HELP zakacio sam nesto!!!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Kada otvorim Display Adapters tu ima ASUS X1600 Pro i ASUS X1600 Pro Secondary.



Search Navipromo version 2.0.5 began on ??? 21.07.2007 at 22:08:29,59

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Program Files\navilog1
Updated on 01.07.2007 at 12h00 by IL-MAFIOSO

Done in normal mode

*** Searching for installed Software ***


Instant Access


*** Search folders in C:\WINDOWS ***




*** Search folders in C:\Program Files ***


C:\Program Files\Instant Access found !


*** Search folders in C:\Documents and Settings\All Users\Application Data ***




*** Search folders in C:\Documents and Settings\WinXP\Application Data ***



*** Search with BlackLight Engine/F-secure ***
BlackLight Engine is a product of F-secure, for more info:
f-secure.com/blacklight/blacklight_help.html

Hidden(s) file(s) in C:\WINDOWS\system32 :

c:\WINDOWS\system32\gtyzei.dat
C:\windows\system32\gtyzei.exe
c:\WINDOWS\system32\gtyzei_nav.dat
c:\WINDOWS\system32\gtyzei_navps.dat

Hidden(s) Process in C:\WINDOWS\system32 :

C:\windows\system32\gtyzei.exe


*** Search files ***


C:\WINDOWS\system32\linkprd.exe found !


*** Search registry keys ***


Search in [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Search in [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Search Magic Control Key



*** Complementary Search ***
(Search specifics files)

1)Search known files:


2)Heuristic Search :
*
C:\WINDOWS\system32\gtyzei.dat found !
**
C:\WINDOWS\system32\gtyzei.dat found !
***
****
C:\WINDOWS\system32\gtyzei_navps.dat found !
*****
******
*******
********
C:\WINDOWS\system32\linkprd.exe found !

3)Certificates Search :

Certificate Egroup found !


*** Search completed on ??? 21.07.2007 at 22:16:35,73 ***

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Hmmm.. Ne mogu da verujem kako je BFU mogao tako da "zakaže". Ispada kao da nije uopšte brisao ovu infekciju ili je brisao delimično pa se vraćala.

Navilog1 report sam ti tražio da bih proverio fajlove koje izlista pre čišćenja da se ne bi potkrao neki fals possitive. Sada ćeš da uradiš automatsko čišćenje prema onom uputstvu koje sam ti napisao gore.

Pokrenuceš program preko one navilog1 ikonice ne desktopu. Jedina razlika je što ćeš sada umesto na opciju 1 ići na opciju 2. Racunar ce ti zatražiti restart prilikom pripreme sistema za cišćenja i pri ponovnom startu Windows-a pojaviće se ekran bez start menija i taskbar-a. Sacekaj da se obavi čišćenje i pojavi txt log. Sačuvaj ga.
Restartuj računar.

Sadržaj tog loga i novi HijackThis log ćeš postovati u sledećoj poruci.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pokrenuo sam navilog1, isao na opciju 2, ali posle restarta sam imao i start meni i taskbar. Cim sam podigao windows imao sam i txt.log.

Navipromo Removal version 2.0.5 started on ??? 22.07.2007 at 14:23:39,22

Fix running from C:\Program Files\navilog1
echo Updated on 01.07.2007 at 12h00 by IL-MAFIOSO

echo Automatic removal with Blacklight results


*** Creating backups for files found by Blacklight

Copy to "C:\Program Files\navilog1\Backupnavi"


*** Deleting files found with Blacklight ***

c:\WINDOWS\system32\gtyzei.dat deleted !
C:\windows\system32\gtyzei.exe deleted !
c:\WINDOWS\system32\gtyzei_nav.dat deleted !
c:\WINDOWS\system32\gtyzei_navps.dat deleted !

** Second pass **

C:\WINDOWS\system32\gtyzei.exe not found !
C:\WINDOWS\system32\gtyzei.dat not found !
C:\WINDOWS\system32\gtyzei_nav.dat not found !
C:\WINDOWS\system32\gtyzei_navps.dat not found !
C:\WINDOWS\system32\gtyzei_navup.dat not found !
C:\WINDOWS\system32\gtyzei_navtmp.dat not found !
C:\WINDOWS\system32\gtyzei_m2s.xml not found !


C:\WINDOWS\prefetch\gtyzei*.pf found !
Copy C:\WINDOWS\prefetch\gtyzei*.pf done !
C:\WINDOWS\prefetch\gtyzei*.pf deleted !

*** Deleting folders in C:\WINDOWS ***


*** Deleting folders in C:\Program Files ***

C:\Program Files\Instant Access ...deleting...
C:\Program Files\Instant Access deleted !


*** Deleting folders in C:\Documents and Settings\All Users\Application Data ***


*** Deleting folders in C:\Documents and Settings\WinXP\Application Data ***



*** Deleting files ***

C:\WINDOWS\system32\linkprd.exe deleted !

*** Deleting temporary files ***

Cleanning C:\WINDOWS\Temp done !
Cleanning C:\Documents and Settings\WinXP\Local Settings\Temp done !


*** Copy registry to Backupnavi folder***


Backing up registry done !


*** Clean registry ***


Registry cleaned

*** Complementary Search ***
(Search specifics files)

1)Search known files:


2)Searching and deleting Heuristics :

*
**
***
****
*****
******
*******
********

3)Check registry for others bad keys :

No new bad keys found in registry !

4)Certificates :

Egroup Certificate deleted !

*** Cleaning finished on ??? 22.07.2007 at 14:25:47,28 ***




Logfile of HijackThis v1.99.1
Scan saved at 14:32:48, on 22.7.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\HijackThis\HijackThis.exe

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [ClocX] C:\Program Files\ClocX\ClocX.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.03\AMVConverter\grab.html
O8 - Extra context menu item: Add to Media Manager... - C:\Program Files\MP3 Player Utilities 4.03\MediaManager\grab.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\program files\newdotnet\newdotnet6_38.dll' missing
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - downloads.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBC0CFD7-75C7-4A6A-A50B-D720F1D6AF19}: NameServer = 91.150.73.5 91.150.73.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Mixy ::Pokrenuo sam navilog1, isao na opciju 2, ali posle restarta sam imao i start meni i taskbar. Cim sam podigao windows imao sam i txt.log.
Super, ali nije to toliko bitna stvar u ovoj priči. Kod mene je bilo drugacije kada sam u VM isprobavao kako se ponaša taj alat sa ovom infekcijom. Prema tome sam ti i napisao uputstvo. Do sada smo uspešno otklanjali tu infekciju na način kao sa početka ove teme, tako da je Navilog1 i za mene nešto sveže u "praksi"
-------------------

Dok ja pregledam ovo što si postovao ti ćeš da proveris da li možda postoji nešto od ovoga na tvom racunaru:

Folderi:

c:\windows\system\mc
c:\windows\system\wintrim
c:\windows\system\wincomp

c:\windows\system32\mc
c:\windows\system32\wintrim
c:\windows\system32\wincomp

Preko windows search opcije potraži ove fajlove:

msegcompid.dll
MagicControl.dll
EGPing.dll
*wincomp.dll
*winmgts.dll

(zadnja dva upita ćeš tražiti baš sa zvezdicom ispred).

Naravno, kada pretražuješ treba ti biti uključena opcije za prikaz skrivenih fajlova i foldera. Izvesti me ako pronađeš nešto od ovoga gore navedenog.
---------

Takođe ćeš mi poslati na proveru i fajl sa putanje > "C:\WINDOWS\system32\nvsvc32.exe".

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nista od toga nemam u kompu. Uploadovao sam nvsvc32.exe. Ona s**nja mi se vise ne pojavljuju!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Mixy ::Nista od toga nemam u kompu.
Odlično. I HJT log pokazuje da nema vidljive infekcije na tvom računaru.

Što se ovog zadnjeg fajla kojeg si mi poslao tiče (kao što sam i pretpostavio, mada sam morao da to i proverim) - nije maliciozan. Očigledan višak kod tebe je to što na sistemu imaš drajver za nVidia kartice a imaš Asus-a X1600 Pro sa Ati čipom. nVidia drajvere možeš da deinstaliraš preko Add/Remove Programs opcije iz Control Panel-a.

Ova tema će biti aktivna još maximalno nedelju dana, pre nego je preselim u arhivu. Ako se ponovo javi problem za to vreme javi se u ovoj temi, ako je 'pak zatekneš u arhivi - kontaktiraj me na PP da je vratim i nastavimo.

Pozz

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Hvala ti puno za ulozen trud i veliku pomoc! Ovo mi je mnogo pomoglo i najzad mogu da surfujem internetom kao covek!!! Ako se ikada budemo sreli castim pice ! Hvala jos jednom i sve najbolje! Pozdrav!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nema na čemu. Ovaj deo foruma se i bavi takvim problemima.

Ipak si ti nosio rizik jer si imao potencijalnog dialer-a na kompu. To u pojedinim slučajevima može dosta da te košta pogotovu ako se radi o nekom nedetektovanom primerku.

Imaš jedan veoma dobar članak o njima koji je napisao moj kolega iz AMF tima.
http://www.mycity.rs/AV-Objavljeni-radovi/Dialeri.html

Nije na odmet da procitaš bar izdvojene teme sa foruma o zaštiti i poradiš malo na tome. Dosta je prijatniji internet kada znaš čega da se paziš i kako da održiš računar čistim od malware-a kog' trenutno ima u izobilju.