PDA

View Full Version : Otvaraju mi se stranice same od sebe,kako da to zaustavim?


Aelis 23
03.07.2009., 15:01
Kao što naslov kaže, prije nekog vremena su mi se neke stranice same od sebe počele otvarati (npr. travian,poker,popular desktop....)
Zanima me kako da to zaustavim jer me već stvarno počelo nervirati i bojim se da ću baciti kompjuter kroz prozor :mad:(nekad ih se naotvara toliko da mi se komp. zablokira)
Molim pomozite :moli:

Djed_Mraz
03.07.2009., 16:29
zASTO ides na pr0n sajtove :D

Tools - postavi home page i obrisi sve cookies, passworde i sve spremljeno u ff memoriju ili koji vec browser koristis

Aelis 23
03.07.2009., 17:42
Nisam,barem ne ja...

Evo obrisala sam sve i opet mi se to otvara,trenutno nekakav zwinky download toolbar,ma gluposti neke dječije.
Stvarno ću poludjeti,imaš li još neki prijedlog kako da se toga rješim?

darge
03.07.2009., 18:35
Jel imaš koji antivirusni program,ako ne skini avira 9 to je free,a za početak skini ovaj program,napravi update(ažuriranje) pa scaniraj i obriši ako ima šta.
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

dobrota
03.07.2009., 18:37
pogledaj u add/remove, ako pronađeš taj toolbar izbriši ga iz add/remove...
a možeš i skinuti RSIT log, pa da vidimo šta još ima:)
skini sa ove stranice rsit ...spremi ga na desktop..pokreni ga..sačekaj dok završi, kada završi izbacit će dva loga, te logove uploadaj na rapidshare i link postaj na forum
http://images.malwareremoval.com/random/RSIT.exe

cmicmi
03.07.2009., 18:51
@ Dobrota.....
svaka cast na svemu , ali sad vec pretjerujes....
za svaki ku*** ti odmah na RSIT......

kaj , radiš za njih ili koji kura*????
taj fckn zwinky se rijesi sa samim MaleareBytes-om , a ti odma jna RSIT , pa na kurac palac obavezno preimenuj u 123.desktop.....
pa kak nisi vec sam sebi dosadan?


@postavljacica topica


dovoljno je skinute Malwarebytes , instalirati , napraviti update , Perform Full Scan i to je to

zfrknt
03.07.2009., 23:24
pa na kurac palac obavezno preimenuj u 123.desktop.....
pa kak nisi vec sam sebi dosadan?


To ti je zato da lakše krene. :rofl:

dobrota
04.07.2009., 15:12
...a dečki, šta da vam kažem...kad mi bude trebalo promjenit pozadinu na računalu...vas se budem prvih sjetio :)

pusa...volim i ja vas :D

OpticaLL
07.07.2009., 09:53
dovoljno je skinute Malwarebytes , instalirati , napraviti update , Perform Full Scan i to je to

Isti problem, imam KIS 2009 i otvaraju mi se te stranice, najcesce Travian i to kad idem na uploaded il neki drugi site za direktan download. Probao instalirati Malwarebytes al mi je na to KIS "pozvizdio", pa sad da zgasim KIS kad to probam instalat - updateat il kaj?

Stormbreaker
07.07.2009., 09:57
Moja frendica ima ovaj isti problem.. javila se meni za rješenje, ali ništa što je meni palo na pamet nije uspjelo..

Pa evo, ako postavljačica topica/OpticaLL riješe problem sa Malwarebytes-om, molim da mi samo javite tu u topic da mogu pomoć frendici :D

_Tin@_
08.07.2009., 18:53
ovo sa Malwarebytes-om ne funkcionira. Barem meni.
Ima još kakav način??

dobrota
08.07.2009., 19:06
naravno da ima načina...pogledaj post #5, i napravi onako kako piše...

sa malwarebytesom ti nije uspjelo, jer ga isti ne prepoznaje kao opasnost

cmicmi
08.07.2009., 21:46
...a dečki, šta da vam kažem...kad mi bude trebalo promjenit pozadinu na računalu...vas se budem prvih sjetio :)

pusa...volim i ja vas :D


hahahahahahahahahahaha


beba , dobar biti.....
dok sam ja po kompvima harao ti si na flaks glavoče pecal.....:top:

starapsina
08.07.2009., 22:14
Ok, prije svega skeniraj sve sa a-squared-om i Hitman Pro (dva free programa šta skineš sa neta) u safe modu
sa networkom jer ti network treba za update antimalware baze samih programa, pa onda skini unlocker, mogao bi ti zatrebati.
Ako nešto ne može maknuti a-squared ili Hitman Pro odi u file assasin i tamo browse-aj do te
direktorije označene od a-squareda i delete ili kill (šta već). Pa onda odi u windows explorer,
pa particiju di su ti windowsi ( obično C), pa windows, pa system32, pa drivers, pa etc, pa delete hosts.
Ako ih ne možeš delete-at koristi unlocker. Pa odi u IE, pa Tools, Internet options, programs, manage add-ons i miči sve šta ti je sumljivo.
Progooglaj netom sa firefox-om ili nekim drugim browserom i provjeri te pojmove od tih IE add-ona prije micanja.
Odi opet nakon toga u safe mode i napravi opet scan sa antivirusom i svim tim programima koji si skinuo pa ako ne ide nikako pitaj Dobrotu ili Jockera šta ti je dalje činiti.

zfrknt
08.07.2009., 23:40
Ok, prije svega skeniraj sve sa a-squared-om i Hitman Pro (dva free programa šta skineš sa neta) u safe modu
sa networkom jer ti network treba za update antimalware baze samih programa, pa onda skini unlocker, mogao bi ti zatrebati.
Ako nešto ne može maknuti a-squared ili Hitman Pro odi u file assasin i tamo browse-aj do te
direktorije označene od a-squareda i delete ili kill (šta već). Pa onda odi u windows explorer,
pa particiju di su ti windowsi ( obično C), pa windows, pa system32, pa drivers, pa etc, pa delete hosts.
Ako ih ne možeš delete-at koristi unlocker. Pa odi u IE, pa Tools, Internet options, programs, manage add-ons i miči sve šta ti je sumljivo.
Progooglaj netom sa firefox-om ili nekim drugim browserom i provjeri te pojmove od tih IE add-ona prije micanja.
Odi opet nakon toga u safe mode i napravi opet scan sa antivirusom i svim tim programima koji si skinuo pa ako ne ide nikako pitaj Dobrotu ili Jockera šta ti je dalje činiti.

Lijepo si ti to objasnio :lol:
Samo nisi napomenuo da prije isprinta ovo (http://www.forum.hr/showthread.php?t=39560).

starapsina
09.07.2009., 05:15
Ajd, ajde. Neće im se dogoditi ništa, samo nek provjeravaju prije nego što išta dopuste da se delete-a i nema frke. Nek stave log od a-squareda na ovaj forum, već će im Dobrota objasnit sve šta treba i šta ne treba :)

starapsina
09.07.2009., 09:41
http://www.hitmanpro.nl/en

zfrknt
09.07.2009., 10:50
Ajd, ajde. Neće im se dogoditi ništa, samo nek provjeravaju prije nego što išta dopuste da se delete-a i nema frke. Nek stave log od a-squareda na ovaj forum, već će im Dobrota objasnit sve šta treba i šta ne treba :)

Naravno da se neće ništa dogoditi onome tko zna, ali taj neće ni tražiti tvoj savjet da mu ti savjetuješ Dobrotu ako pođe po zlu. :D

Pročitaj malo onaj dio kod nedostataka hitmana pa će ti biti jasnije zašto sam reagirao na tvoj post.
http://www.surfing-safe.com/spyware/hitmanpro.php
Reagirao sam i zbog toga što ljude upućuješ da brišu nešto iz win direktorija. Za naprednije korisnike OK, ali takvi ovdje ne postaljaju pitanja. :mig:

starapsina
09.07.2009., 11:09
Kao prvo 1. Hostove moš vratit kad hoš, ima čak i program za to, HostsXpert
Kao drugo 2. Ta stranica koju ti daješ je poprilično oronula, puno se toga promijenilo pa i programi koje taj Hitman Pro koristi
vidi: http://www.wilderssecurity.com/showthread.php?t=236732&highlight=hitmanpro
Ako je jedan od tih programa problematičan onda je to a-squared koji ima visoku detekciju ali i puno false positives-a i snjime treba baratat oprezno, nikako ne delete već quarantine ako već mora nekako. Ako si pročitao šta ima novo u Hitman Pro vidijo bi da program prije napravi back-up onoga što želi obrisat, to je pod mus, a i sada ima i puno kvalitetnije programe nego što su navedeni u onoj tvojoj stranici. I još nešto, svaka čast Dobroti i takvima koji se trude, meni se neda svađat sa pola svijeta da bi nekog uvijeravao kako si može sam riješit problem a kamoli još riješavat unedogledat tuđe probleme svakojake prirode. Kontaš!!

dobrota
09.07.2009., 11:52
hahahahahahahahahahaha


beba , dobar biti.....
dok sam ja po kompvima harao ti si na flaks glavoče pecal.....:top:

Malwarebytes' Anti-Malware 1.38
Database version: 2381
Windows 5.1.2600 Service Pack 3

6.7.2009 19:36:04
mbam-log-2009-07-06 (19-36-04).txt

Scan type: Quick Scan
Objects scanned: 90358
Time elapsed: 7 minute(s), 0 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

http://i25.tinypic.com/69gbo1.gif

dećec obrati pozornost na vrijeme, možda nešto ukopčaš :mig:

Diana.Cute
02.08.2009., 19:25
Probaj samo izaći iz tih stranica ili nemoj ići na stranice sa puno reklama. Npr. kad ja odem na neku stranicu koja ima reklamu za Smiley Center, Cursor Maniu ili Zwinky, kad odem na nešto drugo, otvori mi se prozor za download. Ja prozor samo zatvorim. Bude ono, npr. Get a new generation of free smileys, neke slike da me privuku i velikim slovima download. Ja to samo zatvorim i gotovo:kava:

Je li riječ o tome?:confused:

dajse
23.09.2009., 19:35
Kao što naslov kaže, prije nekog vremena su mi se neke stranice same od sebe počele otvarati (npr. travian,poker,popular desktop....)
Zanima me kako da to zaustavim jer me već stvarno počelo nervirati i bojim se da ću baciti kompjuter kroz prozor :mad:(nekad ih se naotvara toliko da mi se komp. zablokira)
Molim pomozite :moli:

Ovako ,da ne počinjem sa rijeći JA imam isti problem tj. slićan,neznam uzrok ali privremeno riješenje da.koristim modzilu tako da mi ih ne otvara na desktop ,ujedno i avast skript blocker ga blokira pa mi IE radi u pozadini i zna se nakupiti do 160 procesa (obićan XP u stand by modu ima do 42 procesa) inaće mi ih je 61 što znaći da je mi je 99 IE-a otvorio neki po mojem gotovo sigurnim mišljenjem spyware ili malware.poanta je što ga nisam moga pronać direktno nego samo ono što je napravio (spy hunter 3, trojan horse remover ,avas 4.8pro).uglavnom pogasim sve procese IE-a (task menager) ,onda se ne pali dok ne pokrenem modzilu(što omogućuje normalan gameing bez crash to desktop look-a)nakon pokretanja browsera izgasim ostala dva procesa koja se pojave od IE-a(ako koristite IE mislim da neće pomoć).i više ne pali IE do ponovnog pokretanja računala ili browsera.na visti se u istom slućaju našao malware od strane vistinog windows defender-a za sad bez problema.ako je netko ostvario kvalitetnije riješenje zamolio bih reply.hvala

dajse
24.09.2009., 17:13
Malwarebytes' Anti-Malware 1.38
Database version: 2381
Windows 5.1.2600 Service Pack 3

6.7.2009 19:36:04
mbam-log-2009-07-06 (19-36-04).txt

Scan type: Quick Scan
Objects scanned: 90358
Time elapsed: 7 minute(s), 0 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

http://i25.tinypic.com/69gbo1.gif

dećec obrati pozornost na vrijeme, možda nešto ukopčaš :mig:

screnshot je od malwarebytes?

dobrota
24.09.2009., 17:30
ne screen je od KIS-a...

tvoj problem nije problem za riješiti...trebaš skiniti RSIT sa ove stranice http://images.malwareremoval.com/random/RSIT.exe
-spremi ga na desktop, pokreni...sačekaj dok ne završi
kada završi izbacit će dva loga...te logove uploadaj na rapidshare i link kopiraj na forum

dajse
24.09.2009., 18:52
ne screen je od KIS-a...

tvoj problem nije problem za riješiti...trebaš skiniti RSIT sa ove stranice http://images.malwareremoval.com/random/RSIT.exe
-spremi ga na desktop, pokreni...sačekaj dok ne završi
kada završi izbacit će dva loga...te logove uploadaj na rapidshare i link kopiraj na forum

skeniro sam sa trojan removerom(sry evry za 2 posta prije(trojan horse remover)) i nasao je da ctfmon.exe ne radi kak treba pa sam :Removing the following registry keys:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe - already removed (or did not exist) - to je izbacio polje restarta http://support.microsoft.com/kb/282599/hr microsoft-ovi software-i rade normalno i ie se ne pali sam od sebe i vise se ne pali pri pokretanju tj. ne radi u pozadini i ne množi se.al svejedno bih pregledo komp jer mi se ne ćini da je to to,samo me dobrota zanima dali trebam bit registriran na rapidshare i kako upload-am.thx

dobrota
24.09.2009., 19:13
skeniro sam sa trojan removerom(sry evry za 2 posta prije(trojan horse remover)) i nasao je da ctfmon.exe ne radi kak treba pa sam :Removing the following registry keys:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe - already removed (or did not exist) - to je izbacio polje restarta http://support.microsoft.com/kb/282599/hr microsoft-ovi software-i rade normalno i ie se ne pali sam od sebe i vise se ne pali pri pokretanju tj. ne radi u pozadini i ne množi se.al svejedno bih pregledo komp jer mi se ne ćini da je to to,samo me dobrota zanima dali trebam bit registriran na rapidshare i kako upload-am.thx

ne moraš biti registriran da bi uploadao file na rapidshare...

log i txt filove spremiš na desktop...otvoriš http://www.rapidshare.com/

-klik na browse
-pronađeš .txt i .log ,označiš ih ,klik na uredu
-nakon toga klik na upload
-otvorit će se nova stranica, samo kopiraš link sa te stranice na forum
http://i35.tinypic.com/24b6g5g.gif
http://i34.tinypic.com/jq6b1z.gif
http://i35.tinypic.com/2mepczt.gif
http://i34.tinypic.com/25g9zrc.gif

dajse
24.09.2009., 19:20
nevermind,uspjeh, evo ih:)

http://rapidshare.com/files/284470549/log.txt.html

http://rapidshare.com/files/284471103/info.txt.html

stigo i odg. taman hehe thx

dobrota
24.09.2009., 19:42
nevermind,uspjeh, evo ih:)

http://rapidshare.com/files/284470549/log.txt.html

http://rapidshare.com/files/284471103/info.txt.html

stigo i odg. taman hehe thx

skini OTM sa ove stranice http://oldtimer.geekstogo.com/OTM.exe
-spremi na desktop
-otvori OTM i ovo kopiraj u prazno polje sa live strane
:Processes
explorer.exe

:Services
a427t6y1
NwSapAgent



:Reg


:Files
C:\WINDOWS\95FC26FB19FD4A96BBB1B1062E8648F5.TMP
C:\WINDOWS\_MSRSTRT.EXE








:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

klik na move it
računalo će tražiti restrat...dozvoli

2. skini combofix sa ove stranice http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-combofix spremi na desktop
-antivirus i sve ostale programe sa realtime zaštitom postavi na disable
-pokreni combfix, na sve što combofix traži odgovori potvrdno
-dok traje scan ne dirati miš ni tipkovnicu
-ništa ne diraj dok ne završi combofix, kada završi izbacit će combofix log
-taj log isto tako uploadaj i link kopiraj na forum

dobro si odlučio da pregledaš komp, samo radi točno što napišem i bit će sve brzo gotovo :)

dajse
24.09.2009., 20:14
[QUOTE=dobrota;
dobro si odlučio da pregledaš komp, samo radi točno što napišem i bit će sve brzo gotovo :)[/QUOTE]

s ukljućenim netom ili bez?

dobrota
24.09.2009., 20:17
s ukljućenim netom ili bez?

sa uključenim netom radi, combofix će sam isključiti net kad bude trebalo...

ja mislija da je već gotovo :rofl:

jesi li pokrenija OTM ?...

kopiraj mi njegov log na forum...log se nalazi u C:_OTM

dajse
24.09.2009., 20:25
odg. ćim sam vidio sry
evo ga:


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
Service\Driver a427t6y1 not found.
Service\Driver key a427t6y1 deleted successfully.
Unable to stop service\driver NwSapAgent.
Service\Driver NwSapAgent deleted successfully.
========== REGISTRY ==========
========== FILES ==========
C:\WINDOWS\95FC26FB19FD4A96BBB1B1062E8648F5.TMP moved successfully.
C:\WINDOWS\_MSRSTRT.EXE moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: abla
->Temp folder emptied: 197258027 bytes
->Temporary Internet Files folder emptied: 8148630 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 65899940 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Cookies\index.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_7a8.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 131539 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 258,96 mb


OTM by OldTimer - Version 3.0.0.6 log created on 09242009_211814

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File C:\WINDOWS\temp\Perflib_Perfdata_7a8.dat not found!

Registry entries deleted on Reboot...

dajse
24.09.2009., 20:27
to-to

mogu sa combofix-om počet

dobrota
24.09.2009., 20:28
ok..sada pokreni combofix...

ništa ne diraj dok combofix ne završi...

dajse
24.09.2009., 20:30
ok

dajse
24.09.2009., 20:50
ok..sada pokreni combofix...

ništa ne diraj dok combofix ne završi...

http://rapidshare.com/files/284504127/ComboFix.txt.html

dajse
24.09.2009., 20:51
svaka cas ,samo od kud to sve znas FER?

dobrota
24.09.2009., 21:17
svaka cas ,samo od kud to sve znas FER?

dobro...

otvori notepad, u notepad kopiraj ovo
KIllAll::

File::
c:\windows\system32\ctfmon_lu.exe.vir
c:\windows\winstart.bat
c:\windows\system32\zllictbl.dat

DDS::
uStart Page =

FixCSet::

FCopy::
c:\windows\system32\dllcache\sfcfiles.dll | c:\windows\system32\sfcfiles.dll
c:\windows\system32\dllcache\tcpip.sys | c:\windows\system32\drivers\tcpip.sys

zatvori notepad i spremi kao CFScript.txt na desktop

-antivirus postavi na disable
-ovu skriptu uvuci sa mišem u combofix.exe
http://i37.tinypic.com/ao252t.gif

-combofix će se opet pokrenuti, sačekaj dok ne završi
-log opet uploadaj i link kopiraj

nakon ovog pokretanja će biti sve ok...

dajse
24.09.2009., 21:21
:confused:Daj mi reci.Jel to gotovo i što mi je bilo s kompom.Dobio sam par novih folder-a tipa Local Disk E:\RECYCLER - što s njima?IE mi je postao glavni pretraživać i uguro se u svaki tab na object dock-u vezan uz internet te ujedno se pojavio na desktopu al ne kao shortcut.To je sve normalno? Čime sam bio zaražen?:confused:

dajse
24.09.2009., 21:24
[QUOTE=dobrota;biti sve ok...[/QUOTE]

ok

dobrota
24.09.2009., 21:25
samo ti pokreni combofix... a to u vezi IE ne brini previše, to je combofix vratio postavke koje ti lako možeš prominiti isto tako možeš i obrisati onaj shortcut od IE...

a čime si bio zaražen ?
pa sa rootkitom, par trojana i crva....
i nemoj ukopčavat usb disk jer ti je i on zaražen...usb ćemo kasnije

dajse
24.09.2009., 21:51
samo ti pokreni combofix... a to u vezi IE ne brini previše, to je combofix vratio postavke koje ti lako možeš prominiti isto tako možeš i obrisati onaj shortcut od IE...

a čime si bio zaražen ?
pa sa rootkitom, par trojana i crva....
i nemoj ukopčavat usb disk jer ti je i on zaražen...usb ćemo kasnije

uh :cice:

usb mi je hdd externi od 500Gb i stalno je spojen tj. cijelo vrijeme :(

combo nakon stand. pregleda kad je poćeo brisat viruse tj. izvršavat naredbe ak sam dobro skužio -> 30 sec pa se restart-o - već sam pomislio da sam nešto sjebo al nisam evo log:

http://rapidshare.com/files/284525101/combo_log.txt.html

dajse
24.09.2009., 21:57
Ako možemo sutra nastavit bez većih posljedica, radim od 6 am pa bih se moro naspavat jer mi poslodavci nisu razumni ni najmanje.A mislim da i ti moras ujutro negdje valjda bit.Što kažeš?

dajse
24.09.2009., 21:59
I hvala puno na svemu(malo dobrih ljudi).

dobrota
24.09.2009., 22:02
ok...čujemo se sutra

dobrota
25.09.2009., 11:09
Ako možemo sutra nastavit bez većih posljedica, radim od 6 am pa bih se moro naspavat jer mi poslodavci nisu razumni ni najmanje.A mislim da i ti moras ujutro negdje valjda bit.Što kažeš?

1. ok..možeš izbrisati combofix

start-run-combofix /u

2. otvori OTM, klik na clean up

3. skini malwarebytes...update, odaberi sve diskove...full scan
-log kopiraj na forum
http://www.malwarebytes.org/

4. pronađi ova dva filea
c:\windows\system32\sfcfiles.dll
c:\windows\system32\drivers\tcpip.sys

-uploadaj ih na virustotal http://www.virustotal.com/
-proskeniraj ih i rezultate kopiraj na forum
-ako se pojavi da je file već skeniran, klik na reanalize now

5.novi RSIT log

dajse
26.09.2009., 09:25
[QUOTE=dobrota[/QUOTE]

skinuo sam malwarebytes i moram priznat da je odlićan program pogotovo zbog bad ip blockera - e da sam prije znao

rezultati sa virustotal:

http://www.virustotal.com/analisis/f3afa8c9849930ccd385dec9c050248c62a2b4b17508e430a4 899178f51c06bf-1253952919

http://www.virustotal.com/analisis/715df905cd980467e311ac1aa89cb0468530c26f91e069966f 4b54c5cf4c3277-1253953196

sry kaj se prije nisam javil sjbo sam nogu na poslu , a i skeniranje je potrajalo

tj. stopalo

dajse
26.09.2009., 09:33
Malwarebytes' Anti-Malware 1.41
Database version: 2860
Windows 5.1.2600 Service Pack 3

26.9.2009 8:01:21
mbam-log-2009-09-26 (08-01-21).txt

Scan type: Full Scan (C:\|E:\|H:\|)
Objects scanned: 330804
Time elapsed: 59 minute(s), 10 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\System Volume Information\_restore{97BD89A7-B2D1-4C33-8EA5-DFA2D83C34B3}\RP177\A0138970.dll (Trojan.BHO) -> Quarantined and deleted successfully.


mogu izbrisat ih iz karantene?

dobrota
26.09.2009., 18:01
Malwarebytes' Anti-Malware 1.41
Database version: 2860
Windows 5.1.2600 Service Pack 3

26.9.2009 8:01:21
mbam-log-2009-09-26 (08-01-21).txt

Scan type: Full Scan (C:\|E:\|H:\|)
Objects scanned: 330804
Time elapsed: 59 minute(s), 10 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\System Volume Information\_restore{97BD89A7-B2D1-4C33-8EA5-DFA2D83C34B3}\RP177\A0138970.dll (Trojan.BHO) -> Quarantined and deleted successfully.


mogu izbrisat ih iz karantene?

možeš izbrisati iz karantene, nema problema,,,nisi mi još poslao novi RSIT log za zadnju provjeru

kako sada radi računalo?..sve ok ?

dajse
27.09.2009., 10:48
možeš izbrisati iz karantene, nema problema,,,nisi mi još poslao novi RSIT log za zadnju provjeru

kako sada radi računalo?..sve ok ?

Nije mi se nikad rušio i stabilno radi:top: a ja ko i svatko drugi reagiram tek na vizualne neprilike:flop:,kao što si vidio iz priloženog ,bio sam svjestan al nisam mario.ugl. sigurno radi bolje prije.

evo log-a:

http://rapidshare.com/files/285582794/log.txt.html

neznam dali si gledo al jednu od sistemskih datoteka skeniranih na virustotal je mccafe prepoznao kao mogući trojan ,al mislim da je paranoićan jer sam ga koristio bio ili nije?

Imam kućnu mrežu preko routera sa 4 raćunala ja - xp , xp ,linux ,vista.
zanimalo bi me još iz kojeg loga si izvuko datoteke sa vir , bat i ostalim virusnim ekstenzijama , ja to nisam primjetio.to bi me zanimalo ali nije bitno.

thx a lot:)

dobrota
28.09.2009., 11:11
otvri OTM i ovo kopiraj u prazno polje
:Processes
explorer.exe

:Services
afa5e895
ax64g2q5




:Reg



:Files
C:\Documents and Settings\All Users\Application Data\{A3A7BCCE-9005-4A6C-82AB-8D46F544F53B}
C:\Documents and Settings\All Users\Application Data\{76E54BAB-9F4F-4028-B1A2-EB9D256C6827}
C:\Documents and Settings\All Users\Application Data\{8477994D-889C-43C2-80D8-0B371F90DD94}
C:\WINDOWS\PEV.exe


klik na move it

sve je ok, logovi su čisti...jedino što bi bilo dobro da uradiš je da makneš ovo iz računala
Uniblue SpeedUpMyPC
Uniblue SpyEraser

od ovoga koristi nećeš imati nakakve koristi, samo možeš štetu napraviti
.................................................. .................................................. ....

start-run-msconfig-ok

otvori tab startup i makni kavčice sa ovoga

C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\QuickTime Alternative\QTTask.exe
C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
c:\Program Files\CyberLink\PowerDVD\Language\Language.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

restartiraj računalo

.................................................. .................................................. ....
skini ccleaner http://www.ccleaner.com/
-pokreni čistač i registry čistač
.................................................. .................................................. ....

dobrota
28.09.2009., 15:52
neznam dali si gledo al jednu od sistemskih datoteka skeniranih na virustotal je mccafe prepoznao kao mogući trojan ,al mislim da je paranoićan jer sam ga koristio bio ili nije?
je paranaoičan je :D
onaj file je ok

Imam kućnu mrežu preko routera sa 4 raćunala ja - xp , xp ,linux ,vista.
zanimalo bi me još iz kojeg loga si izvuko datoteke sa vir , bat i ostalim virusnim ekstenzijama , ja to nisam primjetio.to bi me zanimalo ali nije bitno.

iz ovog loga :)

http://rapidshare.com/files/284504127/ComboFix.txt.html

madmaxpax
29.09.2009., 18:21
da ne otvaram novu temu pitat ću ovdje. jedno 6 mjeseci nisam imao nikakvih problema sa virusima,a od zaštite imam ... Malwarebytes' Anti-Malware, aviru, pc tools plus firewal, SUPERAntiSpy, Spyware Terminator sa stalnim štitom uključenim. uz CCleaner ponekad koristim i Windows Doctor,ATF-Cleaner i TuneUp Utilities 2009. u zadnje vrijeme sam sa malwarebytes i superantispay pronašao par trojana i to sa njima očistio,a ne prođe par dana,a da sa avirom skenirajući ne pronađem par virusa. zanima me da li je to normalno da odjendnom počne curiti na sve strane? komp radi ok. dosta sam programa u zadnje vrijeme isprobavao pa sada ne znam da li je zbog toga.kažem 6 mj.ni jedan virus,a u zadnje vrijeme non stop. kad skeniram sa avirom uporno mi miće u karantenu 2 virusa šta već...kad to izbrišem pri novom skeniranju se opet to pojavi...
c/windows/system32/sys_drv_2 dat i c/windows/system32/sys_drv.dat

dobrota
29.09.2009., 18:50
možemo pogledat o čemu se radi...
skini RSIT sa ove stranice http://images.malwareremoval.com/random/RSIT.exe

-spremi na desktop, pokreni...kada završi izbacit će dva loga te logove uploadaj na rapidshare i link kopiraj na forum

madmaxpax
29.09.2009., 19:00
http://rapidshare.com/files/286589460/info.txt.html

madmaxpax
29.09.2009., 19:02
http://rapidshare.com/files/286590242/log.txt.html

dobrota
29.09.2009., 19:27
skini OTM sa ove stranice http://oldtimer.geekstogo.com/OTM.exe
-spremi na desktop, otvori i kopiraj ovo u prazno polje sa live strane

:Processes
explorer.exe

:Services
aop0sje9
dump_wmimmc




:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{840ce8a7-51b5-11de-aa3d-001167d77dbc}]



:Files
C:\WINDOWS\048298C9A4D3490B9FF9AB023A9238F3.TMP
C:\WINDOWS\IFinst27.exe
C:\Program Files\Zero G Registry











:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

klik na move it

skini combofix sa ove stranice http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-combofix spremi na desktop
-antivirus postavi na disable
-pokreni combofix, na sve što combofix traži odgovori potvrdno
-dok traje scan ne dirati miš ni tipkovnicu
-sačekaj dok combofix završi, kada završi izbacit će combofix log..taj log isto tako uploadaj na rapidshare i link kopuraj na forum

dobrota
29.09.2009., 19:36
nakon combofixa ova dva filea pronađi i uploadaj na http://www.virustotal.com/

c:/windows/system32/sys_drv.dat
c:/windows/system32/sys_drv_2 .dat

ovi filovi pripadaju programu Folder Lock 6
taj program imaš instaliran i vrlo velika vjerojatnost je da je false positive

vidit ćemo što kaže virustotal

madmaxpax
29.09.2009., 19:59
http://rapidshare.com/files/286608709/log.txt.html
nisam mogao odmah otvoriti forum.
ovo zadje mi teže ide,kako pronaći te failove?

madmaxpax
29.09.2009., 20:04
taj folder lock6 mi se pojavljuje samo kad kliknem desnim na mišu,
tad vidim da to imam. kad tražim sa unistalerom nema ga nigde tog programa.
šta dalje?brisati taj ComboFix?

dobrota
29.09.2009., 20:28
taj folder lock6 mi se pojavljuje samo kad kliknem desnim na mišu,
tad vidim da to imam. kad tražim sa unistalerom nema ga nigde tog programa.
šta dalje?brisati taj ComboFix?

sačekaj malo, nemoj još brisat combofix...

hoćeš da ti se više ne javlja taj folder lock ?

dobrota
29.09.2009., 20:49
taj folder lock6 mi se pojavljuje samo kad kliknem desnim na mišu,
tad vidim da to imam. kad tražim sa unistalerom nema ga nigde tog programa.
šta dalje?brisati taj ComboFix?

otvori notepad, u notepad kopiraj ovo
KillAll::

File::
c:\windows\IFinst27.exe
c:\documents and settings\Elvir\Application Data\systemfl.$dk
c:\windows\system32\sys_drv.dat
c:\windows\system32\sys_drv_2.dat


Folder::
c:\windows\048298C9A4D3490B9FF9AB023A9238F3.TMP
c:\program files\Zero G Registry
c:\program files\Folder Lock 6

Driver::
dump_wmimmc
WinFLdrv
epfwtdir

RegLock::

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4 C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4 C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE 2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4 C8A81-B7AC-460A-8C23-98713C41D6B3}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02AD D-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654C A-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E 8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE 5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30 B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F 9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E 8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373F B-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CC D-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98 A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{1911415 6-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{1911415 6-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{1911415 6-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4 B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{1911415 6-8E9A-4D4E-9EE9-17A0E48D3BBB}]



zatvori notepad i spremi kao CFScript.txt na desktop

-antivirus postavi na disable
-ovu skriptu sa mišem uvuci u combofix.exe
http://i33.tinypic.com/2e21b3a.gif

-combofix će se opet pokreniti, ne diraj ništa dok combofix ne završi
-log opet uploadaj na rapidshare i link kopiraj na forum

madmaxpax
29.09.2009., 21:49
sorry što tek sad odgovaram jer nekad mi zna štekati internet,često prekine vezu i pita pasword od rutera?:ne zna: sad ću napraviti to što si napisao:top:

madmaxpax
29.09.2009., 22:37
http://rapidshare.com/files/286663929/log.txt.html
evo to je to,sad još da izbrišem taj comboFix...
vjerovatno te sada nema pa ću potražiti kako si drugima rekao da ga izbrišu.
jel po tebi ima kakvih drugih problema?zahvaljujem se od srca:mig:

dobrota
30.09.2009., 14:13
http://rapidshare.com/files/286663929/log.txt.html
evo to je to,sad još da izbrišem taj comboFix...
vjerovatno te sada nema pa ću potražiti kako si drugima rekao da ga izbrišu.
jel po tebi ima kakvih drugih problema?zahvaljujem se od srca:mig:

možeš izbrisati cobofix :D

ja više ne vidim da ima problema...kako se tebi čini ?

madmaxpax
30.09.2009., 14:23
izbrisano,našao na drugim temama tvoje uputu kako:D
skenirao sa avirom i ostalim programima i nema ništa.
više se ne pojavljuje ona upozorenja od folder lock 6.
zahvaljujem se još jednom:top: