Monstrum

Baklava · 4.5.2009, 11:05

Ovako, momci, spopala me neka napast kojoj sta god da radim ne mogu joj nista... Kontao sam da ovde mogu da iskopam neku pomoc od jelte iskusne momcadi iz publike Sveta Kompjutera :P Pa recite ako nesto znate o ovome.

Evo sta se desava. Otiso sam na neki put i kad sam se vratio obavestio me cale kako je nesto upalo u komp i krenulo da pravi haos. Pogledam, kad ono imam sta da vidim...
Kompjuter nece da se ugasi; kad god odem na shutdown, on se umesto toga samo restartuje. Ako hocu da ga utulim, moram na glavni prekidac.
S vremena na vreme, kad pokrenem sistem, obavesti me sledece:
"Services and Controller app has encountered a problem and needs to close."
Zatim mi odbrojava 40ak sekundi do restartovanja racunara.
Nece da mi pokrene registry i antiviruse neke; to je valjda ona neka fora s .com fajlom istog imena kao i .exe fajl koji se stvori pored pa nece da pokrene ni jedno ni drugo. Jedno vreme su mi iskakali neki pop-upovi, neka cuda, al to je izgleda prestalo.
Pojma nemam, pokusavao sam s Avast!-om, Kasperskijem (nije hteo da ukljuci zastitu), cistio sam ga s ComboFix-om (tu je jos i nasao neke fajlove i strpo u karantin, al nikom nista, posle sve po starom), jos neke anti-malwarese nece da apdejtuje, ZoneAlarm trial nece da instalira...

Ceprkao sam po safe mode-u, al nista nisam iskopao.

Ima l' kakvih iskusnijeh junaka da me izvuku iz ovoga? Mislim, uvek mogu da reinstaliram Windows, pregazim sistem, bacim nuklearku, al grehota mi... A to mi ionako ne gine ako nista drugo ne uspe.

Fala unapred...

dzonihsv · 4.5.2009, 11:07

Ako si ga vec izbombardovao sa svime i svacime onda ti malo toga preostaje. Probaj jos sa Malwarebytes-om ako vec nisi...

Inace, kako nahvata sve to? Da si svaki dan isao na neki xxx sajt bez zastite ne bi se toliko zarazio...

Baklava · 4.5.2009, 11:49

Ma probao sam i malwarebytes, nece ni njega da updateuje... Nece BAS nista. :\

Mickie · 4.5.2009, 12:31

Pa mozes da ondeses hard kod nekoga sa dobrom zastitom da ti skenira. Ali:

1.Rizikujes da zarazis i njega
2.Ako ti ocisti, verovatno ce i neki sistemski fajl poslati u karantin ili kantu, te se Vindoz nece dici ponovo.

Najpametnije: Format C: a mozda i D: zavisi koliko se prosirio

Casper'NS · 4.5.2009, 14:27

Isto mi se dogodilo pre par meseci, sve sam probao, na kraju cak ni sistem nije mogao da se podigne, osim u safe...
Posto sam imao frku da ne izgubim sve podatke ako formatiram disk, is safe moda sam pokrenuo reinstalaciju wina, bez formata, obavio je to za 20 min, sistem se normalno pokrenuo, cak sam bez problema pokrenuo i update-ovao antivirus. Planirao sam samo da narezem podatke koji su mi bili neophodni, pa da uradim format, ali sam se predomislio, skenirao sa anti-vir., pronasao jos neke zaostale stetocine, pobrisao ih i ja evo ni danas nemam problema, ali sad za svaki slucaj sve bitno drzim na diskovima... Probaj, mozda ovo nije trajno resenje, ali moze da pomogne.

nighthawk · 4.5.2009, 20:05

Otvori notepadom c:\windows\system32\drivers\etc\ fajl pod nazivom hosts (nema ekstenziju) obrisi sve osim linije u kojoj pise "127.0.0.1 localhost". Onda probaj update programa. Skini HijackThis i promeni mu naziv .exe fajla, skeniraj sistem i postavi log ovde, pa cemo ti onda reci sta da brises rucno iz safe moda.

@Casper

Takav repair je pomalo rizicna stvar, vrlo lako moze da se desi da windows posle toga ne moze da se podigne.

4.5.2009, 20:44

i ja sam imao taj problem moj prijedlog iako ne ( mozda ) najbolji
reinstall OS

Game fever · 4.5.2009, 21:22

Ako su ti vazni podaci a nemozes ni da dodjes do njih, reinstaliraj win na neku praznu particiju(ili negde gde imas manje vazne podatke)i onda od tamo vadi sta ti treba, a ovom sadasnjoj particij 99.9% nema pomoci, mnogo vise ces vremena i zivaca potrositi potrositi na pokusavanje iskorevanja virusa nego na reinstalaciju.

Baklava · 5.5.2009, 22:04

@nighthawk
Pogledao sam hosts fajl, vec nema niceg osim 127.0.0.1 localhost linije.

Inace u medjuvremenu sam ocistio dosta toga koristeci Spybot i trial verziju Prevx 3.0, a takodje sam skinuo i ZoneAlarm, i Avast! Pro koji sam manualno apdejtovao. Sada kompjuter moze da se normalno ugasi i olaksano je sistemu ali i dalje nece da apdejtuje nista (osim rucno) i pravi frku oko kontakta sa serverima tih nekih programa (ukljucujuci izmedju ostalog i neke opcijice po MSNu, tako da nije ograniceno samo na antiviruse izgleda). Sve u svemu, mislim da je kompjuter i dalje zarazen ko Meksiko.

Evo loga HijackThisa koji je vrli moderator lavlja srca zaiskao:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:47:27, on 5/5/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Prevx\prevx.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Prevx\prevx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\MSN Messenger\usnsvc.exe
D:\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Util\TOTALCMD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Avast4\ashSimpl.exe
C:\WINDOWS\system32\taskmgr.exe
c:\Program Files\HijackThis\HijackThis1.exe

Baklava · 5.5.2009, 22:07

(nastavak)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local;<local>
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {aa58ed58-01dd-4d91-8333-cf10577473f7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\s wg.dll

(zeza me ovaj 6500 character limit)

Baklava · 5.5.2009, 22:08

(i poslednji nastavak)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\s wg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll
O2 - BHO: Google Dictionary Compression sdch - {c84d72fe-e17d-4195-bb24-76c02e2e7c4e} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [sysLDtray] C:\windows\ld08.exe
O4 - HKLM\..\Run: [pp] C:\windows\pp06.exe
O4 - HKLM\..\Run: [30934] C:\vmvvmo.exe (pa se sad taj vmvvmo ponavlja jedno par hiljada puta posle toga u logu)
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe
O4 - HKCU\..\Run: [DL32] DL32
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - Winlogon Notify: winzzd32 - winzzd32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswupdsv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - Unknown owner - C:\WINDOWS\ATKKBService.exe (file missing)
O23 - Service: avast! Antivirus (avast! antivirus) - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner (avast! mail scanner) - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner (avast! web scanner) - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: avp1 - Kaspersky Lab - c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp1.exe
O23 - Service: Background Intelligent Transfer Service (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: CSIScanner (csiscanner) - Prevx - C:\Program Files\Prevx\prevx.exe
O23 - Service: DCOM Server Process Launcher DcomLaunchShellHWDetection (DcomLaunchShellHWDetection) - Unknown owner - C:\WINDOWS\system32\1033w.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PsExec (psexesvc) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Automatic Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 1210843 bytes

Ja sam ubedjen da je do tog VMVVMO.exe ali njega nema tamo gde kaze da ga ima (C:\vmvvmo.exe)...

morhuhny · 5.5.2009, 23:38

Moguce da je neki rootkit. Skini Panda Anti-Rootkit 1.08.00 ( obavezno stikliraj in-depth scan ) pa skeniraj, mozda pomogne.

nighthawk · 8.5.2009, 10:28

C:\windows\pp06.exe
C:\vmvvmo.exe

Ovo bi valjalo da uklonis (zapakuj ih u .rar pa onda brisi ako nisi siguran), ako nece ovako onda iz safe moda.

Koji su ti DNS serveri? Postavi OpenDNS servere ako trenutno koristis servere provajdera (208.67.222.222 i 208.67.220.220) jer tvoj provajder (ja kao moderator to vidim) cesto ima probleme sa svojim DNS serverima.

Baklava · 10.5.2009, 1:31

Идеја је у томе што нема та два фајла. Једноставно их нема - копао сам, тражио, укључено ми је наравно view hidden files итд у тотал командеру, али их нема. Мислим да их је ћале обрисао сам док нисам био ту, али их ови антивируси неки и даље пријављују.

Ево поставио сам OpenDNS (ваљда), веровао сам ти на реч... Нисам се с тиме сусретао пре додуше. Контам да то чува од phishinga и сличног?
Добро, опреза никад доста... Фала на савету.

nighthawk · 10.5.2009, 22:29

Onda su verovatno obrisani, samo sto se mozda u reg. bazi i dalje vide. Skeniraj Registry CCleanerom ili nekim programom za ciscenje.

OpenDNS ne stiti od phishinga, bar ne bez instaliranja njegovog posebnog klijenta i registracije. On je potreban zato sto nekoliko domacih provajdera, ukljucujuci tvog, ima kriminalno lose DNS servere, a oni su prosto receno telefonski imenik interneta. Bez DNS servera tvoj kompjuter ne moze da se poveze ni na jedan sajt, pa samim tim AV i AS programi ne mogu da se apdejtuju.

Baklava · 11.5.2009, 18:14

Ах, ок...
Сада све делује у реду, као да је скроз очишћен. Без икаквих реинсталација система и чуда. ^^

А рекли су ми да сам луд... ЛУД!!! Муахаха
Ахем.

Захваљујем на помоћи

4.5.2009, 11:05	#1
Baklava Novi član Član od: 4.5.2009. Poruke: 7 Zahvalnice: 1 Zahvaljeno 0 puta na 0 poruka	Monstrum Ovako, momci, spopala me neka napast kojoj sta god da radim ne mogu joj nista... Kontao sam da ovde mogu da iskopam neku pomoc od jelte iskusne momcadi iz publike Sveta Kompjutera :P Pa recite ako nesto znate o ovome. Evo sta se desava. Otiso sam na neki put i kad sam se vratio obavestio me cale kako je nesto upalo u komp i krenulo da pravi haos. Pogledam, kad ono imam sta da vidim... Kompjuter nece da se ugasi; kad god odem na shutdown, on se umesto toga samo restartuje. Ako hocu da ga utulim, moram na glavni prekidac. S vremena na vreme, kad pokrenem sistem, obavesti me sledece: "Services and Controller app has encountered a problem and needs to close." Zatim mi odbrojava 40ak sekundi do restartovanja racunara. Nece da mi pokrene registry i antiviruse neke; to je valjda ona neka fora s .com fajlom istog imena kao i .exe fajl koji se stvori pored pa nece da pokrene ni jedno ni drugo. Jedno vreme su mi iskakali neki pop-upovi, neka cuda, al to je izgleda prestalo. Pojma nemam, pokusavao sam s Avast!-om, Kasperskijem (nije hteo da ukljuci zastitu), cistio sam ga s ComboFix-om (tu je jos i nasao neke fajlove i strpo u karantin, al nikom nista, posle sve po starom), jos neke anti-malwarese nece da apdejtuje, ZoneAlarm trial nece da instalira... Ceprkao sam po safe mode-u, al nista nisam iskopao. Ima l' kakvih iskusnijeh junaka da me izvuku iz ovoga? Mislim, uvek mogu da reinstaliram Windows, pregazim sistem, bacim nuklearku, al grehota mi... A to mi ionako ne gine ako nista drugo ne uspe. Fala unapred...

4.5.2009, 11:07	#2
dzonihsv Deo inventara foruma Član od: 26.9.2006. Poruke: 11.768 Zahvalnice: 1.682 Zahvaljeno 5.818 puta na 3.141 poruka	Re: Monstrum Ako si ga vec izbombardovao sa svime i svacime onda ti malo toga preostaje. Probaj jos sa Malwarebytes-om ako vec nisi... Inace, kako nahvata sve to? Da si svaki dan isao na neki xxx sajt bez zastite ne bi se toliko zarazio...

4.5.2009, 11:49	#3
Baklava Novi član Član od: 4.5.2009. Poruke: 7 Zahvalnice: 1 Zahvaljeno 0 puta na 0 poruka	Re: Monstrum Ma probao sam i malwarebytes, nece ni njega da updateuje... Nece BAS nista. :\

4.5.2009, 12:31	#4
Mickie Deo inventara foruma Član od: 22.11.2005. Poruke: 3.399 Zahvalnice: 389 Zahvaljeno 716 puta na 542 poruka	Re: Monstrum Pa mozes da ondeses hard kod nekoga sa dobrom zastitom da ti skenira. Ali: 1.Rizikujes da zarazis i njega 2.Ako ti ocisti, verovatno ce i neki sistemski fajl poslati u karantin ili kantu, te se Vindoz nece dici ponovo. Najpametnije: Format C: a mozda i D: zavisi koliko se prosirio

4.5.2009, 14:27	#5
Casper'NS Član Član od: 6.7.2008. Lokacija: ^^ Poruke: 64 Zahvalnice: 16 Zahvaljeno 27 puta na 13 poruka	Re: Monstrum Isto mi se dogodilo pre par meseci, sve sam probao, na kraju cak ni sistem nije mogao da se podigne, osim u safe... Posto sam imao frku da ne izgubim sve podatke ako formatiram disk, is safe moda sam pokrenuo reinstalaciju wina, bez formata, obavio je to za 20 min, sistem se normalno pokrenuo, cak sam bez problema pokrenuo i update-ovao antivirus. Planirao sam samo da narezem podatke koji su mi bili neophodni, pa da uradim format, ali sam se predomislio, skenirao sa anti-vir., pronasao jos neke zaostale stetocine, pobrisao ih i ja evo ni danas nemam problema, ali sad za svaki slucaj sve bitno drzim na diskovima... Probaj, mozda ovo nije trajno resenje, ali moze da pomogne.

4.5.2009, 20:05	#6
nighthawk . Član od: 2.11.2005. Poruke: 2.532 Zahvalnice: 113 Zahvaljeno 710 puta na 498 poruka	Re: Monstrum Otvori notepadom c:\windows\system32\drivers\etc\ fajl pod nazivom hosts (nema ekstenziju) obrisi sve osim linije u kojoj pise "127.0.0.1 localhost". Onda probaj update programa. Skini HijackThis i promeni mu naziv .exe fajla, skeniraj sistem i postavi log ovde, pa cemo ti onda reci sta da brises rucno iz safe moda. @Casper Takav repair je pomalo rizicna stvar, vrlo lako moze da se desi da windows posle toga ne moze da se podigne. Poslednja ispravka: nighthawk (8.5.2009 u 10:21) Razlog: typo

4.5.2009, 20:44	#7
acok97 Guest Poruke: n/a	Re: Monstrum i ja sam imao taj problem moj prijedlog iako ne ( mozda ) najbolji reinstall OS

4.5.2009, 21:22	#8
Game fever Starosedelac Član od: 3.4.2007. Lokacija: London Poruke: 1.330 Zahvalnice: 2.477 Zahvaljeno 283 puta na 198 poruka	Re: Monstrum Ako su ti vazni podaci a nemozes ni da dodjes do njih, reinstaliraj win na neku praznu particiju(ili negde gde imas manje vazne podatke)i onda od tamo vadi sta ti treba, a ovom sadasnjoj particij 99.9% nema pomoci, mnogo vise ces vremena i zivaca potrositi potrositi na pokusavanje iskorevanja virusa nego na reinstalaciju.

5.5.2009, 22:04	#9
Baklava Novi član Član od: 4.5.2009. Poruke: 7 Zahvalnice: 1 Zahvaljeno 0 puta na 0 poruka	Re: Monstrum @nighthawk Pogledao sam hosts fajl, vec nema niceg osim 127.0.0.1 localhost linije. Inace u medjuvremenu sam ocistio dosta toga koristeci Spybot i trial verziju Prevx 3.0, a takodje sam skinuo i ZoneAlarm, i Avast! Pro koji sam manualno apdejtovao. Sada kompjuter moze da se normalno ugasi i olaksano je sistemu ali i dalje nece da apdejtuje nista (osim rucno) i pravi frku oko kontakta sa serverima tih nekih programa (ukljucujuci izmedju ostalog i neke opcijice po MSNu, tako da nije ograniceno samo na antiviruse izgleda). Sve u svemu, mislim da je kompjuter i dalje zarazen ko Meksiko. Evo loga HijackThisa koji je vrli moderator lavlja srca zaiskao: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:47:27, on 5/5/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Prevx\prevx.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Prevx\prevx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Program Files\MSN Messenger\usnsvc.exe D:\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Util\TOTALCMD.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\uTorrent\uTorrent.exe C:\Program Files\Avast4\ashSimpl.exe C:\WINDOWS\system32\taskmgr.exe c:\Program Files\HijackThis\HijackThis1.exe

5.5.2009, 22:07	#10
Baklava Novi član Član od: 4.5.2009. Poruke: 7 Zahvalnice: 1 Zahvaljeno 0 puta na 0 poruka	Re: Monstrum (nastavak) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=localhost:7171 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local;<local> R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: Google Toolbar Helper - {aa58ed58-01dd-4d91-8333-cf10577473f7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\s wg.dll (zeza me ovaj 6500 character limit)

5.5.2009, 22:08	#11
Baklava Novi član Član od: 4.5.2009. Poruke: 7 Zahvalnice: 1 Zahvaljeno 0 puta na 0 poruka	Re: Monstrum (i poslednji nastavak) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\s wg.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll O2 - BHO: Google Dictionary Compression sdch - {c84d72fe-e17d-4195-bb24-76c02e2e7c4e} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [sysLDtray] C:\windows\ld08.exe O4 - HKLM\..\Run: [pp] C:\windows\pp06.exe O4 - HKLM\..\Run: [30934] C:\vmvvmo.exe (pa se sad taj vmvvmo ponavlja jedno par hiljada puta posle toga u logu) O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe O4 - HKCU\..\Run: [DL32] DL32 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O20 - Winlogon Notify: winzzd32 - winzzd32.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswupdsv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - Unknown owner - C:\WINDOWS\ATKKBService.exe (file missing) O23 - Service: avast! Antivirus (avast! antivirus) - ALWIL Software - C:\Program Files\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner (avast! mail scanner) - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner (avast! web scanner) - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe O23 - Service: avp1 - Kaspersky Lab - c:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp1.exe O23 - Service: Background Intelligent Transfer Service (BITS) - Unknown owner - C:\WINDOWS\ O23 - Service: CSIScanner (csiscanner) - Prevx - C:\Program Files\Prevx\prevx.exe O23 - Service: DCOM Server Process Launcher DcomLaunchShellHWDetection (DcomLaunchShellHWDetection) - Unknown owner - C:\WINDOWS\system32\1033w.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PsExec (psexesvc) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing) O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Automatic Updates (wuauserv) - Unknown owner - C:\WINDOWS\ -- End of file - 1210843 bytes Ja sam ubedjen da je do tog VMVVMO.exe ali njega nema tamo gde kaze da ga ima (C:\vmvvmo.exe)...

5.5.2009, 23:38	#12
morhuhny Član Član od: 24.8.2008. Lokacija: Jagodina Poruke: 55 Zahvalnice: 5 Zahvaljeno 46 puta na 19 poruka	Re: Monstrum Moguce da je neki rootkit. Skini Panda Anti-Rootkit 1.08.00 ( obavezno stikliraj in-depth scan ) pa skeniraj, mozda pomogne. Poslednja ispravka: morhuhny (5.5.2009 u 23:46)

8.5.2009, 10:28	#13
nighthawk . Član od: 2.11.2005. Poruke: 2.532 Zahvalnice: 113 Zahvaljeno 710 puta na 498 poruka	Re: Monstrum C:\windows\pp06.exe C:\vmvvmo.exe Ovo bi valjalo da uklonis (zapakuj ih u .rar pa onda brisi ako nisi siguran), ako nece ovako onda iz safe moda. Koji su ti DNS serveri? Postavi OpenDNS servere ako trenutno koristis servere provajdera (208.67.222.222 i 208.67.220.220) jer tvoj provajder (ja kao moderator to vidim) cesto ima probleme sa svojim DNS serverima.

10.5.2009, 1:31	#14
Baklava Novi član Član od: 4.5.2009. Poruke: 7 Zahvalnice: 1 Zahvaljeno 0 puta na 0 poruka	Re: Monstrum Идеја је у томе што нема та два фајла. Једноставно их нема - копао сам, тражио, укључено ми је наравно view hidden files итд у тотал командеру, али их нема. Мислим да их је ћале обрисао сам док нисам био ту, али их ови антивируси неки и даље пријављују. Ево поставио сам OpenDNS (ваљда), веровао сам ти на реч... Нисам се с тиме сусретао пре додуше. Контам да то чува од phishinga и сличног? Добро, опреза никад доста... Фала на савету.

10.5.2009, 22:29	#15
nighthawk . Član od: 2.11.2005. Poruke: 2.532 Zahvalnice: 113 Zahvaljeno 710 puta na 498 poruka	Re: Monstrum Onda su verovatno obrisani, samo sto se mozda u reg. bazi i dalje vide. Skeniraj Registry CCleanerom ili nekim programom za ciscenje. OpenDNS ne stiti od phishinga, bar ne bez instaliranja njegovog posebnog klijenta i registracije. On je potreban zato sto nekoliko domacih provajdera, ukljucujuci tvog, ima kriminalno lose DNS servere, a oni su prosto receno telefonski imenik interneta. Bez DNS servera tvoj kompjuter ne moze da se poveze ni na jedan sajt, pa samim tim AV i AS programi ne mogu da se apdejtuju.

*Sledeći korisnik se zahvaljuje korisniku nighthawk* na korisnoj poruci:**
Baklava (11.5.2009)

11.5.2009, 18:14	#16
Baklava Novi član Član od: 4.5.2009. Poruke: 7 Zahvalnice: 1 Zahvaljeno 0 puta na 0 poruka	Re: Monstrum Ах, ок... Сада све делује у реду, као да је скроз очишћен. Без икаквих реинсталација система и чуда. ^^ А рекли су ми да сам луд... ЛУД!!! Муахаха Ахем. Захваљујем на помоћи

Slične teme
tema	temu započeo	forum	Odgovora	Poslednja poruka
Da li neko zna koji je ovo film?	DJ_MY_SOUL	Kompjuteri i film	2589	9.4.2024 13:29
MOnstrum od lepote	dkdnt	Ostale komponente	10	12.8.2008 22:02