Pitanje za sve kompjuterske doktore

Brajan2211 · 08.09.2007. u 17:57

Logfile of HijackThis v1.99.1
Scan saved at 17:57:03, on 8.9.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\programi\google\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
D:\programi\Quick\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\programi\Skype\Skype.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\Sony\VolumeWatcher\SPUVolumeWatcher.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\Vuk\Desktop\123.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3A315AF9-6805-4180-A25D-1502D74A999F} - c:\windows\system32\mbjambj.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {69D2C938-13CF-4F0F-AB83-8FFC7972898B} - c:\windows\system32\vnxciytj.dll
O2 - BHO: (no name) - {EA75D23B-2ABB-4C1F-A0D7-D5E2932F72CA} - c:\windows\system32\qqdfkndq.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ccApp] -
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Picasa Media Detector] D:\programi\google\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\programi\Quick\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "D:\programi\Skype\Skype.exe" /nosplash /minimized
O4 - Startup: Picture Motion Browser Media Check Tool.lnk = D:\Sony\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: blfkoshn - C:\WINDOWS\SYSTEM32\mbjambj.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Brajan2211 · 08.09.2007. u 17:58

Nijedan od onih fajlova koje si mi rekao da obrisem nije postojao.

Brajan2211 · 08.09.2007. u 17:59

Ali problem jos uvek postoji.

dr_Bora · 08.09.2007. u 18:07

Jesi li čekirao one linije u HijackThis-u i kliknuo na Fix Checked a da su pritom bili zatvoreni svi prozori IE-a?

Brajan2211 · 08.09.2007. u 18:08

Da.Svi su bili zatvoreni.Zatvorio sam prozore i od Fire Fox.

dr_Bora · 08.09.2007. u 18:19

Ovako ćemo:

Pokreni VundoFix i klikni desnim tasterom miša u njegov prozor: dobićeš opciju Add more files.

U prozor koji se otvori iskopiraj sledeće linije ( svaku liniju odavde u posebnu liniju u VundoFix-u ):

c:\windows\system32\vnxciytj.dll

c:\windows\system32\qqdfkndq.dll

c:\windows\system32\mbjambj.dll

Klikni na Add Files a zatim na Close Window. Nakon toga klikni na Remove Vundo.

Nakon završetka procesa ( verovatno će se pc restartovati ), postavi novi HT log.

Brajan2211 · 08.09.2007. u 18:34

Uradio sam kako mi je bilo receno,ali kompjuter nije dozvolio Vundo Fix programu da izbrise dodate fajlove.

dr_Bora · 08.09.2007. u 18:36

Kako to misliš kompjuter nije dozvolio? Kako znaš da nije?

Daj HT log.

Brajan2211 · 08.09.2007. u 18:43

Logfile of HijackThis v1.99.1
Scan saved at 18:43:07, on 8.9.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\programi\google\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\programi\Quick\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\programi\Skype\Skype.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\sistray.exe
D:\Sony\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Documents and Settings\Vuk\Desktop\123.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3A315AF9-6805-4180-A25D-1502D74A999F} - c:\windows\system32\mbjambj.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {69D2C938-13CF-4F0F-AB83-8FFC7972898B} - c:\windows\system32\vnxciytj.dll
O2 - BHO: (no name) - {EA75D23B-2ABB-4C1F-A0D7-D5E2932F72CA} - c:\windows\system32\qqdfkndq.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ccApp] -
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Picasa Media Detector] D:\programi\google\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\programi\Quick\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "D:\programi\Skype\Skype.exe" /nosplash /minimized
O4 - Startup: Picture Motion Browser Media Check Tool.lnk = D:\Sony\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: blfkoshn - C:\WINDOWS\SYSTEM32\mbjambj.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

Brajan2211 · 08.09.2007. u 18:44

A i da ih je izbrisao to nije resilo moj problem.

dr_Bora · 08.09.2007. u 18:49

VundoFix je još uvek aktivan, stoga trebaš restartovati pc ( možda će tek tada da pokuša brisanje ).
Znači, restartuj pc, i postavi novi log da znam da li su file-ovi još tu.

Brajan2211 · 08.09.2007. u 18:59

Logfile of HijackThis v1.99.1
Scan saved at 18:59:26, on 8.9.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\programi\google\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
D:\programi\Quick\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
D:\programi\Skype\Skype.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\sistray.exe
D:\Sony\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Vuk\Desktop\123.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3A315AF9-6805-4180-A25D-1502D74A999F} - c:\windows\system32\mbjambj.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {69D2C938-13CF-4F0F-AB83-8FFC7972898B} - c:\windows\system32\vnxciytj.dll
O2 - BHO: (no name) - {EA75D23B-2ABB-4C1F-A0D7-D5E2932F72CA} - c:\windows\system32\qqdfkndq.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ccApp] -
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Picasa Media Detector] D:\programi\google\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\programi\Quick\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "D:\programi\Skype\Skype.exe" /nosplash /minimized
O4 - Startup: Picture Motion Browser Media Check Tool.lnk = D:\Sony\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: blfkoshn - C:\WINDOWS\SYSTEM32\mbjambj.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\WINDOWS\SYSTEM32\VundoFixSVC.exe

Brajan2211 · 08.09.2007. u 19:00

Restartovao sam ali vidim i ja da je Vundo Fix jos aktivan

dr_Bora · 08.09.2007. u 19:16

Skini Avenger i raspakuj ga.
Znači, obavezno ga raspakuj - nemoj ga pokretati iz zip-a.

Pokreni Avenger, klikni na ok u poruci koja se pojavi.

Obeleži treću opciju: Input script manually
Klikni na ikonicu lupe
U prozor koji se otvori iskopiraj sledeće ( sve što je plavo ):

Files to Delete:
c:\windows\system32\vnxciytj.dll
c:\windows\system32\qqdfkndq.dll
c:\windows\system32\mbjambj.dll

Klikni na Done a zatim na ikonicu semafora. Ako program sam ne zatraži restart, onda ti restartuj pc.

Nakon toga postavi novi HT log.

Brajan2211 · 08.09.2007. u 19:22

Odbija i dalje.Jednostavno mi prijavljuje greske i ne dopusta da se ovi fajlovi obrisu.
Otpakovao sam Avengera.

Brajan2211 · 08.09.2007. u 19:24

Hvala na pomoci,ali moram da se skinem sa neta.Cujemo se sutra.

gost 13024 · 08.09.2007. u 19:44

Dr.Bora.

Pratim cijeli proces koji se ovde odvija i gotovo sam zadivljen vremenom koji odvajas za sve ovo, ali vidim da si mozda previdio jednu stvar, to sto mu ne dozviljava da ukloni fajlove sa Vundo Fixon i Avengerom jeste da je neki ili svi fajlovi aktivni pod windowsom ili mozda negdje u radnoj memoriji a znas i sam kada su aktivni da se ne daju uklanjati, sad postoje alati koji mogu da pomognu kada win nije aktivan alil ne vjerujem da ih Brajan ima, a da stvar bude zesca, nisam siguran da li je neki od ovih fajlova eventualno aktivan i u Safe mode opciji..

Na kraju, mozda, a moguce je da pomenuti fajlovi i kada se uklone ostaju u System restore pointu, te bi bilo dobro iskljuciti System restore..

Sve ovo ne tvrdim 100%, samo jedno od razmisljanja koja bi mogla da pomognu...

Hvala na vremenu koje odvajas da pomognes..

GZ

dr_Bora · 08.09.2007. u 20:28

@GZ:

Najveći problem ovde predstavlja onaj dll koji se nalazi u 020 sekciji u HT-u ( on je aktivan i u Safe modu, ako se ne varam ). On je taj koji ''pokriva'' ostale.
Recimo, Vundo ( Con.Hook.Trojan ) se standardno tu ''ukopava'' a njega vundofix ukloni bez većih problema. ''Ručnim'' dodavanjem file-ova u VundoFix, ovo je trebalo biti rešeno.
No, nije tako bilo. To bih još mogao i da prihvatim za VundoFix, ali Avenger...
Avenger prosto briše sve. Prilično sam siguran da uputstvo prosto nije ispraćeno kako treba. Ne mogu to da tvrdim, ali... Brajan2211 mi uopšte nije odgovorio na neka pitanja koja sam postavio ( kako to kompjuter ne dozvoljava da se file-ovi obrišu? ). Takođe, nije napisao precizna objašnjenja ko mu prijavljuje greške i tačno šta bude prijavljeno.
Inače, u ovakvim slučajevima se oslanjam na svoju omiljenu klistalnu kuglu, a nekada ''pogledam'' i u pasulj, no, ovih dana slabo stojim sa tim...

Naravno, moguće da je čovek odradio sve kako je trebalo i da postoji nešto što ovde ne vidimo ( nešto hook-ovano, neki rootkit )... Proverićemo i to...

Što se tiče System Restore-a, vrlo moguće da su neki od malicioznih file-ova i tamo.
Ali... Poželjno je ne isključivati SR pre no što se PC ''očisti''.
Pokušajem uklanjanja nekog malware-a, pogotovo ako je u pitanju neki servis ( driver ), može se dogoditi da Win više neće da startuje i tada je SR ''zlata vredan''.
Stručnjak, koji ima pristup PC-u, će lako da se snađe... Ali, prosečnom korisniku, SR je obično jedini spas ako nastane konkretan problem - stoga ga je dobro držati uključenog.
Naravno, podrazumeva se da korisnik ne treba da u toku procesa da koristi SR za vraćanje ''unazad''.

ps: @Brajan2211: nemoj ti sada da se uvrediš... rešićemo mi ovo... :wink:

dr_Bora · 08.09.2007. u 22:11

@Brajan2211: Idemo na sledeći pokušaj... 8-)

Za početak, isključi svoj AV program.

Pokreni Avenger, obeleži Input script manually, klikni na ikonicu lupe i iskopiraj sledeće u prozor koji se otvorio:

Files to Delete:
c:\windows\system32\mbjambj.dll
c:\windows\system32\vnxciytj.dll
c:\windows\system32\qqdfkndq.dll

Klikni na Done a zatim na ikonicu semafora. Odgovori sa Yes na sva postavljena pitanja. Ako program sam ne izvrši restart, onda ti restartuj pc.

Nakon restartovanja kompjutera, iskopiraj ovde sadržaj file-a C:\avenger.txt kao i novi HT log.

snejks · 08.09.2007. u 22:57

@GZ , @dr_Bora , moje je mišljenje da ste najverovatnije oboje u pravu , da postoje aktivni procesi i u safe modu a i da najverovatnije nije ispraćeno uputstvo dr_Bore do kraja , naročito mi je čudno to što je on čekirao ona polja u Hijjack this-u i kliknuo na Fix problem i da se te stavke i dalje pojavljuju na istom mestu.. Pošto čisto sumnjam da Brajan poseduje Live Windows , ili neku os distribucija Live Linuxa sa kojim bi mogao ručno da pronađe te fajlove i da ih obriše , predlažem : da mu napišete neko uputstvo s kojim bi mogao da to uradi recimo ili iz Safe Mod Comand prompta , ili uz pomoće možda neke startup diskete sa koje bi podigao dos i jednostavno ručno obrisao ciljane fajlove!

snejks · 08.09.2007. u 22:59

http://www.incodesolutions.com/virl25.php

Jedino na netu što sam našao za mjamb.dll , navodno ovaj ga uklanja.

dr_Bora · 08.09.2007. u 23:30

Kao što rekoh, 020 linija ''drži'' ona ostala dva dll-a - zato su još uvek tamo.
Samo 020 liniju je vrlo teško ukloniti pomoću HT-a - prvo se file mora na silu obrisati, pa tek onda može Fix stavke u registru ( ono gore je bio čisto pokušaj... 8-) ).

U svakom slučaju, Avenger bi ovo morao da reši ( jer može i mnogo ''tvrdoglavije'' file-ove da obriše ). Moguće je da postoji još nešto sakriveno i da vraća infekciju, no o tome ćemo razmišljati kada vidimo Avenger-ov log. Bez log-a, možemo samo nagađati zašto nije odradio posao.
Bilo kako bilo, kad-tad ćemo im doći glave...

Što se tiče ovog linka... Hajde da to ovako kažem: do prošle godine, taj nazovi AV je bio na listi Rogue/Suspect AV programa zbog metoda detektovanja - umesto definicija virusa, koristili su imena file-ova.

[666] · 08.09.2007. u 23:42

dr. Bora je odlično odradio ceo proces. Jednostavno i VundoFix i Avenger (kroz delete on rebot opcije) brišu garantovano sve što je tu navedeno. Malware koji se briše ovim alatkama je skoro uvek aktivan na sistemu kada se one koriste i lično nisam video/čuo da neki fajl nisu uspele da obrišu.

Sistem Restore nema veze sa ovom pričom. To potvrđuje HJT log koji ih je izlistao kao aktivne. Detekcija AV je moguća posle toga jedino iz Restore Point-a ali tada fajlova koji su prvobitno brisani i nema na sistemu.
NHF ali ovde i korisnik mora imati malo razumevanja za ono što se radi i mora ispratiti uputstvo do najsitnijih detalja ako želi uspeh. I moja procena je da se ovde radi o "korisnik faktoru" :]

[666] · 08.09.2007. u 23:51

@Bora
Jel' Avenger na toj putanji beše pravi i log ili samo backup fajlova ? Čini mi se da txt pravi na "C:\avenger.txt" a backup fajlova u folderu "C:\Avenger".
:?

dr_Bora · 08.09.2007. u 23:57

Log je na C:\avenger.txt, a backup u C:\Avenger\ ( napravi backup.zip u tom folderu ).

Pitanje za sve kompjuterske doktore

Zainteresovan član

Zainteresovan član

Zainteresovan član

Aktivan član

Zainteresovan član

Aktivan član

Zainteresovan član

Aktivan član

Zainteresovan član

Zainteresovan član

Aktivan član

Zainteresovan član

Zainteresovan član

Aktivan član

Zainteresovan član

Zainteresovan član

Domaćin

Aktivan član

Aktivan član

Elita

Elita

Aktivan član

Početnik

Početnik

Aktivan član

Slične teme