|
Poslao: 08 Jun 2009 21:34
|
offline
- t.mile
- Građanin
- Pridružio: 19 Feb 2009
- Poruke: 188
- Gde živiš: Kucevo
|
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:17, on 8.6.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Windows\vVX3000.exe
C:\Program Files\A4Tech\Keyboard\Ikeymain.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Users\Mile\AppData\Local\Google\Update\GoogleUpdate.exe
C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows.old\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Mile\Desktop\Nova fascikla\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.rs/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: (no name) - {29AD5527-6EE1-42CF-84C7-2B0690B867A2} - unknown (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O3 - Toolbar: QT TabBar - {d2bf470e-ed1c-487f-a333-2bd8835eb6ce} - mscoree.dll (file missing)
O3 - Toolbar: QT Tab Standard Buttons - {d2bf470e-ed1c-487f-a666-2bd8835eb6ce} - mscoree.dll (file missing)
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\Windows\vVX3000.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NSLauncher] C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Google Update] "C:\Users\Mile\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.1.15.dll/206 (file missing)
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{174EAC71-4D04-4025-964E-8A7C77526775}: NameServer = 10.88.0.5
O17 - HKLM\System\CS12\Services\Tcpip\..\{174EAC71-4D04-4025-964E-8A7C77526775}: NameServer = 10.88.0.5
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: bvlruntl - unknown (file missing)
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: ?????? Google Update (gupdate1c9a1d0f99d0439) (gupdate1c9a1d0f99d0439) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe
--
End of file - 8328 bytes
Antivirus mi pokazao da postoji virus i desinfikovao je. Posle toga opet je prijavio isto i ja sam ukljucio da skenira ceo sistem pa se prlikom skeniranja inenada pojavio plavi ekran (nisam stigao da sve procitam ali koliko sam video da pise da se racunar iskljucuje iz sigunosnih razloga). Pokrenusam ga iz safe moda i posle podizanja javlja da je prestao sa radom: msncache. Ovo se ponovilo drugi put za redom u roku od 2 sata.
Hvala unpred!
|
|
|
|
|
|
|
|
|
Poslao: 10 Jun 2009 21:07
|
offline
- t.mile
- Građanin
- Pridružio: 19 Feb 2009
- Poruke: 188
- Gde živiš: Kucevo
|
Nece da se instalira ComboFix pocinjen i nista pokusao sam vise puta ali nista niti prijavi neku gresku ili nesto. Ako je nesto mnogo zajebano da ne gubite vreme sa mnom uradicu ponovo sistem. u svakom slucaju Mnogo sam zahvalan Dr.Bori jer mi je resio jednom problem ali sada ako se ne moze nema veze, sigurno je nesto tesko jer jedva i ov o pisem. Ako je nesto tesko samo kazi Doktore ja ovih dana radim sistem. Hvala i pozdrav!
|
|
|
|
|
|
|
|
|
Poslao: 10 Jun 2009 22:22
|
offline
- t.mile
- Građanin
- Pridružio: 19 Feb 2009
- Poruke: 188
- Gde živiš: Kucevo
|
Napisano: 10 Jun 2009 22:16
Evo sad skidam. malo pre je win uradio apdejt i sve je poludelo ne moze cak ni da se stavi nijedna slika na desktopu, ikone ne vidi iziblicuje ih, parametre za net je izbriso. Bas sad cu da skeniram ako hoce.
Dopuna: 10 Jun 2009 22:22
Nece nikako! Izgleda da mi ne gine nova instalacija. Kaspersky me stalno obavestava da ima trojan u:
deleted: Trojan program Rootkit.Win32.Agent.llr File: C:\Windows\Temp\SKYNETrttyidvtpe.tmp
i obrise ga pole nekog vremena opet i tako stalno cak je bio i u sitem 32.
Ako se ne moze neka preinstalircu win.
|
|
|
|
|
|
|
Poslao: 10 Jun 2009 22:38
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
Preuzmi gmer.zip sa ovog linka i sačuvaj na Desktopu.
Raspakuj ga u neki folder.
Dupli klik na gmer.exe za početak: Izaberi Rootkit/Malware Tab na vrhu.
Klikni na Scan.
Kada je skeniranje završeno, klik na Copy dugme ispod - ovo će sačuvati rezultate skeniranja u Clipboard.
Iskoristi opciju Paste u Notepad-u da bi to prebacio u tekst. Snimi taj tekst iz Notepada kao file1.txt.
Ponovi ovo isto sa Autostart Tab-om. Snimi taj tekst iz Notepada kao file2.txt.
Iskoristi opciju Prikači fajl ispod polja za pisanje poruke na forumu, i prikači nam ovde ta dva fajla koja smo malopre snimili.
|
|
|
|
|
|
|
Poslao: 11 Jun 2009 21:45
|
offline
- t.mile
- Građanin
- Pridružio: 19 Feb 2009
- Poruke: 188
- Gde živiš: Kucevo
|
Napisano: 11 Jun 2009 21:43
Pozdrav!
Skinuo sam Gmer i poceo skeniranje, posle desetek minuta skeniranja opet se restartovao i sve iz pocetka.
Cim pocinje skeniranje gmer odmah prijavi neki malver i trazi da nastavi skeniranje ja sam odobrio i tako opet restart.
Dali da pokusam opet ili da scuvam sta nadje odmah na pocetku?
Dopuna: 11 Jun 2009 21:45
GMER 1.0.15.14972 - gmer.net
Rootkit scan 2009-06-11 21:43:50
Windows 6.0.6001 Service Pack 1
---- System - GMER 1.0.15 ----
Code 88C06DF8 ZwEnumerateKey
Code 88B42388 ZwFlushInstructionCache
Code 88998D25 IofCallDriver
Code 88C012BE IofCompleteRequest
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 85C741E8
AttachedDevice \Driver\tdx \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\tdx \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
---- Threads - GMER 1.0.15 ----
Thread System [4:436] 88DDDE50
Thread System [4:444] 88DDDE50
Thread System [4:448] 88E21F80
Thread System [4:452] 88E21F80
Thread System [4:464] 88E21F80
Thread System [4:3184] A08A1180
---- Services - GMER 1.0.15 ----
Service C:\Windows\system32\drivers\kungsfowibxyyt.sys (*** hidden *** ) [SYSTEM] kungsffxrwlvnc <-- ROOTKIT !!!
---- EOF - GMER 1.0.15 ----
Evo sta nadje na pocetku.
|
|
|
|
|
|
|
Poslao: 11 Jun 2009 23:26
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
Preuzmi The Avenger na Desktop.
Raspakuj arhivu u neki folder
Dvoklikom pokreni avenger.exe
Iskopiraj tekst koji se nalazi unutar Kod polja u (beli) prozor programa:
Drivers to delete:
kungsffxrwlvnc
Files to delete:
C:\Windows\system32\drivers\kungsfowibxyyt.sys
Klikni Execute, a zatim Yes u sledeća dva prozora koji će se otvoriti
Kompjuter će se restartovati (u određenim slučajevima: dva puta) i započeti će proces čišćenja/skeniranja
Kada proces bude završen, logfile C:\avenger.txt će se otvoriti u Notepad-u
Iskopiraj sadržaj dobijenog loga u temu na forumu.
Napomena: sutra (u petak) ću imati jako malo vremena i verovatno ti neću stići odgovoriti pre subote ujutro. Ti odradi ovo što je ovde napisano, a nakon toga možeš opet pokušati i sa pokretanjem ComboFix-a (ukoliko bude radio, postavi i njegov log).
|
|
|
|
|
|
|
Poslao: 12 Jun 2009 21:24
|
offline
- t.mile
- Građanin
- Pridružio: 19 Feb 2009
- Poruke: 188
- Gde živiš: Kucevo
|
Nema sanse da skenirem, evo sta mi priaze(prikacicu sliku) kada hocu da skeniram sa Avenger. sve vise greske prijavljuje i nestaju funkcije. Ja mislim da je uzaludno da ocistimo ovaj sistem i ako uspemo ne bi vredelo jer pola ne radi. Uradicu novi sistem i gotovo! Mene muci drugi problem, imam 2 HDD na jednom mi je sistem a na drugom podaci koje ne bi hteo da izgubim pa Vas pitam Doktore dali je moguce da spasem podatke na drugom HDD-u? Ja planiram da preinstaliram win. u nedelju ali ipak cekam vas savet. Mislim da je virus duboko zabrazdio i da Vas ne mucim vise preinstaliracucu sistem. Pozdrav i hvala!
|
|
|
|
|
|
|
Poslao: 13 Jun 2009 12:36
|
offline
- dr_Bora
- Anti Malware Fighter
Rank 2
- Pridružio: 24 Jul 2007
- Poruke: 12280
- Gde živiš: Höganäs, SE
|
Ako misliš da je Win u preterano lošem stanju i da ga se ne isplati čistiti, ok. U tom slučaju je neophodno da formatiraš samo C: particiju (ne treba sve diskove formatirati).
Nakon inst. Windows-a odmah instaliraj antivirus i skeniraj preostale diskove.
|
|
|
|
|
|
Kada preuzimanje programa bude završeno:
