sta znaci

stanje
Zatvorena za pisanje odgovora.
hvala ti GZ...

tamo izgleda nema nista sto meni treba ili ja ne znam da nadjem...:?
osim u windows system 32 ,smss se nalazi jos samo u
windows/Prefetch i windows/SoftwareDistribution/Download...pa ne znam je li to u redu ili nije?:roll: a inace u procesima samo postoji smss.exe i SMSS.exe...

a ova poruka koju sam gore navela "iskace" s vremena na vrijeme...
 
Opa, ne gledajuci sta je sve napisano dok sam trazio podatke za smss.exe vidjeh i prcitah da je jedan od njih trojanac koji se krije pod imenom SMSS.exe..

Da bi pokusali da ti pomognemo, daj nam HijakThis log file ovde pa cemo da ga nadjemo..
 
GZ:
Opa, ne gledajuci sta je sve napisano dok sam trazio podatke za smss.exe vidjeh i prcitah da je jedan od njih trojanac koji se krije pod imenom SMSS.exe..

Da bi pokusali da ti pomognemo, daj nam HijakThis log file ovde pa cemo da ga nadjemo..
Kliknite za proširenje...

sad vidjeh i da imam sest svchost.exe...:roll: pokusala sam ovo sa hijackom ,log file...ali sad me i to zeza...:evil: a ima samo 4 stavke,pa cu pokusati da "prepisem"...:

04-HKLM/RUN/AVAST/ASH.DISP.EXE

016-DPF HTTP/US.DL1 YIME.COM/DOWNLOAD/YAHOO.COM/DLL YNST-CURRENT.CAB

016 -DPF SPACES.MSN.COM/PHOTO UPLOAD/

016-DPF MSN MESSENGER.MSN.COM/DOWNLOAD/MSN MSG SETUP...


Mislim da ovo i nije problematicno bas...:roll:
 
Pazi, ovo je nesto sasvim malo od loga HijakThis-a..

Ako ti nije mrsko idi u Safe Mode i preimenuj Hijak This u npr. hjt1.exe i preskeniraj, pa nam onda daj log cijelog ckena ovde i naci cemo uljeza
 
GZ:
Pazi, ovo je nesto sasvim malo od loga HijakThis-a..

Ako ti nije mrsko idi u Safe Mode i preimenuj Hijak This u npr. hjt1.exe i preskeniraj, pa nam onda daj log cijelog ckena ovde i naci cemo uljeza
Kliknite za proširenje...

znam da je malo,prije je bilo dosta vise,ali sad sam skenirala u safe modu i samo jos dvije dodatne stavke ima...RO-HKCU/software/microsoft iexplorer/main/start page i
04-HKCU/Run/ctfmon.exe/c:Windows system 32/ctfmon.exe

ne znam zasto je sad ovako malo...da li ima kakve veze sa avastom?prije ga nisam imala...:roll: :roll:
 
limunada:
kad se stalno pojavljuje poruka smss.exe- there is no disk in the drive...? sta tu,u stvari,fali?:roll:
izvinjavam se unaprijed,ako je pitanje glupo...
Kliknite za proširenje...
Što se same poruke tiče "there is no disk in the drive" ona se pojavljuje obično kada si započeo neko učitavanje sa diska ili flopy-ja pa ga prekinuo i izvadio disk pre nego što je windows završio zatvaranje svojih radnih procesa. E tada te windows bombarduje sa tom porukom i ponekada te neće poslušati na komadu da ugasiš taj proces čak ni kada ga gasiš preko task menadžera , najjednostavnije rešenje svega toga je da vratiš taj isti disk ili flopy u uređaj i pustiš da kompjuter i windows sami sve zatvore , pogasiš programe i izbaciš cd ili flopy iz uređaja. ponekada flopy zna da se buni satima da vrti i traži flopy iz uređaja kada mu tako isčupaš disketu. Što se tiče samog servisa koji ti je dupliran mislim da zbog toga ne treba uopšte da brineš izuzev ako ti krade ogromne sistemske resurse. I meni je mali milion puta ostao zalepljen "jinitator" ili "java" aplet na systrayu kada preteram sa radom na njima ili ih koristim ne baš po propisima :) a kada ih opet pokrenem nakon par sekundi tada se i meni pojave dva ista radna apleta jer se onaj prvi nije adekvatno ni zatvorio tada i u procesima ih imam duplirane , sigurnosti radi uzmi samo postavi odgovarajuće standardne programe i preskeniraj sa njima kompjuter i pusti ih da odrade svoje.
PS meni je malo čudno da "Hijack this" prepoznaje deo avasta , ali neka a što se tiče mesengera ja njega ugasim da mi ne startuje sa windowsom jer me to nervira lično , u prevodu voli da držim stvari pod svojom kontrolom. :)
 
snejks,mozda bi moglo biti ovo sa nepravilnim prekidanjem ucitavanja...nije iskljuceno...:roll: ne znam da li ovo dupliranje procesa "krade" resurse...kako to da provjerim? inace,cudi me sto hijack pokazuje ovako malo stavki...:roll: i da li to ima veze sa mojim drugim problemom u zakljucanoj temi "problem",ako vas ne mrzi da procitate...inace,hvala vam svima sto se mucite sa mnom...:-)
 
Po svoj prilici na temi gdje si naznacila problem, imala si i jos uvijek imas problem kakav sam ja imao samo druga varijanta a porodica virusa je ista..

Pogledaj ovu temu:
http://forum.krstarica.com/threads/121078&highlight=trojan

Pogledaj sta sam sve radio da bih se otarasio trojan clicker i spada u neku vrstu Vundo virusa..

Kako sam vec naglasio pogledaj temu koju ti ostavljam i pokusaj da potrazis informacije o istom.. Mislim da bi ti i alati pomogli koje sam ja koristio.. Veoma gadna stvar ovi clickeri.. Svaka aplikacija ovog virusa kada izadjes na interent simulira klikanje jos te ako nisi zasticena od pop-up prozora onda nema sanse da se otvori neka stranica.. Samo mi nije jasno da hjt program ne odradi posao kako valja..

Ipak predlazem prvo da pokusas da temom koju sam ostavio...
 
izgleda da je uspjelo...:) ne smijem se jos previse radovati,ali da kazem sta uradih...

GZ...skinula sam ona dva programa sa tvoje teme...vundo.fix i virtumundo be gone...

vundo fix je nasao : windows/system32/duqusryx.exe
windows/msagent/intl/barnifo.dll
-II- -II- /ofnirab.ini
/ofnirab.bak 1
/ofnirab.bak 2
/ofnirab.ini 2
/ofnirab .tmp

ja sve ovo obrisah...:roll:

a virtumundo be gone samo izbaci ovu listu:



[12/18/2006, 17:59:33] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\z\My Documents\VirtumundoBeGone.exe" )
[12/18/2006, 18:00:12] - Detected System Information:
[12/18/2006, 18:00:12] - Windows Version: 5.1.2600, Service Pack
[12/18/2006, 18:00:12] - Current Username: z (Admin)
[12/18/2006, 18:00:12] - Windows is in NORMAL mode.
[12/18/2006, 18:00:12] - Searching for Browser Helper Objects:
[12/18/2006, 18:00:12] - BHO 1: {35F7813A-AF74-4474-B1D7EE6FB6C43C6}
[12/18/2006, 18:00:12] - WARNING: BHO has no default name.Checking for Winlogon reference
[12/18/2006, 18:00:12] - Checking for HKLM\...\Winlogon\Notify\ffodmqdc
[12/18/2006, 18:00:12] - Key not found: HKLM\...\Winlogon\Notify\ffodmqdc, continuing.
[12/18/2006, 18:00:12] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F}
[12/18/2006, 18:00:12] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/18/2006, 18:00:13] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[12/18/2006, 18:00:13] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[12/18/2006, 18:00:13] - BHO 3: {A575BB7D-3FF1-4209-9099-297E71A46660} ()
[12/18/2006, 18:00:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/18/2006, 18:00:13] - Checking for HKLM\...\Winlogon\Notify\barnifo
[12/18/2006, 18:00:13] - Key not found: HKLM\...\Winlogon\Notify\barnifo, continuing.
[12/18/2006, 18:00:13] - BHO 4: {F18F04B0-9CF1-4b93-B004-77A288BEE28B} ()
[12/18/2006, 18:00:13] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/18/2006, 18:00:13] - Checking for HKLM\...\Winlogon\Notify\xsvgdqqi
[12/18/2006, 18:00:13] - Key not found: HKLM\...\Winlogon\Notify\xsvgdqqi, continuing.
[12/18/2006, 18:00:13] - Finished Searching Browser Helper Objects
[12/18/2006, 18:00:13] - Finishing up...
[12/18/2006, 18:00:13] - Nothing found! Exiting...
[12/18/2006, 18:02:34] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\z\My Documents\VirtumundoBeGone.exe" )
[12/18/2006, 18:02:39] - Detected System Information:
[12/18/2006, 18:02:39] - Windows Version: 5.1.2600, Service Pack 1
[12/18/2006, 18:02:39] - Current Username: z (Admin)
[12/18/2006, 18:02:39] - Windows is in NORMAL mode.
[12/18/2006, 18:02:40] - Searching for Browser Helper Objects:
[12/18/2006, 18:02:40] - BHO 1: {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} ()
[12/18/2006, 18:02:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/18/2006, 18:02:40] - Checking for HKLM\...\Winlogon\Notify\ffodmqdc
[12/18/2006, 18:02:40] - Key not found: HKLM\...\Winlogon\Notify\ffodmqdc, continuing.
[12/18/2006, 18:02:40] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[12/18/2006, 18:02:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/18/2006, 18:02:40] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[12/18/2006, 18:02:40] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[12/18/2006, 18:02:40] - BHO 3: {A575BB7D-3FF1-4209-9099-297E71A46660} ()
[12/18/2006, 18:02:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/18/2006, 18:02:40] - Checking for HKLM\...\Winlogon\Notify\barnifo
[12/18/2006, 18:02:40] - Key not found: HKLM\...\Winlogon\Notify\barnifo, continuing.
[12/18/2006, 18:02:40] - BHO 4: {F18F04B0-9CF1-4b93-B004-77A288BEE28B} ()
[12/18/2006, 18:02:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
[12/18/2006, 18:02:40] - Checking for HKLM\...\Winlogon\Notify\xsvgdqqi
[12/18/2006, 18:02:40] - Key not found: HKLM\...\Winlogon\Notify\xsvgdqqi, continuing.
[12/18/2006, 18:02:40] - Finished Searching Browser Helper Objects
[12/18/2006, 18:02:40] - Finishing up...
[12/18/2006, 18:02:40] - Nothing found! Exiting...52] - Current Username: z (Admin)


[12/18/2006, 18:03:52] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()

[12/18/2006, 18:03:52] - WARNING: BHO has no default name. Checking for Winlogon reference.

[12/18/2006, 18:03:52] - Checking for HKLM\...\Winlogon\Notify\SDHelper

[12/18/2006, 18:03:52] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.

[12/18/2006, 18:03:52] - BHO 3: {A575BB7D-3FF1-4209-9099-297E71A46660} ()

[12/18/2006, 18:03:52] - WARNING: BHO has no default name. Checking for Winlogon reference.

[12/18/2006, 18:03:52] - Checking for HKLM\...\Winlogon\Notify\barnifo

[12/18/2006, 18:03:52] - Key not found: HKLM\...\Winlogon\Notify\barnifo, continuing.

[12/18/2006, 18:03:52] - BHO 4: {F18F04B0-9CF1-4b93-B004-77A288BEE28B} ()

[12/18/2006, 18:03:52] - WARNING: BHO has no default name. Checking for Winlogon reference.

[12/18/2006, 18:03:52] - Checking for HKLM\...\Winlogon\Notify\xsvgdqqi

[12/18/2006, 18:03:52] - Key not found: HKLM\...\Winlogon\Notify\xsvgdqqi, continuing.

[12/18/2006, 18:03:52] - Finished Searching Browser Helper Objects

[12/18/2006, 18:03:52] - Finishing up...

[12/18/2006, 18:03:53] - Nothing found! Exiting...


Zasad,od poboljsanja primjecujem da se vise ne pojavljuje ono "work offline" i radi brze sve...
 
Ovako "virtmundobegone.exe" nije našao ništa kod tebe na kompjuteru toliko sam mogao razabrati iz njegovoga loga.
E sada vundofix je interesantan :
vundo fix je nasao : windows/system32/duqusryx.exe
windows/msagent/intl/barnifo.dll
-II- -II- /ofnirab.ini
/ofnirab.bak 1
/ofnirab.bak 2
/ofnirab.ini 2
/ofnirab .tmp
Pokušao sam sve ove pojmove provući kroz google ali nisam našao ama baš ništa :(

GZ može li neko pojašnjenje u vezi ovoga ?
 
@Snejks

Nedavno sam imao slican problem na jednom racunaru u muzickoj skoli, i pokusao sam da rijesim.. No kako ste na temi mogli i sami da procitate ovaj problem sam rijesio uz pomoc Bobby-ja koji mi je izasao u susret i pomogao mi.. Na moj upit goglu u vezi bilo cega vezanog za moj problem rezultatje bio 0.. No kako rekog Bobby mi je pomogao u ovom slucaju...

Ako budem znao vise informacija o tome napisacu neku temu posebno s tim da je ovaj vrag dosta skriven i rijetko koji AV ga otkriva, ili ako ga i otkrije ne moze mu nista..

@limunada, vjerujem i nadam se da je problem rijesen.. Ipak, pokusaj sad da uradis HijakThis Log i posalji nam da analiziramo..

Poz..zzzz
 
FLUID:
Ako je sve uredu ajde sada lepo prizaj koje si sve lokacije na netu posećivala. :D
Trebalo bi da odvedeš društvo sa foruma na po jednu limunadu. Red je. :lol:
Kliknite za proširenje...

hehe...hoces history? salim se...nisam posjecivala nista "sumnjivo",ako mislimo na isto..;-)
a limunada,naravno za sve...:wink:

GZ ...zanimljivo...sad je "proradio" i log od hijacka...:roll: :

Logfile of HijackThis v1.98.2
Scan saved at 18:49:47, on 18.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system\smss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\scvhost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\z\My Documents\My eBooks\HijackThis.exe
O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\System32\ffodmqdc.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A575BB7D-3FF1-4209-9099-297E71A46660} - C:\WINDOWS\msagent\intl\barnifo.dll (file missing)
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\System32\xsvgdqqi.dll (file missing)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
 
limunada:
hehe...hoces history? salim se...nisam posjecivala nista "sumnjivo",ako mislimo na isto..;-)
a limunada,naravno za sve...:wink:

GZ ...zanimljivo...sad je "proradio" i log od hijacka...:roll: :

Logfile of HijackThis v1.98.2
Scan saved at 18:49:47, on 18.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system\smss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\scvhost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\z\My Documents\My eBooks\HijackThis.exe
O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\System32\ffodmqdc.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A575BB7D-3FF1-4209-9099-297E71A46660} - C:\WINDOWS\msagent\intl\barnifo.dll (file missing)
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\System32\xsvgdqqi.dll (file missing)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -
Kliknite za proširenje...

Naznacene datoteke kontrolisi jos jednom..

Sumnjiv mi je ovaj ffodmqdc.dll
Ipak je bio jedan od onih gadova o kojima sam pisao..

Ukoliko imas Live XP ili Live Linux pokusaj pokrenuti i procesljaj sistem srucno na navedenim adresama..

I opet uradi skan HJT i to kako sam ranije napisao preimenovati HJT u hjt (hijak this) u hjt1.exe pa preskenirati u Safe mode..

nadam se da smo se rijesili gada..
 
samo da javim da moja sreca kratko trajase...:?

istina,nema vise onog "work offline",ali mi zablokira otvaranje strana na netu i ne mogu da se diskonektujem.
novi momenat je ...kada sam pokusala ponovo da skeniram ovim vundo fixom,automatski mi se racunar resetova ...:roll: i sad je opet sve usporeno...:?

ne znam sta je SP2...a firewall sam jednom davno stavila zone alarm i sve mi je zakocilo...
moram priznati od tada nisam nista novo instalisala...a i ne znam sta bih...:?
 
stanje
Zatvorena za pisanje odgovora.

Back
Top