Smitfraud i svasta nesto !!!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pre poslednjeg skena sam izbrisao ona dva fajla, a pre postavljanja pitanja na forumu nisam ni znao sta je HJT

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Log je cudan, zato sam pomislio da si mozda sam nesto prepravljao.

Pogledaj jos i sledecu temu ako imas volje, i proveri da li imas crvenih linija:
http://www.mycity.rs/AV-Objavljeni-radovi/Uklanjan.....Sword.html

Dopuna: 25 Jan 2007 17:41

Odgovori mi jos i ne ova pitanja iz jedne od mojih prethodnih poruka:

Par dodatnih pitanja da ih sebi resio jednu misteriju:
- jel IE totalno izbacen sa sistema?
- imas li instalirane drajvere za graficku ili koristis Windowsove?
- jel ovo neki custom Windows napravljen uz pomoc programa nLite?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nema crvenih linija
Necu te vise zadrzavati, mislim da smo dosta toga odradili jer nemam negativnih manifestacija na sistemu posle svega !!!
Ako primetim nesto javicu se!!!

Hvala na svemu, ovo je za svaku pohvalu !!!!

Dopuna: 25 Jan 2007 17:59

Nisam video poruku pa nisam odgovorio!!
IE nije totalno izbacen sa sistema.
Imam instalirane nVidia drivere.
Ovo jeste custom Windows, ali kucna radinost (ja ga licno optimizujem posle svake sveze instalacije - pogasim nepotrbne procese i to je manje vise to)

Verujem da sam te smorio, potrosio si celo poslepodne na mene, i ne znam kako da ti se zahvalim. Ako za ovo imas neku satisfakciju u smislu$ bilo bi dobro, ako nemas onda si redak slucaj i zaluzujes sve pohvale!!

Hvala jos jednom!!!

Dopuna: 25 Jan 2007 18:02

Jos samo ovo:
Jel mogu sada da poskidam sve ove programe sa sistema ili ....??
Postoji li posebna procedura jer koliko vidim samo fixwareout i hijackthis se instalirao!!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

I Fixwareout i HijackThis mozes deinstalirati iz Add/Remove programs.

Log je i dalje cudan, nVidia drajver bi morao da se vidi u logu, a i jos neke druge stvari nedostaju u logu.

Kako ti zelis... Ukoliko si zadovoljan ovim sto je do sada ucinjeno - onda OK.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

nVidiju sam desablovao iz startup-a tako da se mozda zato ne vidi, za ostalo ne znam..!!
Mislim nemam pojma da li sam zadovoljan, tek ako pocnu da se desavaju stvari koje su se desavale znacu. Za sada je ok pa ako bude promene javicu se!!!
Hvala!!!

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ukoliko zelis ovome da posvetis jos malo vremena, onda skini sledeci program i instaliraj ga:
http://users.telenet.be/marcvn/tools/haxfix.exe

Startuj i odaberi opciju:
2. Run auto-fix

Zatrazice ti restart.

Postavi nam ovde log fajl c:\haxfix.log koji bi trebao da se automatski pojavi na ekranu posle restarta.

Nakon toga probaj ponovo FixWareout po uputstvu koje sam ti vec postavio ranije. Sada bi trebao da proradi FixWareout.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nije mi zatrazio restart i dobio sam dva loga

haxfix i haxlog


HAXFIX logfile - by Marckie

version 4.361
Fri 01/26/2007 0:39:03.18

--- Checking for Haxdoor ---

checking for a3d files
a3d files not found

checking for matching notify keys
no matching notify keys found

checking for matching services
matching services found
ASPI32

checking for matching safeboot services
no matching safeboot services found

checking for other Haxdoor-files
no other Haxdoor-files found


--- Checking for Goldun ---


checking for SSODL keys
no ssodl keys found

checking for notify keys
no notify keys found

checking for services
no services found

checking for other Goldun-files
no other Goldun-files found

checking iexplore.exe
iexplore.exe is not infected


Finished!



HAXFIX logfile - by Marckie

version 4.361
Fri 01/26/2007 0:38:45.92

--- Auto Haxdoorfix ---


searching for files:

no infections found


--- Goldunfix ---


searching for files:


checking iexplore.exe
iexplore.exe is not infected

searching for SSODLkeys:
no SSODLkeys found

searching for notifykeys:
no notifykeys found

searching for services:
no services found


Finished

Dopuna: 26 Jan 2007 0:41

A sada cu sa FixWareout

Dopuna: 26 Jan 2007 0:47

Fixwareout
Last edited 1/14/2006
Post this report in the forums please
...
Prerun check
»»»»» HKLM run and Winlogon System values
»»»»» System restarted
...
Reg Entries that were deleted
...
Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\XFIND.COM

»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM
Cannot execute C:\FIXWAREOUT\FINDT\LOCATE.COM

Other suspects.

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

»»»»» Postrun check
»»»»» HKLM run
»»»»» Winlogon System value
"system"=""
»»»»»

Dopuna: 26 Jan 2007 0:50

Logfile of HijackThis v1.99.1
Scan saved at 00:52:31, on 1/26/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\!!!!!!SHARE\Software\Scan alati\Hthis\3This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nista novo, sve po starom.
Izgleda kao da je cist, ali ovakav kratak HJT log jos nisam video, kao da nema niceg instaliranog na kompu.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uloguj se preko Facebooka da bi skinuo fajl:

Ne znam koliko je dobro da se to ne vidi, ja se trudim da max poiskljucujem sve iz procesa sto mi nije neophodno, tako da startujem sa svega 17 u task manageru iskljucene, sve opcije windowsove vizuelizacije, ni jedan program ne ide u startup...cak ni nVidia.....itd

evo fotka iz add&remove
mycity.rs/must-login.png

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Jednom cudno, i oni realtekovi drajveri za zvucnu bi trebali da se vide...

Ja ne mogu dalje da pomognem.
Javi ukoliko se ponovo jave neki vidljivi simptomi, nista drugo ne mogu da kazem...