|
Poslao: 27 Jan 2009 22:08
|
offline
- zarko123
- Ugledni građanin
- Pridružio: 02 Sep 2007
- Poruke: 390
- Gde živiš: Pljevlja
|
da dodam, dali sam ja maloprije sa skeniranjem pomocu USBNoRisk izbrisao virus sa flesa jer sad kad sam htio prebaciti ComboFix tim flesom na moj racunar, odmah po otvaranju flesa mi je opet NOD izbacio onu istu poruku da ima nesta ali da nemoze da ga brise (to je ono sto sam vec gore slikom navodio.)
|
|
|
|
|
|
|
Poslao: 27 Jan 2009 22:12
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Ovo vec nije bas normalno...
Je li sigurno da je NOD rekao da ne moze da obrise?
Je li sigurno da se to USB stick nije sada inficirao, na ovom kompu?
Na prethodnom kompu nije pokazao znakove infekcije...
Ako NOD ne moze da obrise taj fajl, to znaci da na ovom sada kompu postoji infekcija, i da je upravo zarazila USB stick.
Hajde nastavi dalje sa ComboFixom.
Ja cu zaista morati uskoro na spavanje, tako da se nemoj ljutiti sto cu pregled loga morati da ostavim za sutra.
|
|
|
|
|
|
|
Poslao: 29 Jan 2009 15:41
|
offline
- zarko123
- Ugledni građanin
- Pridružio: 02 Sep 2007
- Poruke: 390
- Gde živiš: Pljevlja
|
Ma kakvi bre ljutiti, ti meni pomazes a ja da se ljutim, ne stizem ni ja redovno. Jednostavno se nemoze.
Ovako, ako sam ja sve dobro ukapirao sa ComboFixom sam ocistio ovaj racunar, a nakon toga sa USBNoRisk-om fles, i kada sam odmah nakon toga pomocu tog istog flesa htio prenijeti ComboFix na drugi racunar da i tamo skeniram odmah po ubacivanju mi je izbacio NOD ono obavjestenje. Sad idem da odradim to sa ComboFixom na drugom racunaru pa cu osim loga prikaciti i tu sliku da se vidi sta je NOD izbacio.
Dopuna: 29 Jan 2009 15:41
Kada sam ubacio fles u drugi racunar NOD mi je izbacio ovo na slici ispod.
Kada sam poceo skeniranje sa ComboFix-om negdje na pocetku mi je izbacio ovo dolje na slici, ja sam isao na NO, i on je nastavio, 
Evo loga
ComboFix 09-01-21.04 - admin 2009-01-29 15:29:13.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.446.148 [GMT 1:00]
Running from: c:\documents and settings\admin\Desktop\ComboFix.exe
AV: ESET NOD32 antivirus system 2.70 *On-access scanning disabled* (Outdated)
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\AutoRun.inf
c:\windows\system32\csrcs.exe
.
((((((((((((((((((((((((( Files Created from 2008-12-28 to 2009-01-29 )))))))))))))))))))))))))))))))
.
2009-01-22 19:01 . 2009-01-22 19:02 <DIR> d-------- C:\USBNoRisk
2009-01-14 22:51 . 2008-06-13 14:10 272,128 --------- c:\windows\system32\drivers\bthport.sys
2009-01-14 22:51 . 2008-06-13 14:10 272,128 -----c--- c:\windows\system32\dllcache\bthport.sys
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-04 13:00 --------- d-----w c:\documents and settings\admin\Application Data\AdobeUM
2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys
2008-11-10 02:05 4,789 ----a-w C:\ma477.bin
2008-09-09 21:22 68,216 ----a-w c:\documents and settings\admin\Application Data\GDIPFONTCACHEV1.DAT
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2006-02-28 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-01-04 344064]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2008-02-01 949376]
c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-08-29 113664]
AutoCAD Startup Accelerator.lnk - c:\program files\Common Files\Autodesk Shared\acstart16.exe [2004-02-25 10872]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^WinZip Quick Pick.lnk]
path=c:\documents and settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.lnk
backup=c:\windows\pss\WinZip Quick Pick.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2003-12-13 01:50 33792 c:\program files\Winamp\winampa.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [2008-02-01 15424]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{820bb5de-eecf-11dc-a38b-0019db587c1f}]
\Shell\Auto\command - Autorun.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Autorun.exe
.
- - - - ORPHANS REMOVED - - - -
HKLM-Explorer_Run-csrcs - c:\windows\system32\csrcs.exe
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: c:\windows\system32\imon.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-29 15:30:16
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
- - - - - - - > 'winlogon.exe'(536)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'lsass.exe'(592)
c:\windows\system32\imon.dll
.
Completion time: 2009-01-29 15:31:12
ComboFix-quarantined-files.txt 2009-01-29 14:31:11
Pre-Run: 144,485,937,152 bytes free
Post-Run: 144,900,280,320 bytes free
88 --- E O F --- 2009-01-14 22:43:50
|
|
|
|
|
|
|
Poslao: 29 Jan 2009 19:40
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Vidi, tebi su oba racunara bili zarazeni.
USB flesh se zadnji put nije inficirao sa onog racunara gde imas Avast, vec se inficirao sa ovog gde ti je NOD, i to u momentu kada si prikljucio flesh.
NOD prepoznaje malware koji bude ubacen na flesh, ali ne prepoznaje ono sto ga ubacuje.
Mislim da smo se i toga otarasili ovim zadnjim pokretanjem ComboFixa.
Evo kako ces sada uraditi.
Na oba racunara ces da zadrzis USBNoRisk, i pokretaces ga svaki put pre nego sto prikljucis taj flesh.
Ako se bude u USBNoRisku pojavilo da je na USB sticku nasao Autorun.inf, onda mi ponovo ovde postavi log USBNoRiska.
ComboFix takodje zadrzi na oba racunara jos koji dan, dok ne budemo sigurni da smo se otarasili ove bede.
Javi se kada bude sigurno da infekcije vise nema (USBNoRisk i NOD ne prijavljuju nista), pa da tada dovrsimo ciscenje.
|
|
|
|
|
|
|
Poslao: 29 Jan 2009 20:08
|
offline
- zarko123
- Ugledni građanin
- Pridružio: 02 Sep 2007
- Poruke: 390
- Gde živiš: Pljevlja
|
OK. Ispoštovaću uputstvo pa ću se javiti.
p.s. Ako posle Autorun.inf piše None pretpostavljam da je tada u redu?
|
|
|
|
|
|
|
Poslao: 29 Jan 2009 20:14
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Bas tako.
Eventualno pogledaj i sledece - kada uradi "Sanitizing Shell Menu..." da li posle toga pise "Sanitized... bla bla" ili pise "No key found... bla bla".
No key found je OK.
Sanitized znaci da je u reg. bazi postoji trag da je pri nekom prethodnom ukljucivanju tog flesha doslo do infekcije.
Mi smo taj kljuc obrisali u ovom nasem ciscenju, tako da on ne bi smeo da se pojavi ponovo.
|
|
|
|
|
|
|
Poslao: 01 Feb 2009 15:52
|
offline
- zarko123
- Ugledni građanin
- Pridružio: 02 Sep 2007
- Poruke: 390
- Gde živiš: Pljevlja
|
E pa evo da se javim po uputstvu. Ovih nekoliko dana sam prije ubacivanja flesa pokretao USBNoRisk i nako ubacivanja flesa u oba racunara, sve je OK. Izgleda da sam se konacno rijesio onih cuda. Jedino sto me malo buni je sledece. Kada skeniram fles NOD-om, pokretanjem NOD-a pa onda izaberem da skenira fles sve je OK. medjutim kada idem desni klik na fles pa izaberem skeniranje NOD-om onda mi izbaci sledecu sliku. Zbog cega se javlja ova razlika i da li je sve OK.
|
|
|
|
|
|
|
Poslao: 01 Feb 2009 20:32
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Cek, je li ti uvek ides na Scan, ili ides na Scan & Clean?
Ono prvo nece nista da dezinficira, vec samo da te izvesti cega ima.
Treba ici na Scan & Clean da bi pobrisao ono sto nadje.
|
|
|
|
|
|
|
|
|
Poslao: 01 Feb 2009 21:17
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Nije mi bas jasno zasto ti od opcija daje samo "Leave". To nije u redu.
Pokusaj da iskljucis NOD, pa da taj fajl obrises rucno sa USB flesha.
Vidi da li ce da se vrati nakon toga kada izbacis, pa ponovo ubacis USB flesh.
|
|
|
|
|
|
