cbXOGYRj.dll

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Sophos i Kaspersky ne detektuju al ja sam siguran da je neka štetočina u pitanju.

Dakle evo loga
Citat:
Logfile of HijackThis v1.97.7
Scan saved at 11:32:19, on 28.5.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\NetLimiter 2 Monitor\nlsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\Atila.loci\Desktop\New Folder\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://(Ok ali cenzurisano)/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://(Ok ali cenzurisano)/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://(Ok ali cenzurisano)/xxx.pac
O2 - BHO: (no name) - {BDD714BC-D36C-487B-8142-8BA020FB6535} - C:\WINDOWS\system32\cbXOGYRj.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"



Probao sam sa HijackThis (jes matora verzija ali nema veze) da uklonim
Citat:C:\WINDOWS\system32\cbXOGYRj.dll ali pri ponovnom skeniranju opet se vrati.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Covece sve radis pogresno.


Zasto nam ne postavis ceo log? Kako ovako da radimo. I taj file se ne uploaduje tu nego na poseban link koji mi dajemo.


Postavi ceo log i ne cenzurisi nista.

Taj file je Vundo, i naravno da ne mozes da ga obrises iz HJT-a. A stavise ugrozio si i druge ljude postavivsi link za download tog fajla

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

helen1 ::Covece sve radis pogresno.


Zasto nam ne postavis ceo log? Kako ovako da radimo. I taj file se ne uploaduje tu nego na poseban link koji mi dajemo....


Postavi ceo log i ne cenzurisi nista.....

To gde piše ok ali cenzurisano piše web adresa firme. Zbog privatnosti ipak nebi stavljao

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Postavi ceo log. A, firmu cenzurisi.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

I šta je to sa mycity-em (što nema dugme edit)

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

MRKY ::I šta je to sa mycity-em (što nema dugme edit)

Da ne bi svako kako mu padne na pamet mogao da menja. To vazi samo za Ambulantu.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

helen1 ::Postavi ceo log. A, firmu cenzurisi.

Pa postavio sam ceo log.

Dopuna: 28 Maj 2008 12:17

Bože moj, pa i pre sam uploadovao na mycity. Što bi bio problem? Uplodovao sam sa vas koji se bavite time.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

MRKY, ispostuj sledece:

- prvo lepo procitaj kako se postavlja HijackThis log, izostavio si nesto jako vazno
- upload virusa radimo na poseban server jer ovaj na kojem je MC ima aktivan anti-virus
- onaj log ni u kom slucaju nije kompletan, fali barem jos 10 linija

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Idemo ispocetka:

Isprati sledeci link:
http://www.mycity.rs/Ambulanta/Kako-otvoriti-temu-u-Ambulanti.html

Lepo ga procitaj i videces da treba promeniti ime HJT-u.

Znaci umesto:
C:\Documents and Settings\Atila.loci\Desktop\New Folder\HijackThis.exe postavi neko drugo ime. U uputstvu je receno:Citat:promenite ime fajla HijackThis.exe u recimo TR3.exe.

I onda nam postavi log.

Dalje, fajlovi se uploaduju na poseban link, koji dajemo kada nas interesuje neki fajl.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ok, sacekajte koji minut.

Dopuna: 28 Maj 2008 12:45

OK, evo ga

Citat:Logfile of HijackThis v1.99.1
Scan saved at 12:38:10, on 28.5.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\NetLimiter 2 Monitor\nlsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\Cenzurisano\Desktop\New Folder\zzzzzzzzzzz.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.Cenzurisano.rs/rv/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.Cenzurisano.rs/rv/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.Cenzurisano.rs/rv/XXX.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.Cenzurisano.rs:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.*;*.Cenzurisano.rs;192.168.*;<local>
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Cenzurisano.rs
O17 - HKLM\Software\..\Telephony: DomainName = Cenzurisano.rs
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FEED3B9-BA2D-4B23-9237-BFC4373BF7CB}: NameServer = 192.168.5.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Cenzurisano.rs
O20 - Winlogon Notify: cbXOGYRj - cbXOGYRj.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Monitor\nlsvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe



U međuvremenu sam obrisao "ručno" cbXOGYRj.dll