Virus Vault

Imam AVG i prilikom surfovanja po netu prijavio mi je da je neki fajl zarazen virusom,a sto je najcudnije ja ne mogu da pronadjem taj fajl.Evo gde ga je locirao:
C:/Documents and settings/Jelena/Aplication Data/Opera/Opera/catche/opr02U9O.html

A ja to nikako ne mogu da pronadjem tj. Pronadjem Jelena,ali nigde nema Aplication Data.
E sad posto je u karantinu, da li nema opasnosti da se prosiri?I kako da to resim,kada ne mogu da pronadjem fajl?
E da..Izgleda da se virus zove Exploit.
poz i hvala unapred.

Evo i log fajla koji je napravio hijack this:

Logfile of HijackThis v1.97.7
Scan saved at 4:45:18 PM, on 8/27/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sstray.exe
C:\Program Files\D-Tools\daemon.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Documents and Settings\Jelena\Desktop\1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

Detektovani file se izgleda nalazi u Operinom Cache-u ( privremeni int. fajlovi ), i ako ga je AVG detektovao, mislim da nema razloga za brigu.

Ovaj log file koji si postavila nije kompletan.
Skini odavde HijackThis, promeni mu naziv i onda napravi novi log.

Ne znam zašto,ali gotovo svaki post koji se napiše sa mogućim problemom virusa,predlaže se Hijack This skeniranje,ok je ako je u pitanju Adware/Spyware zato i jeste program urađen,mada ne funkcionalan koliko vidim,jer se problemi opet pojavljuju,ali prethodno bi nekad bilo dobro samo sa AV programom uraditi skeniranje da bi se videlo o čemu se radi i da li će se štetočina pojaviti.

Ja jesam protivnik Format-a C, i isto tako sam za sve vrste probavanja da se komp sredi bez obaranja sistema,ali me samo interesuje koliko je HT u stvari funkcionalan,pratim dosta foruma i ne vidim da su ljudi tek tako rešavali probleme uz pomenuti program.

Po meni su mnogo jači i bolji programi tog tipa JV16, RegSupreme i Registry First Aid,jeste da nisu free (sve se može naći ako treba ),plus manej poznati programi,ali veoma funkcionalni i nije ništa opasno za razliku od HT i slučajnog brisanja nečega što nije trebalo da se briše,to su Process Explorer,File Monitor i oni su totalno free.

@dvr: programi koje si spomenuo su reg. cleaneri i ''zamene'' za Task M. i doista ni na koji način se ne mogu porediti sa HijackThis-om.
Mislim da trenutno ne postoji ni jedan program koji se po svojoj svrsi može porediti sa HT-om.
Naravno, ne treba zaboraviti da je program besplatan ( kako bi nekoga uputio na komercijalan softver? Dati mu i link za cr*ck? ).

Zašto HT? On prosto dozvoljava pristup nekim lokacijama koje malware često koristi ( IE toolbar-ovi, Run sekcija, korisnički servisi... ) i relativno jednostavnu modifikaciju nekih stavki ( alternativa bi bila slati nekoga u regedit, a to i nije baš user friendly okruženje ).
HT nije zamišljen da reši sam neke probleme, već prvenstveno da pruži uvid u situaciju. HT log ( u svim ozbiljnijim anti-malware zajednicama ) predstavlja prvi korak u rešavanju bilo kakvih problema sa malwareom.

Da li je funkcionalan? Da. Kratko i jasno.
HT nikada sam neće napraviti neku štetu na kompjuteru - on će samo da uradi ono što mu se kaže. I ništa više.

Naravno, čovek prvo treba sam sebi da pomogne: AV i anti-spyware/adware sken.
Tek tada, ako problem nije rešen, treba tražiti pomoć.
Upravo o tome se i radi - o traženju pomoći. HT nije igračka. Treba ga koristiti samo ako znaš šta radiš ili ako si dobio uputstva od nekoga ko zna šta radi.
Tada nema opasnosti. Naravno, ljudi greše. Ali budi siguran da će ''načitan'' pomagač ređe da pogreši nego, npr. neki AV program.

Okej,hvala na obaveštenju,uvažiću ga.

Ja sam kod sebe pokušavao da zarazim komp i da ga čistim HT-om,ništa nisam uradio....

Čitajući forume ES,DZ i druge isto tako sam primetio da ljudi ne postižu baš rezultate koje bi želeli i koje se pretpostavljaju da će biti sa HT-om.

No idemo dalje...kao što rekoh HT je Adware/Spaware remover,jel tako ili nije?

A,virusi/trojanci/crvi su jedna grupa malicioznih programa, Adware/Spyware su druga grupa - to je sasvim različito,opet zar ne?

-AV programi se prvenstveno bore protiv prve grupe, dok za drugu grupu postoje drugi programi.

Ne znam zašto više ljudi postavljaju milion ovih tema,ja se tebi Boro divim,ja se smorim čitajući,a ne da još odgovaram,jer vidim da niko neće da uključi malo mozak i da proba sam da reši problem,nego ajde da pitam,neko će već pomoći i reći šta da "brišem,a šta ne"....


Ali i to ok,kad nema druge......,evo da probam da dopunim ovu temu sa par saveta,ne bi li se malo obratila pažnja pre postavljanja ovakvih pitanja:

-Pre skeniranja ispraznite cache vaseg browsera i temp foldere. Jedan je c:\windows\temp, drugi je c:\Documents and settings\{ime korisnika}\Local Settings\Temp. Ovaj drugi nećete naći ukoliko koristite Explorer, ali ga zato Total Commander ili mnogo drugih programa vide olako.
Ovo govorim da bi se olakšalo AV programu u skeniranju.

-Isključiti System Restore,od njega nema vajde,veća šteta nego korist.

-Napasti/malware sa zaraženog sistema se efektivno uklanjaju tek u Safe Mode radu Windowsa.Probajte svoj AV program u SM,dal će da radi

A,Regedit,to je posebna priča,ako treba otvorićemo temu samo za taj program .
Pozz

dvr:

Ja sam kod sebe pokušavao da zarazim komp i da ga čistim HT-om,ništa nisam uradio....

Kliknite za proširenje...

Zavisi šta je u pitanju - neki toolbar će lako da se ukloni.
No za neke veće zlikovce, HT će samo poslužiti za identifikaciju i, nakon što se primeni odgovarajući alat za uklanjanje, da se ukloni neka stavka iz reg. koja je eventualno zaostala.

dvr:

Čitajući forume ES,DZ i druge isto tako sam primetio da ljudi ne postižu baš rezultate koje bi želeli i koje se pretpostavljaju da će biti sa HT-om.

Kliknite za proširenje...

O ovome bi se moglo dugo pričati - zavisi šta očekuješ da će HT da uradi.
Vrhunski stručnjak će uvek biti zadovoljan HT-om - jer on zna šta HT može da uradi, a šta ne. Pa time i ne pokušava HT-om nešto odraditi što ne ide ( za razliku od nas, običnih smrtnika... ).

dvr:

No idemo dalje...kao što rekoh HT je Adware/Spaware remover,jel tako ili nije?

A,virusi/trojanci/crvi su jedna grupa malicioznih programa, Adware/Spyware su druga grupa - to je sasvim različito,opet zar ne?

-AV programi se prvenstveno bore protiv prve grupe, dok za drugu grupu postoje drugi programi.

Kliknite za proširenje...

U principu, HT nije nikakav remover. On sam nema pojma šta radi - njemu je potpuno svejedno da li uklanja npr. MyWebSearch toolbar ili Google toolbar.
Prosto su Adware/Spyware, u većini slučajeva, jednostavni za uklanjanje, pa će time i dobar deo problema koje ta kategorija uzrokuje da se lako reši uz pomoć njega.
E sada, te grupe malware i jesu problem - nekada je to bilo mnogo jasnije.
Danas je sasvim uobičajeno da malware dolazi u grupama, tj. jedna infekcija često povlači i neke dodatne. Pa onda imaš sve u paketu: reklamne prozore, nekog spammera/trojanca, pa još kada je upakovan/sakriven rootkit-om... Q-Q... Prava žurka. 8-)

Naravno, tvoja poslednja rečenica stoji, samo što te egzotične kombinacije prave probleme. I što je najgore, neke vrlo česte infekcije, AV-ovi nisu sposobni da uklone - detektuju ih, ali se gadovi toliko ''zavuku'' u sistem, da AV ne može ništa.

dvr:

Ali i to ok,kad nema druge......,evo da probam da dopunim ovu temu sa par saveta,ne bi li se malo obratila pažnja pre postavljanja ovakvih pitanja:

-Pre skeniranja ispraznite cache vaseg browsera i temp foldere. Jedan je c:\windows\temp, drugi je c:\Documents and settings\{ime korisnika}\Local Settings\Temp. Ovaj drugi nećete naći ukoliko koristite Explorer, ali ga zato Total Commander ili mnogo drugih programa vide olako.
Ovo govorim da bi se olakšalo AV programu u skeniranju.

-Isključiti System Restore,od njega nema vajde,veća šteta nego korist.

-Napasti/malware sa zaraženog sistema se efektivno uklanjaju tek u Safe Mode radu Windowsa.Probajte svoj AV program u SM,dal će da radi

A,Regedit,to je posebna priča,ako treba otvorićemo temu samo za taj program .
Pozz

Kliknite za proširenje...

Ovo citiram samo da bi povećao šansu da će neko da pročita... :wink:

Hvala vam. Skeniracu pa cu da javim rezultate.

dvr:

-Isključiti System Restore,od njega nema vajde,veća šteta nego korist.

Kliknite za proširenje...

dvr jedino se sa ovom izjavom NE SLAŽEM!
Zašto?
zato što mnogo puta (čitaj NAJČEŠĆE) se windows ošteti njegovim neadekvatnim korišćenjem , gde ova vrsta rešenja itekako pomaže!

Evo kompletnog:
Logfile of HijackThis v1.99.1
Scan saved at 9:02:43 PM, on 8/27/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Jelena\Desktop\Hy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Dakle sta kazete?Jel' sve ok ?
poz

snejks:

dvr jedino se sa ovom izjavom NE SLAŽEM!
Zašto?
zato što mnogo puta (čitaj NAJČEŠĆE) se windows ošteti njegovim neadekvatnim korišćenjem , gde ova vrsta rešenja itekako pomaže!

Kliknite za proširenje...

Ok

A jesi li razmišljao o ovome:AV program pronađe neku štetočinu,i ti kažeš AV programu da je ukloni što on naravno i uradi (ako može,da ne zaboravimo to ),a šta se dešava sa System Restore, odmah pravi kopiju te napasti da se nađe da imaš čime da se zanimaš ,jel tako?

U suštini,AV program džaba ukloni napast,a?

dvr:

Ok

A jesi li razmišljao o ovome:AV program pronađe neku štetočinu,i ti kažeš AV programu da je ukloni što on naravno i uradi (ako može,da ne zaboravimo to ),a šta se dešava sa System Restore, odmah pravi kopiju te napasti da se nađe da imaš čime da se zanimaš ,jel tako?

U suštini,AV program džaba ukloni napast,a?

Kliknite za proširenje...

Kod zaraze virusom Sistem restore nikada nije ni pomagao niti bio namenjenj tome ikada. Ako si pratio postove naše trebalo bi da si video da smo uvek posle zaraze savetovali isključivanje sistem restorea i njegovo ponovno uključivanje posle čišćenja od zaraze , taj korak je dovoljan da se obrišu sve prethodne povratne tačke u kojima bi se virus mogao zadržavati.

JekaiGeorge:

Dakle sta kazete?Jel' sve ok ?
poz

Kliknite za proširenje...

Da...

snejks:

Kod zaraze virusom Sistem restore nikada nije ni pomagao niti bio namenjenj tome ikada. Ako si pratio postove naše trebalo bi da si video da smo uvek posle zaraze savetovali isključivanje sistem restorea i njegovo ponovno uključivanje posle čišćenja od zaraze , taj korak je dovoljan da se obrišu sve prethodne povratne tačke u kojima bi se virus mogao zadržavati.

Kliknite za proširenje...

Naravno da pratim ....ok!

Hvala.Pala mi je stena sa srca.