Poslao: 28 Dec 2008 21:57
|
offline
- marija0906
- Novi MyCity građanin
- Pridružio: 28 Dec 2008
- Poruke: 4
|
Mislim da imam virus, antivirus je prestao da radi, nee mogu da ga pokrenem niti mogu da instaliram bilo koji drugi, ne radi mi taskmenager... Evo hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:36:00 PM, on 12/28/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Marija Nesic\Desktop\uzas\tr3.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PmProxy] C:\Program Files\Analog Devices\SoundMAX\PmProxy.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A423199-5D00-488E-9837-DF4B3A7B57B1}: NameServer = 77.105.0.19 77.105.0.18
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
--
End of file - 3503 bytes
|
|
|
|
|
Poslao: 28 Dec 2008 22:55
|
offline
- marija0906
- Novi MyCity građanin
- Pridružio: 28 Dec 2008
- Poruke: 4
|
ComboFix 08-12-28.01 - Marija Nesic 2008-12-28 22:20:22.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.495.262 [GMT 1:00]
Running from: c:\documents and settings\Marija Nesic\Desktop\ComboFix.exe
* Created a new restore point
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\e100bmsg.dll
.
((((((((((((((((((((((((( Files Created from 2008-11-28 to 2008-12-28 )))))))))))))))))))))))))))))))
.
2008-12-28 22:16 . 2008-12-28 22:16 <DIR> d-------- c:\windows\LastGood
2008-12-28 21:45 . 2008-12-28 21:45 <DIR> d---s---- c:\documents and settings\Marija Nesic\UserData
2008-12-28 21:18 . 2008-12-28 21:18 <DIR> d-------- c:\program files\Conexant
2008-12-28 21:17 . 2003-09-12 04:26 646,784 --a------ c:\windows\system32\drivers\CnxEtU.sys
2008-12-28 21:17 . 2003-10-29 08:07 163,840 --a------ c:\windows\system32\CnxHwIo.dll
2008-12-28 21:17 . 2002-08-06 08:59 118,784 --a------ c:\windows\system32\CnxMfdCo.dll
2008-12-28 21:17 . 2001-10-03 08:08 118,784 --a------ c:\windows\system32\CnxClsCo.dll
2008-12-28 21:17 . 2003-10-29 08:02 108,675 --a------ c:\windows\system32\drivers\CnxTgN.sys
2008-12-28 21:17 . 2003-09-12 04:26 60,288 --a------ c:\windows\system32\drivers\CnxEtP.sys
2008-12-09 02:43 . 2008-12-09 02:43 172 --ah----- C:\sqmnoopt08.sqm
2008-12-09 02:43 . 2008-12-09 02:43 172 --ah----- C:\sqmdata08.sqm
2008-12-08 18:17 . 2008-12-08 18:17 268 --ah----- C:\sqmdata07.sqm
2008-12-08 18:17 . 2008-12-08 18:17 244 --ah----- C:\sqmnoopt07.sqm
2008-11-28 14:50 . 2008-11-28 14:50 <DIR> d-------- c:\documents and settings\Marija Nesic\Application Data\InterVideo
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 00:34 --------- d-----w c:\program files\Mv2Player
2008-11-23 17:34 --------- d-----w c:\program files\Winamp
2008-11-23 16:46 32 --sha-w c:\windows\system32\drivers\fidbox2.idx
2008-11-23 16:46 32 --sha-w c:\windows\system32\drivers\fidbox2.dat
2008-11-23 16:46 32 --sha-w c:\windows\system32\drivers\fidbox.idx
2008-11-23 16:46 32 --sha-w c:\windows\system32\drivers\fidbox.dat
2008-11-23 16:42 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-11-23 16:41 --------- d-----w c:\documents and settings\Marija Nesic\Application Data\U3
2008-11-23 16:29 --------- d-----w c:\program files\MSN Messenger
2008-11-23 16:23 --------- d-----w c:\documents and settings\Marija Nesic\Application Data\ACD Systems
2008-11-23 16:20 --------- d-----w c:\program files\Microsoft ActiveSync
2008-11-23 16:14 --------- d-----w c:\program files\Ahead
2008-11-23 16:13 --------- d-----w c:\program files\Common Files\Ahead
2008-11-23 16:12 --------- d-----w c:\program files\DivX
2008-11-23 16:01 --------- d-----w c:\documents and settings\All Users\Application Data\ESET
2008-11-23 16:00 --------- d-----w c:\program files\Common Files\Adobe
2008-11-23 15:58 --------- d-----w c:\program files\Common Files\ACD Systems
2008-11-23 15:58 --------- d-----w c:\program files\ACD Systems
2008-11-23 15:58 --------- d-----w c:\documents and settings\All Users\Application Data\ACD Systems
2008-11-23 15:55 --------- d-----w c:\program files\ltmoh
2008-11-23 15:53 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-23 15:53 --------- d-----w c:\program files\Analog Devices
2008-11-23 15:52 --------- d-----w c:\program files\InterVideo
2008-11-23 15:49 --------- d-----w c:\program files\Intel
2008-11-23 15:47 --------- d-----w c:\program files\Common Files\InstallShield
2008-11-23 15:47 --------- d-----w c:\program files\Apoint2K
2008-11-23 15:39 --------- d-----w c:\program files\microsoft frontpage
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2002-12-25 159744]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-04-07 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-04-07 192512]
"PmProxy"="c:\program files\Analog Devices\SoundMAX\PmProxy.exe" [2003-02-28 40960]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2003-01-02 172032]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 108400]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 229376]
"CnxDslTaskBar"="c:\program files\Conexant\AccessRunner ADSL\CnxDslTb.exe" [2003-10-29 462848]
"AGRSMMSG"="AGRSMMSG.exe" [2003-04-18 c:\windows\agrsmmsg.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 152992]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\WINDOWS\\system32\\NeroCheck.exe"=
"c:\\Program Files\\Adobe\\Reader 9.0\\Reader\\Reader_sl.exe"=
"c:\\Program Files\\InterVideo\\WinDVD4\\WinDVD.exe"=
"c:\\Program Files\\Mv2Player\\Mv2PlayerPlus.exe"=
"c:\\WINDOWS\\system32\\hkcmd.exe"=
R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\pnonr.sys []
R3 CnxEtP;Conexant AccessRunner USB ADSL WAN Adapter Filter Driver;c:\windows\system32\DRIVERS\CnxEtP.sys [2008-12-28 60288]
R3 CnxEtU;Conexant AccessRunner USB ADSL Interface Device Driver;c:\windows\system32\DRIVERS\CnxEtU.sys [2008-12-28 646784]
R3 CnxTgN;Conexant AccessRunner USB ADSL WAN Adapter Driver;c:\windows\system32\DRIVERS\CnxTgN.sys [2008-12-28 108675]
R4 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys []
S3 wlags48b;Wireless LAN PCCard Driver;c:\windows\system32\DRIVERS\wlags48b.sys [2008-11-23 156672]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c2a7c00-b977-11dd-a89f-00022db1e8d8}]
\SHelL\AutoPLay\CoMMAnd - F:\lgvb.pif
\SHelL\AutoRun\command - F:\lgvb.pif
\SHelL\EXpLOrE\COmmand - F:\lgvb.pif
\SHelL\OPeN\cOmmAnd - F:\lgvb.pif
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f735a5f0-b97c-11dd-a8a1-00022db1e8d8}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f735a5f1-b97c-11dd-a8a1-00022db1e8d8}]
\Shell\auToPlAy\comMand - G:\ciqww.exe
\Shell\AutoRun\command - G:\ciqww.exe
\Shell\exPlOrE\CoMMAnD - G:\ciqww.exe
\Shell\Open\cOmMAnd - G:\ciqww.exe
*Newly Created Service* - PROCEXP90
.
.
------- Supplementary Scan -------
.
uStart Page = about:blank
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: {8A423199-5D00-488E-9837-DF4B3A7B57B1} = 77.105.0.18 77.105.0.19
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, gmer.net
Rootkit scan 2008-12-28 22:21:47
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-12-28 22:23:56
ComboFix-quarantined-files.txt 2008-12-28 21:23:51
Pre-Run: 11,253,911,552 bytes free
Post-Run: 11,244,146,688 bytes free
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
155
Dopuna: 28 Dec 2008 22:55
Je l' to to?
|
|
|
|
Poslao: 28 Dec 2008 23:12
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
Jeste, to je to.
Preuzmi CatchMe.
Dvoklikom pokreni catchme.exe i pređi na Script tab.
U (beli) prozor programa iskopiraj tekst koji se nalazi unutar kod polja:
files:
c:\windows\system32\drivers\pnonr.sys
c:\windows\system32\DRIVERS\epfwtdir.sys
Klikni na taster Run.
Kada se pojavi poruka sa obaveštenjem, kliknuti OK.
Po završetku procesa, na Desktopu će se nalaziti file catchme.zip.
Uploaduj ga preko sledeće forme: http://www.mycity.rs/ambulanta-upload.php
|
|
|
|
|
Poslao: 28 Dec 2008 23:35
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
Otvoriti Notepad i iskopirati sledeci tekst:
Rootkit::
c:\windows\system32\drivers\pnonr.sys
Driver::
abp470n5
Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=-
"DisableRegistryTools"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c2a7c00-b977-11dd-a89f-00022db1e8d8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f735a5f1-b97c-11dd-a8a1-00022db1e8d8}]
Snimiti na Desktop fajl iz Notepada kao "CFScript"
Prevuci snimljeni skript/tekst na ComboFix ikonicu kao na slici.
Postaviti u sledecoj poruci log koji bude bio napravljen na kraju ciscenja/skeniranja.
-------------------------------------------------------------------------------------
Preuzmi Dr.Web CureIt (~12 MB).
Restartuj kompjuter u Safe Mode (uputstvo za Safe Mode)
Dvoklikom pokreni cureit.exe, nakon čega će se pojaviti uvodni prozor - klikni Start
Pojaviće se obaveštenje o započinjanju uvodnog skeniranja - klikni OK
Sačekaj nekoliko minuta da Dr.Web CureIt izvrši Express Scan; ukoliko malware bude pronađen, klikom na taster Yes to All u prozoru koji se pojavi dozvoli programu da izvrši dezinfekciju
Klikni Options > Change settings F9; u prozoru koji će se otvoriti, dečekiraj opciju Heuristic Analysis a zatim klikni OK
U glavnom prozoru obeleži opciju Complete scan a zatim klikni i Dr.Web CureIt će započeti skeniranje
Ukoliko malware bude pronađen, klikom na taster Yes to All u prozoru koji se pojavi dozvoli programu da izvrši dezinfekciju
Kada skeniranje bude završeno, klikni Select all taster (ukoliko je dostupan), a zatim klikni Cure i,
u meniju koji se otvori, klikni Move incurable:
Po završetku procesa, klikni File > Save report list i sačuvaj log na Desktopu
Iskopiraj sadržaj Dr.Web CureIt loga u temu na forumu.
|
|
|
|
Poslao: 28 Dec 2008 23:58
|
offline
- marija0906
- Novi MyCity građanin
- Pridružio: 28 Dec 2008
- Poruke: 4
|
odmah u startu se pojavljuje problem :ComboFix.exe has encountered a problem and needs to close. We are sorry for the inconvenience.
I tako vise puta...
Dopuna: 28 Dec 2008 23:58
A ne mogu ni da preuzmem taj dr web cure it, strana se ucitava ali nista... a safe mode nije radio danas popodne, krene da se ucitava i restartuje se komp, jer meni je prva ideja danas bila da probam da ukljucim antivirus iz safe moda... Stvarno ne znam sta da radim
|
|
|
|
Poslao: 29 Dec 2008 15:22
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
Ok, vredelo je pokušati.
Hajde da pojasnim o čemu se radi. Antivirus ne možeš da pokreneš jer ga praktično i nema - obrisan je.
Dr.Web CureIt ne možeš da skineš jer je blokiran pristup stranici. Čak i da uspeš da ga skineš, bio bi obrisan.
Safe Mode ne radi jer je oštećen deo registra koji je potreban za pokretanje istoga.
Itd, itd...
Ono što na kompjuteru imaš je jedna varijanta Sality malware-a - u pitanju je kombinacija klasičnog virusa, crva i rootkit-a.
Alati koje mi ovde koristimo ne mogu da vrše dezinfekciju virusa - za to je potreban AV.
S druge strane, teško će bilo koji AV da ukloni ovaj rootkit a uz to je praktično nemoguće pokrenuti neki AV dok god je malware aktivan.
Ukratko; situacija nije obećavajuća.
Generalno pravilo kod ovakvih infekcija je upućivanje na formatiranje HDD-a i to doista i jeste jedino sigurno/potpuno rešenje.
Postoje dve mogućnosti da se izbegne formatiranje.
1) Prebacivanje hard diska u drugi kompjuter - tu ne bi postojalo bilo šta što bi moglo sprečiti dezinfekciju/brisanje file-ova.
2) Korišćenje LiveCD-a sa antivirusom - bilo bi potrebno da skineš image CD-a sa interneta (što bi moglo biti problematično obzirom na to da je blokiran pristup mnogim sajtovima AV kompanija), snimiš ga na CD, pokreneš/bootuješ kompjuter sa CD-a i izvršiš skeniranje.
Uzevši sve u obzir, mogućnost pod 1) je daleko bolja i daje veće šanse za uspeh.
Ono što je još potrebno da ti napomenem - nakon skeniranja i dezinfekcije, može se dogoditi da Windows više ne bude u upotrebljivom stanju (ukoliko AV ne bude bio u mogućnosti da izvrši pravilnu dezinfekciju, tj. ukoliko dođe do oštećenja kritičnih sistemskih file-ova).
Znači; format, prebacivanje HDD-a ili LiveCD.
Razmisli o ovome pa mi javi šta si odlučila.
|
|
|
|