|
Poslao: 09 Okt 2010 04:33
|
offline
- bobm
- Novi MyCity građanin
- Pridružio: 09 Feb 2009
- Poruke: 14
|
pozdrav dobri ljudi. drug mi je doneo lap top na kome je instaliran win7 sa avg-om za koji nisam siguran koliko je cesto updejtovan. infekcija koja je sigurno na racunaru je security tool koji zeli moju dusu 
logove DDS-a i Gmera nemam jer ih security tool odmah po startovanju ubije i nisu u mogucnosti da odrade bilo sta.
do sad sam pokusao:
bleepingcomputer.com/virus-removal/remove-security-tool
i
securitytoolremoval.net/virus/windows-7.....emoval-53/
kod prvog linka cini mi se da rkill.com ne uspe da uradi to sto bi trebalo, MBAM isto samo krene instalaciju i odmah ga prekida.
kod drugog linka prvi problem je sto nema file-a na desktopu, a u program data (putanja gde bi trebalo da bude) ne postoji nista sto bi licilo na exe virusa. mislio sam da se mozda nalazi u application data, medjutim njemu ne mogu da pristupim. (ne mogu mu pristupiti ni iz safe moda, mozda je do nekih prava i dozvola iz win7, nisam sa njime skoro nikako radio)
zadnja ideja mi je da skinem i rezem puppy linux na livecd pa da iz njega probam da udjem u application data ili vec da cesljam po hardu dok ne naidjem na nesto sumnjivo. al to ostavljam za sutra ukoliko vi nemate neku bolju i efikasniju ideju.
hvala unapred
|
|
|
|
|
|
|
Poslao: 09 Okt 2010 08:07
|
offline
- magna86
- Anti Malware Fighter
Rank 2
- Pridružio: 21 Jun 2008
- Poruke: 6104
|
Pozdrav 
U toku resavanja slucaja, zamolio bih te da se pridrzavas sledeceg:
Detaljno citati moja uputstva (ili uputstva kolega koji ce me zamenjivati) i raditi iskljucivo po njima;
Ne traziti istovremeno pomoc na drugom mestu;
Nemoj koristiti druge programe za uklanjanje malware-a, osim onih za koje budes dobio uputstvo;
U toku intervencije ne koristiti USB memorijske uredjaje, dok to ne budem zatrazio;
Ukoliko ne odgovorim u roku od 48h, osvezi temu novim post-om;
Za vise informacija o pravilima Ambulante MyCity foruma: LINK
...............................................................................................
Preuzmi sUBs-ov ComboFix sa sledeće adrese na Desktop:
Bleeping Computer
Klikni desnim tasterom na link i odaberi opciju Save Target As... (Save Link As..., Save Linked Content As... ili sličnu);
Kada se otvori dijalog za izbor lokacije na kojoj treba sačuvati file, odaberi Desktop i klikni Save.
 Kada preuzimanje programa bude završeno:
Start >> Run
%UserProfile%\desktop
Enter
Promeni naziv ComboFix-u u iexplore.exe.
Napomena: Sa prikazom ekstenzija ComboFix.exe bi se zvao iexplore.exe ( pogresno je: iexplore.exe.exe )
Zatim:
deaktiviraj zaštitni softver (uputstvo);
zatvori pokrenute programe;
dvoklikom pokreni program ComboFix.
U toku rada, ComboFix će:proveriti postoji li novija verzija programa:
klikni Yes ako bude ponuđeno preuzimanje iste. prikazati DISCLAIMER OF WARRANTY ON SOFTWARE:
klikni Yes kako bi proces bio nastavljen.ako Recovery Console nije instalirana, ponuditi instalaciju:
obavezno prihvati klikom na Yes i isprati postupak.postaviti/dati određeni broj upita/obaveštenja:
prihvati klikom na Yes ili OK.po potrebi, restartovati Windows (više puta);
na kraju rada, otvoriti Notepad sa izveštajem o skeniranju.
Iskopiraj izveštaj koji je ComboFix napravio u temu na forumu:
klikni desnim tasterom miša u prozor Notepad-a i izaberi Select All;
klikni desnim tasterom miša na obeleženi tekst i izaberi Copy;
klikni desnim tasterom miša u polje za pisanje poruke i izaberi Paste.
Napomena:Izveštaj će biti sačuvan pod nazivom ComboFix.txt na sistemskoj particiji (tipična lokacija: C:\ComboFix.txt);
Ukoliko nakon slanja poruke primetiš da izveštaj nije kompletan, iskoristi opciju Prikači fajl za prilaganje file-a C:\ComboFix.txt uz poruku.
* Ukoliko budes imao problema sa pogretanjem ComboFix-a iz normal moda, pokreni ga iz safe moda.
|
|
|
|
|
|
|
|
|
|
|
Poslao: 10 Okt 2010 13:07
|
offline
- bobm
- Novi MyCity građanin
- Pridružio: 09 Feb 2009
- Poruke: 14
|
mycity.rs/must-login.png
nije bilo edita pa nisam u proslom postu napisao, rekao si da ne koristim flas memoriju dok ne budes trazijo medjutim nisam u mogucnosti to da uradim jer lap top ne moze da pokrene bukvalno nista pa moram sa mog racunara da prebacujem sve sto treba da skinem sa neta
|
|
|
|
|
|
|
Poslao: 10 Okt 2010 19:49
|
offline
- magna86
- Anti Malware Fighter
Rank 2
- Pridružio: 21 Jun 2008
- Poruke: 6104
|
Ponovo pokreni program OTL dvoklikom na ikonicu;
U beli okvir prozora gde piše Custom Scans/Fixes iskopirati sledeći tekst:
:OTL
PRC - [2010.10.08 09:55:44 | 001,157,632 | ---- | M] () -- C:\Users\Zlato\AppData\Local\39479.exe
SRV - [2010.05.19 04:53:20 | 000,061,712 | ---- | M] () [Auto | Stopped] -- C:\ProgramData\BarDiscover\bardiscover123.exe -- (BarDiscover Service)
FF - prefs.js..browser.search.defaulturl: "http://www3.iamwired.net/websearch.php?src=tops&search="
FF - prefs.js..keyword.URL: "http://www3.iamwired.net/websearch.php?src=tops&search="
[2010.04.28 12:32:06 | 000,000,000 | ---D | M] (BarDiscover) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{AC57FCAF-E6FC-4BE9-ADC0-D00129C4C1E7}
O2 - BHO: (ShopperReports) - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files (x86)\ShopperReports3\bin\3.0.307.0\ShopperReports.dll (SmartShopper Inc.)
O2 - BHO: (installnetworkworld) - {6b3337d8-89f0-4a71-6a28-8e77f6192481} - C:\Windows\SysWow64\B28P-7sJEV.dll File not found
O2 - BHO: (Seekmo) - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - C:\Program Files (x86)\Seekmo\bin\11.0.175.0\HostIE.dll (Seekmo)
O2 - BHO: (SearchSettings Class) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files (x86)\Search Settings\SearchSettings.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (Seekmo) - {90B8B761-DF2B-48AC-BBE0-BCC03A819B3B} - C:\Program Files (x86)\Seekmo\bin\11.0.175.0\HostIE.dll (Seekmo)
O4 - HKLM..\Run: [SeekmoSA] C:\Program Files (x86)\Seekmo\bin\11.0.175.0\SeekmoSA.exe (Zango, Inc.)
O4 - HKCU..\Run: [mscj.exe] C:\Users\Zlato\AppData\Roaming\MSA\mscj.exe File not found
O4 - HKCU..\Run: [mscjm.exe] C:\Users\Zlato\AppData\Roaming\MSA\mscjm.exe File not found
O4 - HKCU..\RunOnce: [39479] C:\Users\Zlato\AppData\Local\39479.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: rksyzpxajjfyfdsyjxztTaskMgr = 0
[2010.10.08 09:55:44 | 001,157,632 | ---- | M] () -- C:\Users\Zlato\AppData\Local\39479.exe
[2010.05.04 15:18:10 | 000,000,000 | ---D | M] (LoudMo Contextual Ad Assistant) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{e82b1a7e-a069-57af-a3db-fab392039bae}
[2010.04.02 00:50:38 | 000,083,216 | ---- | M] () -- C:\Program Files (x86)\Mozilla Firefox\plugins\npclntax_SeekmoSA.dll
:files
C:\Program Files (x86)\Seekmo
C:\Program Files (x86)\Search Settings
C:\Program Files (x86)\ShopperReports3
:Commands
[purity]
[emptytemp]
[EMPTYFLASH]
[Reboot]
Klikni taster Run Fix;
* Log koji dobiješ iskopiraj ovde u poruci.
* Takodje,ponovo pokreni OTL i postavi mi svez log.
|
|
|
|
|
|
|
Poslao: 11 Okt 2010 02:38
|
offline
- bobm
- Novi MyCity građanin
- Pridružio: 09 Feb 2009
- Poruke: 14
|
mycity.rs/must-login.png
mycity.rs/must-login.png
ako budete imali slican problem u buduce samo da vas obavestim
morao sam kod koji si mi dao da snimim kao txt da bi ga prebacio na zarazeni racunar i kad sam pokusao da ga otvorim (u notepadu) na zarazenom racunaru virus ga je prepoznavao kao nesto sto bi mu skodilo i zatvarao. mozda moze jos nekako da se resi taj problem no ja sam ga resio dovoljno brzim kliktanjem na ctrl+a i ctrl+c
Security Tool se vise ne startuje sa racunarom (smajli koji se klanja )
|
|
|
|
|
|
|
|
