Smitfraud i svasta nesto !!!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

cacls.exe
ChCfg.exe
cisvc.exe
ckcnv.exe
csrss.exe
debug.exe
dmazk.exe
dwwin.exe
edlin.exe
imapi.exe
label.exe
mqsvc.exe
netsh.exe
ntvdm.exe
redir.exe
relog.exe
reset.exe
rexec.exe
route.exe
runas.exe
sethc.exe
share.exe
skeys.exe
subst.exe
w32tm.exe
vssvc.exe
tscon.exe


ovo je bas naporan posao, jel ima neka opcija koja bi mi olaksala, inace ja ih peske trazim, mozda je glupo, ali ne znam ni jedan drugi nacin

Inace sto se tice antivirusa: sve sto mi treba je p2p... par foruma i i to je sve od NETa, vrlo retko mi zatreba nesto tipa s/n i tu obavezno pazarim ovakve stvari Inace koristim acronis, jer mi je jako vazna stabilnost kompa zbog posla, i max rasterecena masina, a antivirusi su malo postali zahtevni, pa ih bas ne instaliram bez preke potrebe!!! Nije neko opravdanje ali sta cu

Inace sta da radim za inficiranim fajlovima koje sam ti poslao???

Hvala jos jednom!!!



A da to sa acronisom !!!
Kada imam neki problem tipa: OVAJ, vrlo lako za par min. vratim system u dobru kondiciju

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Skini i pokreni sledeci program (trazi restart nakon instalacije):
http://downloads.subratam.org/Fixwareout.exe

Sledi uputstva koja ce da se pojave nakon restarta. Na samom kraju ce HijackThis da se startuje.
Postavi nam ovde sledece logove:
- C:\fixwareout\report.txt (eventualno ce nakon ucitavanja desktopa automatski biti otvoren Notepad koji ce da sadrzi log)
- novi log koji bude napravio program HijackThis

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

csrss.exe

Mislim da je ovo problem, upravo mi se ovaj proces pojavio kada mi se zakucala masina i nisam mogao da ga iskljucim!!!

?????

Dopuna: 25 Jan 2007 15:53

Fixwareout
Last edited 1/14/2006
Post this report in the forums please
...
Prerun check
»»»»» HKLM run and Winlogon System values
C:\WINDOWS\system32\csoom.exe will be moved to C:\WINDOWS\temp\csoom.ren at reboot.
»»»»» System restarted
...
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\yqdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion "dpid"
...
Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\XFIND.COM

»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM

Other suspects.

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

»»»»» Postrun check
»»»»» HKLM run
»»»»» Winlogon System value
"system"=""
»»»»»

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Taj proces je standardni deo Windowsa.

Dopuna: 25 Jan 2007 15:56

Uh, lose. FixWareout nije odradio posao...
Javljam se za par minuta, cim smislim kako dalje.

Dopuna: 25 Jan 2007 15:58

Jesi li instalirao FixWareout na default lokaciji u C:\fixwareout\ ?
Da li u folderu C:\FIXWAREOUT\FINDT\ postoji fajl LOCATE.COM ?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Oba odgovora glase da !!!

Dopuna: 25 Jan 2007 16:06

Ne znam da li su ovi programi nesto uradili, ali sam sada prekontrolisao registry cleaner preko system mechenica, i sada radi super, inace preko njega preepoznam kada u reg nesto nije u redu jer skenira sporo i koci na par mesta, sada je sve jako brzo odradio

Ja sam vec zadovoljan!!!
Opet HVALA!!!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

FixWareout je uspeo iz registry baze da ukloni kljuceve, ali nije uspeo da izbrise fajlove na disku.
Obrisi rucno ona dva koja smo vec nasli (koje si uploadovao).
Ja sam zamolio neke drugare da pogledaju zasto nam gore FixWareout nije uspeo.

Dok se oni ne jave, postavi svez HJT log, da vidimo kakvo je trenutno stanje.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Logfile of HijackThis v1.99.1
Scan saved at 16:24:07, on 1/25/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Desha\Desktop\New Folder\T3.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE10CFDA-CA71-45ED-B025-4C7E50C0E665}: NameServer = 85.255.115.107,85.255.112.121
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.107 85.255.112.121
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.107 85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.107 85.255.112.121
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Jesi li obrisao ona dva fajla?

Ukoliko jesi onda uradi sledece:

- skeniraj pono HJT-om i stikliraj polja ispred sledecih linija (zatvori pre toga sve programe koji izlaze na internet):
O17 - HKLM\System\CCS\Services\Tcpip\..\{CE10CFDA-CA71-45ED-B025-4C7E50C0E665}: NameServer = 85.255.115.107,85.255.112.121
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.107 85.255.112.121
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.107 85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.107 85.255.112.121
Nakon toga klikni Fix checked

- restartuj komp i napravi novi HJT log

Dopuna: 25 Jan 2007 17:04

Par dodatnih pitanja da ih sebi resio jednu misteriju:
- jel IE totalno izbacen sa sistema?
- imas li instalirane drajvere za graficku ili koristis Windowsove?
- jel ovo neki custom Windows napravljen uz pomoc programa nLite?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Logfile of HijackThis v1.99.1
Scan saved at 17:10:18, on 1/25/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Desha\Desktop\New Folder\T3.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nisi mi odgovorio na ostala pitanja iz prethodne poruke.

I imam jos jedno pitanje: jesi li sam popravljao nesto koristeci HJT pre nego sto si postavio temu na forumu?