05 Apr 2007 19:33

bobby, hvala na odgovoru, stigao je istovremeno sa mojom 2. porukom.
Imam SP2. Sad idem dalje sa uputstvom. Skinula sam HijackThis alči me zbunjuje korak br.3. Na sta se on odnosi?

3. Ukoliko je vas slucaj takav da je vas antivirus prepoznao neku infekciju, ali ne uspeva da je skloni, obavezno zapisite puno ime infekcije, kao i punu putanju do fajla u kome je infekcija nadjena. Molimo vas da imena infekcija zapisujete tacno, svaki znak i slovo su bitni.



Poslao: 05 Apr 2007 19:34
Idi na vrh
offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Samo postavi log, videcemo za dalje.

Poslao: 05 Apr 2007 19:44
Idi na vrh
offline
  • mineki 
  • Novi MyCity građanin
  • Pridružio: 04 Apr 2007
  • Poruke: 8

EVO GA!

Logfile of HijackThis v1.99.1
Scan saved at 19:42:32, on 5.4.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$PSIT\Binn\sqlservr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Smartscaps.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\SafeSignCertReg.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\SmartTrust\SmartTrust Personal\Csp\SmartCertmover.exe
C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Hijack This\mineki.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB002" /M "Stylus DX4200"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Auto EPSON Stylus DX4200 Series on MAJA] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P39 "Auto EPSON Stylus DX4200 Series on MAJA" /O15 "\\MAJA\EPSONSty" /M "Stylus DX4200"
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Auto EPSON Stylus DX4200 Series on MAJA] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P39 "Auto EPSON Stylus DX4200 Series on MAJA" /M "Stylus DX4200" /EF "HKCU"
O4 - HKCU\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /M "Stylus DX4200" /EF "HKCU"
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Certificate Mover.lnk = ?
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: SmartTrust Smart Card Server (Smartscaps) - SmartTrust - C:\WINDOWS\system32\Smartscaps.exe

Poslao: 05 Apr 2007 20:02
Idi na vrh
offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Log je cist.
Kazi mi gde ti se, tj. u kojim situacijama Avast pokazuje da imas taj virus?

Poslao: 05 Apr 2007 21:51
Idi na vrh
offline
  • mineki 
  • Novi MyCity građanin
  • Pridružio: 04 Apr 2007
  • Poruke: 8

Prijavljuje ga kada pokrenem Avast

Dopuna: 05 Apr 2007 21:51

Inace, uradila sam jos jednu stvar. Preko Search opicije pronasla sam fajl adober.exe-02A2B376.pf i obrisala ga pre cele ove price. Da li to ima nekog uticaja i da li je to taj virus?

Poslao: 05 Apr 2007 21:51
Idi na vrh
offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Jel jos uvek prijavljuje, ili ga je ocistio?
Ukoliko jos uvek prijavljuje, napravi nam screenshot poruke koju Avast prijavljuje, ili nam ovde tacno prepisi tu poruku.
Zanima me u kom fajlu ili procesu je nasao virus.

Sto se tice obrisanog fajla, fajlovi sa ekstenzijom .pf nisu bitni, bitan nam je fajl sa ekstenzijom exe

Poslao: 05 Apr 2007 22:02
Idi na vrh
offline
  • mineki 
  • Novi MyCity građanin
  • Pridružio: 04 Apr 2007
  • Poruke: 8

OK, sada vise nista ne mogu da uradim, ali cim mi bude nesto prijavio javicu.
Hvala puno i veliki pozdrav!!!
Marija

Poslao: 06 Apr 2007 14:43
Idi na vrh
offline
  • volley  Male
  • Novi MyCity građanin
  • Pridružio: 06 Apr 2007
  • Poruke: 5

Jednostavno kad ga Avast otkrije, prebaci ga u chest i obrisi. Tako je kod mene bilo. A onda ako hoces mozes sa FxRajump - om obrisati ostatke.

Poslao: 20 Apr 2007 22:28
Idi na vrh
offline
  • mineki 
  • Novi MyCity građanin
  • Pridružio: 04 Apr 2007
  • Poruke: 8

Upomoc!
Proganja me setup.exe. Jedno vreme je prestao da se pojavljuje, a sada ga Avast ponovo pronalazi.
Kako da ga se resim?
Da li je moguce osloboditi se virusa forever?

MyCity » Zaštita od zlonamernih programa » AdobeR.exe???

Ko je trenutno na forumu
 

Ukupno su 906 korisnika na forumu :: 29 registrovanih, 4 sakrivenih i 873 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: bokisha253, croato, Dimitrise93, dule10savic, ginjica, goxsys, Lieutenant, lord sir giga, Misha V, mkukoleca, mnn2, Mr. Majevica, mrav pesadinac, nedeljkovici, nenad81, Panter, pein, raptorsi, repac, Rogan33, S2M, Smiljke, Srki94, Srle993, stalja, Trpe Grozni, Tvrtko I, wolf431, zziko