Security Antivirusi, firewalli, patchevi, service packovi, updatei, ... Sve o sigurnosti vašeg računala. |
|
|
28.03.2012., 16:07
|
#21
|
Links 2 3 4
Registracija: Jan 2008.
Lokacija: Split
Postova: 6,158
|
Quote:
0din kaže:
dobrota evo log od aswmbr
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Kod:
Run date: 2012-03-28 15:46:13
-----------------------------
15:46:13.571 OS Version: Windows x64 6.1.7600
15:46:13.572 Number of processors: 1 586 0x4F02
15:46:13.573 ComputerName: GREGOR UserName: Bruno
15:46:14.068 Initialize success
15:46:24.588 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3
15:46:24.594 Disk 0 Vendor: Maxtor_6V160E0 VA111900 Size: 152626MB BusType: 3
15:46:24.605 Disk 0 MBR read successfully
15:46:24.612 Disk 0 MBR scan
15:46:24.617 Disk 0 Windows 7 default MBR code
15:46:24.622 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 78999 MB offset 63
15:46:24.629 Disk 0 Partition - 00 0F Extended LBA 73618 MB offset 161790615
15:46:24.651 Disk 0 Partition 2 00 07 HPFS/NTFS NTFS 73618 MB offset 161790678
15:46:24.696 SubSystem.Windows: C:\Windows\system32\consrv.dll **SUSPICIOUS**
15:46:24.704 Disk 0 scanning C:\Windows\system32\drivers
15:46:30.031 Service scanning
15:46:55.242 Modules scanning
15:46:55.257 Disk 0 trace - called modules:
15:46:55.278 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys
15:46:55.648 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa80027b0060]
15:46:55.662 3 CLASSPNP.SYS[fffff880018b443f] -> nt!IofCallDriver -> [0xfffffa80026a6520]
15:46:55.674 5 ACPI.sys[fffff88000f70781] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0xfffffa80026af680]
15:46:55.708 Scan finished successfully
15:47:13.182 Disk 0 MBR has been saved successfully to "C:\Users\Bruno\Desktop\MBR.dat"
15:47:13.193 The log file has been saved successfully to "C:\Users\Bruno\Desktop\aswMBR.txt"
a od tdsskillera mi je dugačak text i do 11 puta duži od dozvoljenog na forumu pa neznam kako da ti ga stavim
|
tdsskiller log kopiraj na pastebin
kad mi kopiraš tdsskiller log uradi ovako
1.otvori OTL i ovo kopiraj u prazno polje
Kod:
:services
belmonitorservice
:OTL
SRV:64bit: - [2009/07/14 03:39:46 | 000,005,120 | ---- | M] (Iomega) [Auto | Running] -- C:\Windows\SysNative\mindrepair.dll -- (belmonitorservice)
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = C0 7A 7A A7 95 B3 CC 01 [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&babsrc=SP_def&AF=17284
IE - HKCU\..\SearchScopes\{C24588AA-EB0C-48A1-B289-007A6BAB4096}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=&apn_ptnrs=FV&apn_dtid=YYYYYYYYHR&apn_uid=51629682-d1a3-4c9a-907a-80c3c0b95e1d&apn_sauid=6FA2B757-1323-49E7-BFC3-67961FC6CD59&
FF - prefs.js..browser.search.defaultenginename,S: S", "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.order.1,S: S", "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine,S: S", "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: h", "h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,http://search.babylon.com/home?AF=17284"
FF - prefs.js..keyword.URL,h: h", "http://search.babylon.com/?babsrc=KW_def&AF=17284&q="
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
[2012/01/11 20:19:57 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Bruno\AppData\Roaming\mozilla\Firefox\Profiles\el669tnl.default\extensions\[email protected]
[2012/01/11 18:52:46 | 000,002,226 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
CHR - default_search_provider: Search the web (Babylon) (Enabled)
CHR - default_search_provider: search_url = http://search.babylon.com/?q={searchTerms}&babsrc=SP_def&AF=17284
NetSvcs:64bit: belmonitorservice - C:\Windows\SysNative\mindrepair.dll (Iomega)
[2012/03/26 13:04:13 | 000,000,000 | -HSD | C] -- C:\Windows\SysNative\%APPDATA%
[2012/03/26 12:59:16 | 000,000,000 | -HSD | C] -- C:\Users\Bruno\AppData\Local\670ec7e8
[2012/03/27 13:23:43 | 000,000,000 | -HS- | M] () -- C:\Windows\SysNative\dds_log_ad13.cmd
[2012/03/26 13:00:26 | 000,000,000 | -HS- | C] () -- C:\Windows\SysNative\dds_log_ad13.cmd
[2012/02/23 10:36:18 | 000,032,654 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
@Alternate Data Stream - 209 bytes -> C:\ProgramData\TEMP:CB0AACC9
:Files
ipconfig /flushdns /c
echo,Y|cacls "%WinDir%\system32\drivers\etc\hosts" /G everyone:f /c
:Commands
[purity]
[emptytemp]
[resethosts]
[EMPTYFLASH]
[CREATERESTOREPOINT]
[Reboot]
klik na RUN FIX
-log koji dobiješ kopiraj
2.skini combofix i spremi na desktop
-isključi antivirus
-pokreni combofix i na sve što traži odgovori potvrdno
-log kopiraj
možda se OTL skripta ne bude izvršila, u tom slučaju samo nastavi s combofixom
|
|
|
28.03.2012., 22:26
|
#22
|
Registrirani korisnik
Registracija: Oct 2009.
Lokacija: ...kada Sava krene prema Brodu...
Postova: 26
|
dobrota, izvini na kašnjenju sa postom, obaveze
evo log od tdsskillera
http://pastebin.com/tag6sufN
OTL skripta mi se nije izvršila, nego mi blokira komp. moram ga ručno resetirat a onda mi nemože podić windowse normalno nego 2,3 puta resetira.
na combofix me netraži ništa da odgovorim, al kad odradi nigdje nema log fila.
jel ima pomoći ili format c
__________________
..NIKAD DOSTA..
|
|
|
29.03.2012., 12:22
|
#23
|
Links 2 3 4
Registracija: Jan 2008.
Lokacija: Split
Postova: 6,158
|
Quote:
0din kaže:
dobrota, izvini na kašnjenju sa postom, obaveze
evo log od tdsskillera
http://pastebin.com/tag6sufN
OTL skripta mi se nije izvršila, nego mi blokira komp. moram ga ručno resetirat a onda mi nemože podić windowse normalno nego 2,3 puta resetira.
na combofix me netraži ništa da odgovorim, al kad odradi nigdje nema log fila.
jel ima pomoći ili format c
|
Kod:
Detected object count: 1
15:42:59.0468 1320 Actual detected object count: 1
15:43:33.0601 1320 C:\Windows\system32\mindrepair.dll - copied to quarantine
15:43:33.0601 1320 HKLM\SYSTEM\ControlSet001\services\belmonitorservice - will be deleted on reboot
15:43:33.0627 1320 HKLM\SYSTEM\ControlSet002\services\belmonitorservice - will be deleted on reboot
15:43:33.0733 1320 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost:netsvcs - cured
15:43:33.0786 1320 C:\Windows\system32\mindrepair.dll - will be deleted on reboot
15:43:33.0786 1320 belmonitorservice ( UnsignedFile.Multi.Generic ) - User select action: Delete
15:43:38.0751 1920 Deinitialize success
ponovo pokreni tdsskiller , trebamo se uvjeriti da je ovo pobrisano
pokrenut ćemo combofix na dva načina, i to ćeš sve raditi preko safe mode
Kod:
SubSystem.Windows: C:\Windows\system32\consrv.dll
1. način
-izbriši combofix (povuci ga mišm u smeće)
-skini novi i spremi ga na desktop
otvori notepad i ovo kopiraj u prazno polje
Kod:
KIllAll::
Rootkit::
C:\Windows\SysNative\dds_log_ad13.cmd
C:\Windows\SysNative\mindrepair.dll
Folder::
C:\Users\Bruno\AppData\Local\670ec7e8
File::
C:\Windows\SysNative\dds_log_ad13.cmd
C:\Windows\SysNative\mindrepair.dll
Driver::
belmonitorservice
NetSvc::
belmonitorservice
zatvori notepad i spremi kao CFScript na desktop
isključi antivirus
skriptu s mišem uvuci u combofix.exe
log kopiraj na pastebin
2.način
-isto tako izbriši stari combofix, skini novi i spremi na desktop
-start /run/ u run polje kopiraj ovo i potvrdi
"%userprofile%\desktop\ComboFix.exe" /KillAll /nombr
combofix ć se sigurno pokrenuti na jedan od ova dva načina, i kad dobijemo log bit će gotovo
nisi mi rekao imaš li usb stik ?
Zadnje uređivanje dobrota : 29.03.2012. at 12:33.
|
|
|
29.03.2012., 19:27
|
#24
|
Registrirani korisnik
Registracija: Oct 2009.
Lokacija: ...kada Sava krene prema Brodu...
Postova: 26
|
evo log od tdsskiller
http://pastebin.com/V5v3Ds2m
idem dalje odradit
imam usb, zaboravoi napisat..
__________________
..NIKAD DOSTA..
|
|
|
29.03.2012., 20:28
|
#25
|
Registrirani korisnik
Registracija: Oct 2009.
Lokacija: ...kada Sava krene prema Brodu...
Postova: 26
|
skinuo ponovo combofix.
nažalost ni na jedan način mi neće u safe modu
prvi način krene i nakon par sekundi izbaci plavi prozor sa hrpom texta koji ne uspijem povatat, uglavnom početak texta je windows je detektirao problem i mora se restartat.
na drugi način mi odma isti prozor izbaci, combofix se ni ne pokrene i na ovaj nači mi se windowsi ne dignu nego ga baca na repair windows
dobrota ako imaš još kakvu ideju reci a ako ne ode on na format i novi win7, jedino mi ža hrpe stvari koji su mi bitni
__________________
..NIKAD DOSTA..
|
|
|
29.03.2012., 20:41
|
#26
|
Links 2 3 4
Registracija: Jan 2008.
Lokacija: Split
Postova: 6,158
|
Quote:
0din kaže:
|
ponovo pokreni tdsskiller i ovo označi za delete
Kod:
19:20:57.0427 3452 C:\Windows\system32\mindrepair.dll - copied to quarantine
19:20:57.0427 3452 belmonitorservice ( UnsignedFile.Multi.Generic ) - User select action:
ako nemaš ništa bitno na usb-u, formatiraj ga....ubrzo ti napišem što žeš uraditi
|
|
|
29.03.2012., 21:09
|
#27
|
Links 2 3 4
Registracija: Jan 2008.
Lokacija: Split
Postova: 6,158
|
Quote:
0din kaže:
|
Farbar Recovery Scan Tool x64
1.skini Farbar Recovery Scan Tool i spremi ga na usb stik
-ukopčaj stik u računalo
restartiraj računalo, i stiskaj F8 tipku dok ne dobiješ Advanced Boot Options
-odaberi Repair your computer
-odaberi jezik tipkovnice i klik na next
-odaberi OS koji želiš popraviti i klik na next
-odaberi user acount i klik na next
kad se otvori System Recovery Options menu
-klik na Command Prompt
-u command promt prozoru upiši notepad i klik na enter
-kad se notepad otvori >klik na file>klik na open
-u novom prozoru klik na Computer da bi vidio koje je slovo dodjeljeno usb stiku
-kada vidiš koje je slovo dodjeljeno stiku u command prompt upiši
x:\frst64
umisto slova "x" pišeš slovo koje je dodjeljeno
kad se otvori program klik na scan
-kad program završi s skeniranjem kreirat će log FRST.txt na usb stik
-taj log kopiraj na pastbin
nadam se da ti nije nešto posebno komplicirano
-
|
|
|
30.03.2012., 19:00
|
#28
|
Registrirani korisnik
Registracija: Oct 2009.
Lokacija: ...kada Sava krene prema Brodu...
Postova: 26
|
dobrota evo log od frst64
http://pastebin.com/FbKpjiFk
odradio sam kako si rekao sa tdsskillerom
evo log i od njega
http://pastebin.com/QwWVm79Q
javljalj šta dalje
mislim svaka ti čast na strpljenju i pomoći
jedno veliko hvala za sve do sad učinjeno
__________________
..NIKAD DOSTA..
|
|
|
30.03.2012., 19:38
|
#29
|
Links 2 3 4
Registracija: Jan 2008.
Lokacija: Split
Postova: 6,158
|
Quote:
0din kaže:
|
skini fixlist.txt i spremi na usb na kojem je FRST
-stik ukopčaj u zaraženo računalo
-odii opet u system recovery options kao i prvi put
-opet pokreni FRST
-kad se otvori prozor klik na FIX
-log koji dobieš nalazit će se na usbstiku
-log kopiraj
nakon toga pokreni OTL, i ovo kopiraj u prazno polje
Kod:
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
consrv.dll
mindrepair.dll
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
/md5stop
C:\Windows\assembly\tmp\U\*.* /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\drivers\*.sys /90
CREATERESTOREPOINT
klik na RUN SCAN
-log koji dobiješ kopiraj
imaš priliku upoznati najnoviju generaciju rootkita, i mislim da mu je došao kraj...driver koji je štitio brisanje mindrepair.dll je pronađen i isti će biti uklonjen
|
|
|
30.03.2012., 20:51
|
#30
|
Registrirani korisnik
Registracija: Oct 2009.
Lokacija: ...kada Sava krene prema Brodu...
Postova: 26
|
evo uradio san kako si rekao...
nadam se i ja da mu je došao kraj
novi frst log
http://pastebin.com/b9kN3wYc
i otl log
http://pastebin.com/Fx57Pjdm
__________________
..NIKAD DOSTA..
|
|
|
30.03.2012., 21:28
|
#31
|
Links 2 3 4
Registracija: Jan 2008.
Lokacija: Split
Postova: 6,158
|
Quote:
0din kaže:
|
da, doša mu je kraj
nema ga u OTL logu
otvori OTL i ovo kopiraj u prazno polje
Kod:
:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = C0 7A 7A A7 95 B3 CC 01 [binary data]
FF - prefs.js..browser.startup.homepage: h", "h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,h,http://search.babylon.com/home?AF=17284"
FF - prefs.js..keyword.URL,h: h", "http://search.babylon.com/?babsrc=KW_def&AF=17284&q="
[2009/07/14 03:39:46 | 000,030,208 | ---- | M] () MD5=1149C1BD71248A9D170E4568FB08DF30 -- C:\Windows\SysNative\consrv.dll
[2012/03/26 20:03:37 | 000,002,048 | ---- | M] () -- C:\Windows\assembly\tmp\U\00000001.@
[2012/03/26 13:00:25 | 000,002,560 | ---- | M] () -- C:\Windows\assembly\tmp\U\000000c0.@
[2012/03/26 13:00:22 | 000,000,704 | ---- | M] () -- C:\Windows\assembly\tmp\U\000000cb.@
[2012/03/26 20:03:37 | 000,001,536 | ---- | M] () -- C:\Windows\assembly\tmp\U\000000cf.@
[2012/03/26 13:00:26 | 000,061,952 | ---- | M] () -- C:\Windows\assembly\tmp\U\80000000.@
[2012/03/26 20:03:39 | 000,093,696 | ---- | M] () -- C:\Windows\assembly\tmp\U\800000c0.@
[2012/03/26 13:00:23 | 000,023,040 | ---- | M] () -- C:\Windows\assembly\tmp\U\800000cb.@
[2012/03/26 20:03:38 | 000,036,352 | ---- | M] () -- C:\Windows\assembly\tmp\U\800000cf.@
@Alternate Data Stream - 155 bytes -> C:\ProgramData\TEMP:DFC5A2B2
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84
:files
ipconfig /flushdns /c
C:\Windows\assembly\tmp\U
C:\Windows\SysNative\consrv.dll
:Commands
[reboot]
klik na RUN FIX
-log koji dobiješ kopiraj
2.izbriši combofix s desktopa, skini novi i pokreni ga
-ne zaboravi isključiti antivirus i firewall prije nego pokreneš combofix
|
|
|
30.03.2012., 21:58
|
#32
|
Registrirani korisnik
Registracija: Oct 2009.
Lokacija: ...kada Sava krene prema Brodu...
Postova: 26
|
evo novog otl loga
http://pastebin.com/4k0b0ncJ
skinuo combofix, startao ga kao administrator.
odradio je svoje (barem mislim) ništa nije pitao da potvrdim i nigdje nema nikakvog log filea.
jedino mi sad dok pišem post izbacio command prompt prozor..
ima šta dalje
__________________
..NIKAD DOSTA..
|
|
|
30.03.2012., 22:19
|
#33
|
Links 2 3 4
Registracija: Jan 2008.
Lokacija: Split
Postova: 6,158
|
Quote:
0din kaže:
evo novog otl loga
http://pastebin.com/4k0b0ncJ
skinuo combofix, startao ga kao administrator.
odradio je svoje (barem mislim) ništa nije pitao da potvrdim i nigdje nema nikakvog log filea.
jedino mi sad dok pišem post izbacio command prompt prozor..
ima šta dalje
|
kako sad radi računalo ?...
1.ponovo pokreni aswMBR
-klik na scan
-kad završi scan klik na save log
-log kopiraj
2.skini javara i spremi na desktop
-pokreni program >klik na "remove older version"
-restart
-ponovo pokreni javara > klik na "seach for updates"
ili skini najnoviju verziju jave
3.malwarebtes
-update >full scan
-log koji dobiješ kopiraj
OTL je pobrisao sve što je bilo označeno, prema tome rootkita više nema na računalu
odradit ćeš reinstal jave, jer je sigurno inficirana, isto tako i scan s malwarebytesom koji će pobrisati eventualne zaostatke
mislim da bi sad trebalo biti sve ok
|
|
|
31.03.2012., 12:35
|
#34
|
Registrirani korisnik
Registracija: Oct 2009.
Lokacija: ...kada Sava krene prema Brodu...
Postova: 26
|
dobrota
sad normalno otvara tražilicu i nema više prebacivanja na abnow..
odradio san i ovo što si rekao.
log od aswMBR
http://pastebin.com/e7G5hj8d
i log od malwarebtes
http://pastebin.com/9xacFfk5
jel to sad to
hvala puno na pomoći i strpljenju
__________________
..NIKAD DOSTA..
|
|
|
31.03.2012., 13:58
|
#35
|
Links 2 3 4
Registracija: Jan 2008.
Lokacija: Split
Postova: 6,158
|
Quote:
0din kaže:
|
sad je to to...možeš izbrisati OTL i ostale alate koje smo koristili..ali prije toga uradi još ovo
otvori OTL i ovo kopiraj u prazno polje
Kod:
:Commands
[emptytemp]
[EMPTYFLASH]
[emptyjava]
[Reboot]
nakon restarta možeš izbrisati OTL
otvori OTL i klik na clean up
OTL će izbrisati sebe i većinu alata koje smo koristili
ako nešto i ostane samo ih s mišem odvuci u smeće
|
|
|
01.04.2012., 12:54
|
#36
|
Party Boy
Registracija: Dec 2011.
Lokacija: Na Forumu
Postova: 40
|
|
|
|
01.04.2012., 20:06
|
#37
|
Registrirani korisnik
Registracija: Oct 2009.
Lokacija: ...kada Sava krene prema Brodu...
Postova: 26
|
dobrota urađeno sve kako si i rekao..
comp napokon radi normalno..
hvala na svemu i tu i na pp..
ako opet budem imao problema ja ti se obratim za pomoć..
__________________
..NIKAD DOSTA..
|
|
|
10.04.2012., 01:02
|
#38
|
Registrirani korisnik
Registracija: Dec 2009.
Postova: 55
|
Pozdrav! Primjecujem ovdje dobre ljude koji pomazu.. pa evo (kad se stigne, stigne - zahvaljujem). Prilažem log OTL i Extras, pa kada bude netko mogao pogledati, zahvaljujem.. također kratku uputu, sa čime bi bilo uputno još skenirati, da odmah sve napravim, jedno za drugim.
http://pastebin.com/mFQB8jpU
http://pastebin.com/csG3a5U0
Radi se o bratovom starom laptopu..A on se ne kuži ama baš ništa. Ugl, zastajkuje mu nekada (iako je i sama mašina spora.. celeron M, 800mb ram). No svejedno, ako ima kakvih infekcija, da se ukloni. Također, win xp su original.. al sada vidjeh da nema nikakav AV. ?!!!! Uzas.
Hvala
Zadnje uređivanje suskavi : 10.04.2012. at 01:04.
Reason: zaboravio staviti linkove :)
|
|
|
10.04.2012., 13:07
|
#39
|
Links 2 3 4
Registracija: Jan 2008.
Lokacija: Split
Postova: 6,158
|
Quote:
suskavi kaže:
Pozdrav! Primjecujem ovdje dobre ljude koji pomazu.. pa evo (kad se stigne, stigne - zahvaljujem). Prilažem log OTL i Extras, pa kada bude netko mogao pogledati, zahvaljujem.. također kratku uputu, sa čime bi bilo uputno još skenirati, da odmah sve napravim, jedno za drugim.
http://pastebin.com/mFQB8jpU
http://pastebin.com/csG3a5U0
Radi se o bratovom starom laptopu..A on se ne kuži ama baš ništa. Ugl, zastajkuje mu nekada (iako je i sama mašina spora.. celeron M, 800mb ram). No svejedno, ako ima kakvih infekcija, da se ukloni. Također, win xp su original.. al sada vidjeh da nema nikakav AV. ?!!!! Uzas.
Hvala
|
otvori OTL i ovo kopiraj u prazno polje
Kod:
:OTL
SRV - [2011.06.26 08:45:56 | 000,256,000 | R--- | M] () [Auto | Stopped] -- C:\ComboFix\pev.3XE -- (PEVSystemStart)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKLM..\Run: [Sys32V2Contoller] C:\WINDOWS\mw2mmgr32\mw2mmgr32.exe File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)
O37 - HKCU\...com [@ = comfile] -- Reg Error: Key error. File not found
O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2012.01.08 21:10:37 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2012.01.08 21:10:37 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2012.01.08 21:10:37 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2012.01.08 21:10:37 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2012.01.08 21:10:37 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
:Commands
[purity]
[emptytemp]
[resethosts]
[EMPTYFLASH]
[CREATERESTOREPOINT]
[Reboot
klik na RUN FIX
-log koji dobiješ kopiraj
2.skini combofix i spremi na desktop
-isključi antivirus
-pokreni combofix i na sve što traži odgovori potvrdno
-log kopiraj na pastebin
3.skini tdsskiller i spremi na desktop
-pokreni programm i ako zatraži restart dozvoli
-log se obično nalazi u c:/ i izgleda otprilike ovako
C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
|
|
|
11.04.2012., 00:29
|
#40
|
Registrirani korisnik
Registracija: Dec 2009.
Postova: 55
|
Quote:
dobrota kaže:
otvori OTL i ovo kopiraj u prazno polje
Kod:
:OTL
SRV - [2011.06.26 08:45:56 | 000,256,000 | R--- | M] () [Auto | Stopped] -- C:\ComboFix\pev.3XE -- (PEVSystemStart)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.co.uk/0SEENGB/SAOS01?FORM=TOOLBR
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKLM..\Run: [Sys32V2Contoller] C:\WINDOWS\mw2mmgr32\mw2mmgr32.exe File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)
O37 - HKCU\...com [@ = comfile] -- Reg Error: Key error. File not found
O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2012.01.08 21:10:37 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2012.01.08 21:10:37 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2012.01.08 21:10:37 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2012.01.08 21:10:37 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2012.01.08 21:10:37 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
:Commands
[purity]
[emptytemp]
[resethosts]
[EMPTYFLASH]
[CREATERESTOREPOINT]
[Reboot
klik na RUN FIX
-log koji dobiješ kopiraj
2.skini combofix i spremi na desktop
-isključi antivirus
-pokreni combofix i na sve što traži odgovori potvrdno
-log kopiraj na pastebin
3.skini tdsskiller i spremi na desktop
-pokreni programm i ako zatraži restart dozvoli
-log se obično nalazi u c:/ i izgleda otprilike ovako
C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
|
Hvala na uputama..
Međutim,
1. kada pokrenem OTL i kopiram gore naznačeno i kliknem RUN FIX.. proces traje više od sat vremena i onda pri prvom kliku.. not responding i jedino rješenje restart. Probao sam 3-4 puta. Zadnji puta sam ostavio da radi.. bez da išta diram i stajao je tako 4 sata. na kraju opet not responding. Pri restartu, windowsi se normalno podižu.
2. kada pokrenem combofix i dođe do 'scanning for infected files...' - slična stavr.. ostavio sam ga, ne dirajući ništa.. traje evo 3 sata. Ništa se na događa.
3. TDSSKiller nisam jop probao, dok ne vidim što je s ovime.
Hvala na trudu.
|
|
|
|
|
Sva vremena su GMT +2. Trenutno vrijeme je: 15:23.
|
|
|
|