Tema za korisnike koji imaju zaražen računar

[gost 13024]

Prije svega procitaj ovu temu:
http://forum.krstarica.com/threads/116707

Zatim posjeti ovu stranicu:
http://siri.urz.free.fr/Fix/SmitfraudFix_En.php
i ovu:
http://www.spywareremove.com/SpywareScanner87311p2s2.exe

rjesenje za SmitFrauda, koje nije za zanemariti je ovde.. Mada ne rece da li si radila u normal ili Safe Mode windowsa...

Ajd javi sta je uradjeno..

 

[milict]

Nista nisam uradila. XoftSpySE ga nije ni primetio, Noadware jeste, ali moze da ga skloni posle registracije( koja treba da se plati), a SmitfraudFix ne mogu da skinem, sve vreme iskace NOD, a download se prekida. Pokusacu sutra ponovo.
I, da, skeniranje je bilo u SAFE

 

[snejks]

Inače spyboat search and destroy može da radi pre učitavanja windowsa , uz sheduler sistema , pošto nije mogao da ga ukloni , siguran sam da ti je ponudio opciju da skeniraš komp i ukloniš sa njim pre sledećeg podizanja sistema, da li si prihvatila?

 

[milict]

Naravno, nema sanse.jutros opet pokusam da skinem Smitfraudfix- Page not found at siri...

 

[snejks]

http://siri.urz.free.fr/Fix/SmitfraudFix.exe smitfraud exe na izvolite

 

[milict]

Hvala lepo, ti probaj, pa ces videti- File not found!

 

[gost 13024]

Evo ja sam probao i odmah mi nudi direktno da skinemo fajl velicine 720 Kb..

Ostavi mail na PP mozda ti je internet u frci, tacnije ima jos problema pa ne da da ti otvori stranu...
da ti posaljem mailom pomenuti fajl..

Ili podjeti ovu adresu:

http://www.atribune.org/forums/index.php?&&CODE=autologin&fromreg=1

 

[snejks]

http://siri.urz.free.fr/Fix/SmitfraudFix.exe smitfraud exe na izvolite

Mrzi me da citiram sam sebe ali dobro , klikni desnim tasterom na link i imaš polje "Save target as" i sačuvaš negde na hard disk.

 

[gost 13024]

SmitFraud Fix sam poslao na vasu adresu.. Nadam se da nece biti problema oko prijema.. Pokusajte odraditi sve sto sam vam napisao..

nadam se u uspjeh..

 

[milict]

Prebacila sam mail u D, otisla u SAFE, raspakovala i pokrenula SmitfraudFix. Posle ukljucim i Spybot da vidim sta je bilo-nista, osim sto mi je monitor poplaveo. Kad sam se sabrala skenirala sam sa NODom. FileD:/SmitfraudFix.rar is infected with application Win32/prcView. Toliko, sad bar znamo da je laznjak. U svakom slucaju, hvala vam na trudu

 

[snejks]

Prebacila sam mail u D, otisla u SAFE, raspakovala i pokrenula SmitfraudFix. Posle ukljucim i Spybot da vidim sta je bilo-nista, osim sto mi je monitor poplaveo. Kad sam se sabrala skenirala sam sa NODom. FileD:/SmitfraudFix.rar is infected with application Win32/prcView. Toliko, sad bar znamo da je laznjak. U svakom slucaju, hvala vam na trudu

leleeeeee , trebala si malo sačekati, to što ti je ekran poplaveo je znak da se smitfraud pokrenuo i runovao CMD - Comand prompt , sa plavom pozadinom , sačekaš malo dok se runuje i onda ti se pojave opcije i na tebi je samo da stisneš pravi taster sa pravom brojkom i pokreneš skeniranje i čišćenje kompjutera

 

[milict]

Poplaveo je kad sam se vratila u normal posle skeniranja SmitfraudFixom. Jutros sam pokusala da otvorim rar, NOD vristi. Kakav je Win32/prcView? Odmah ga prebacuje u karantin i brise. Sad je ekran OK.

 

[milict]

Dzaba smo zakomplikovali, lepo sam ga obrisala. U HijackThis ima opcija "delete a file on reboot" u MiscTools, lepo obelezis sta hoces, i zdravo. I sve to u normal modu.

 

[snejks]

Ovako Zakačio sam nekog trojanca pandex.inf
Scan type: Auto-Protect Scan
Event: Threat Found!
Threat: Trojan.Pandex!inf
File: C:\WINDOWS\system32\winlogon.exe
Location: C:\WINDOWS\system32
Computer: SECUNDA
User: PC Home
Action taken: Clean failed : Quarantine failed : Access denied
Date found: 23. februar 2007 21:11:07
pregledam sada net ima li neki lek za ovoga trojanca
mislim da se zavukao i u main.sys unutar istog foldera koliko je reagovao i tamo.
Ako neko zna rešenje neka ga napiše

 

[snejks]

Logfile of HijackThis v1.99.1
Scan saved at 21:23:55, on 23.2.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TEMP\wuauclt.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - Global Startup: Snsicon.lnk = C:\Program Files\Second Nature\Snsicon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CAFECAFE-0013-0001-0022-ABCDEFABCDEF} (JInitiator 1.3.1.22) -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe


sada vise ne mogu ni da podignem sistem posle pocetnog ucitavanja sam se gasi , sada sam na njemu i koristim live xp

 

[gost 13024]

Auuuuuuuuuuuuuuuuuuuuu Snejks pobogu... zar ovde vlada Norton???

Idi u safe mode, preskeniraj sa Hijakom ali ga prvo preimenuj u SN1 ili kako hoces drugacije pa stavi log..

Za sada imas ovaj fajl koji mi je sumnjiv
Snsicon.exe

Norton ti je ugusio komp... Probaj da ga iskljucis totalno, pokreni SpyBot sa novim definicjama preskeniraj u Safe MOde i opet nam postavi HJT log a prije toga ga preimenuj kako sam napisao..

Veoma zaguseno sa Nortonom...
Cekam ...

 

[snejks]

Ovako nece vise ni u safe mod , inace onaj fajl snsicon.exe je program screansaver jer sam ga ja instalirao pre dva meseca
sada ga skeniram sa antiral toolkit od kasperskog koji je na live cd u
ako ima[ neku ideju pricaj ako treba ru;no 'u obrisem nortona.

 

[snejks]

Da na raspolaganju mi je ovde i brdo alata na ovom cd/u tako da daj slobodno predlog netju se ljutiti ako bude losh

 

[snejks]

da i jos nesto simanteka nisam ja stavljao vec je bio gore kada sam ga uzeo novoga su mi instalirali pa reko posto nije kocio ajd nek ide dok ide , ako mi pukne film ode ceo windows jer sve sto mi je bitno je na d particiji

 

[snejks]

Antiviral toolkit nije nasao nista

 

[snejks]

Uff sutra mi dolazi klijent , pa nemam sada vremena da se zezam , opaliću reinstall i rešena stvar, GZ nemoj radi mene da se mučiš , nego radi budućih . Simtomi su sledeći na kompjuteru nisam mogao da pokrenem hijjack this normalno pa je ukochio komp, zatim sam otišao u safe mod i preskenirao komp sa njim posle restarta više se sistem nije podigao , nema plavog ekrana zašto puca , i kako već dođe do momenta kada treba da digne plavi ekran sa welcome i sa mišem i tu pukne , safe mod je takođe mrtav ,neradi restore . dižem ga na xp live . srecom svi bitni podatci su mi na D disku a imam i kopije na dvd-ovima. Znači zapamtite :
Event: Threat Found!
Threat: Trojan.Pandex!inf
čini mi se da će biti još problema sa ovim , koliko sam video na internetu baš i nije nešto pokriven sa removerima , ustvarii nisam video nijednoga. tražiću još max sat vremena i tada leti OS u otpad ako u međuvremenu ne nađem ništa.

 

[snejks]

Ovako da vam javim šta sam uradio, kao prvo nisam reinstalirao kompjuter Obrisao sam obadva simantekova foldera ručno u program files-u , znam da baš nije najpravilnije , zatim sam seo i razmislio i setio sam se fajla ako se sećate C:\WINDOWS\system32\winlogon.exe koji je bio zaražen i ajde da ga potražim kada ono nema ga , pustim help sa live xp cd-a i nađe taj fajl umesto tamo u C:\WINDOWS\system32\dllcache\winlogon.exe uzmem lepo copy i paste na original mesto i restart kompa i komp se digne kao da se ništa nije desilo sve radi na njemu sem nesretnog simanteka koji je dobio nogu od mene ovaj put zauvek , biće komp na posmatranju jedno vreme sada što se mene tiče.

 

[snejks]

E ovo je log sada a to je isti taj komp od malopre , zasada sve radi u najboljem redu da ne poverujete , dosada sam namerno uradi jedno 10 restrta i malo ga opterećivao igricama ali još uvek radi.

Logfile of HijackThis v1.99.1
Scan saved at 0:47:22, on 24.2.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.flashnet.co.yu:8080
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {CAFECAFE-0013-0001-0022-ABCDEFABCDEF} (JInitiator 1.3.1.22) -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

 

[gost 13024]

Hmmmm.. sad cu da pisem sta mi nije jasno ovde.. Vidim da si izbacio Nortona i stavio Avasta..

OK, evo jos nesto sto mi nije jasno:
zasto pise googletoolbar2, to mi je malo nejasno.. i nije mi jasno kakve tu aplikacije imaju od Oracle softvera... Vidim da se prijavljuje neka datoteka...

i ova linija mi nije jasna
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Pored toga, nisi ni ti uradio posao da valja. ja sam lijepo na Removal Tool linkovima ostavio link za alat koji u kompletu deinstalira Norton Antivirus.. Dakle legalan Symentecov proizvod da deinstalaciju NAV-a..

Rucno brisati Nortona je vise nego nocna mora...

Ajd, javi sta se desilo nakon testiranja...

 

[snejks]

Sve je u redu zasada , inače posle ručnog brisanja nortona , odradio sam i deinstalaciju njegovoga otpada. Orakle , pa nekad mi je potreban , ono je google toolbar updater . Kompjuter lepo radi i bez problema , a već sam se maltene oprostio od windowsa. No nego je onaj trojanac zaeban neki kada mi je pomerio ceo fajl winlogon.exe , moglo je biti mnogo mnogo gore.