Problem s nepoznatim fajlom "mskiiuv.com"

[Mizika]

Problem imam visak fajlova "mskiiuv.com" nepoznate prirode?!
Pronasao sam ga preko hijack -a
- isti program ne moze da ga ugasi, ne mogu da mu pronadjem putanju dobro je sakrivena
- pitao sam google sta je to, - nema pojma o tome?!

Pomoc kako da ga ugasim "- i dalje mislim da je visak"

Unapred zahvalan.


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:25:30, on 21.4.2013
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Rainlendar2\Rainlendar2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe
C:\Program Files\Java\jre7\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Mihal\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\TC PowerPack\totalcmd.exe
C:\Documents and Settings\Mihal\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Mihal\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [Rainlendar2] C:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [49414] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\mskiiuv.com
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O23 - Service: EpsonBidirectionalService - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\eEBSVC.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle Corporation - C:\Program Files\Java\jre7\bin\jqs.exe

--
End of file - 2610 bytes

[Sass Drake]

Preuzmi program DDS na desktop http://download.bleepingcomputer.com/sUBs/dds.scr
Dvoklikom pokreni DDS
Sacekaj malo, izbacice ti dva loga
Kopiraj log DDS.txt i Attach.txt na http://pastebin.com/

Klikni Submit pa kopiraj linkove sa izvestajima u poruci.


----------



Preuzmi Gmer na desktop:
http://www2.gmer.net/download.php

Pokreni Gmer dvoklikom

• Sačekaj da se završi uvodno skeniranje - ukoliko se pojavi bilo kakav upit, klikni No;
• klikni Scan i sačekaj da skeniranje bude završeno;
• klikni Save ... - izveštaj sačuvaj na Desktop (pod nazivom Gmer1)
• klikni desnim tasterom u prozor programa Gmer i odaberi Options > 3rd party - klikni Scan;
• po završetku skeniranja klikni Save ... - izveštaj sačuvajte na Desktop (pod nazivom Gmer2);

Oba izvestaja mi dostavi.

[Mizika]

link dds:
http://pastebin.com/NAbQVtUW

http://pastebin.com/tRRpx7ZA

sto se tice gamer-a jos radi ?!

[Mizika]

Evo ovako: gamer je zavrsio,
fajl "gamer 1" sam stavio u attach (stim sto sam ga preimenovao u .txt da bih ga okacio)
gamer 2 je skroz prazan?! pa nema smisla ni da ga kacim.

molim pomoc za dalje instrukcije.

[Sass Drake]

Nije Gamer već GMER.

Vidim da si pokretao ComboFix. ComboFix nije dijagnostički alat poput HJT-a, DDS-a i GMER-a i njegovim nepravilnim rukovanjem možeš oštetiti operativni sistem. Ubuduće koristi ComboFix samo po uputstvu malware removal helpera.


Sada pažljivo čitaj i drži se mojih daljih uputstava.



Preuzmi sUBs-ov ComboFix sa sljedeće adrese na Desktop:


ComboFix

Kada preuzimanje programa bude završeno:

1. deaktiviraj zaštitni softver (uputstvo);
2. zatvori pokrenute programe;
3. dvoklikom pokreni program ComboFix;
4. u prozoru koji se otvori klikni "I Agree".

U toku rada, ComboFix će:

• provjeriti postoji li novija verzija programa:
  • klikni Yes ako bude ponuđeno preuzimanje iste.
• ako Recovery Console nije instalirana, ponuditi instalaciju:
  • obavezno prihvati klikom na Yes i isprati postupak.
• postaviti/dati određeni broj upita/obaveštenja:
  • prihvati klikom na Yes ili OK.
• po potrebi, restartovati Windows (više puta);
• na kraju rada, otvoriti Notepad sa izveštajem o skeniranju.

Izvještaj koji CF napravi okači na pastebin i kopiraj link sa izvještajem u poruku.

Napomena:

• Izvještaj će biti sačuvan pod nazivom ComboFix.txt na sistemskoj particiji (tipična lokacija: C:\ComboFix.txt);
• Nemoj kliktati u okviru ComboFix prozora dok radi jer to može usporiti rad alata.
• Nemoj ponovo pokretati ComboFix na svoju ruku - javi se u temi bilo kakav problem da imaš tokom prvog pokretanja alata.
• Ako nakon restarta dobijaš grešku prilikom startovanja nekih programa da su označeni za brisanje (Illegal operation attempted on a registry key that has been marked for deletion), onda ponovo restartuj sistem i to će riješiti problem.

[Mizika]

Ok, izvinjavam se na gresci, u buduce moracu da
Sto se tice CF - a koristio sam ga samo kao dijagnosticki?! dalje nisam smeo niti hteo?! izmedju ostalog zato sam se i javio.

Evo linka pastebin-a
http://pastebin.com/9dG6ewqe

[Sass Drake]

Otvori Notepad i iskopiraj sljedeći tekst:

Kod:

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"49414"=-

File::
C:\Documents and Settings\All Users\Local Settings\Temp\mskiiuv.com

ClearJavaCache::

Snimi na Desktop fajl iz Notepada kao "CFScript"




Prevuci snimljeni skript/tekst na ComboFix ikonicu kao na slici.

Nakon izvršenja skripte, kopiraj izvještaj na pastebin i postavi link u poruku.

[Mizika]

evo linka sa pastebin -a:

http://pastebin.com/aMrUyXgN

[Sass Drake]

Jesi li kopirao čitav tekst unutar "code" polja?

[Mizika]

Jesam, ceo tekst kopiran i prebacen u notepad snimljen na radnu povrsinu i prebacen u CF

[Sass Drake]

Citat:

Mizika kaže:

Jesam, ceo tekst kopiran i prebacen u notepad snimljen na radnu povrsinu i prebacen u CF

Uključujući i Registry:: u prvoj liniji?


Zapakuj folder C:\Qoobox u arhivu, uploaduj je na http://www.wikisend.com/ pa mi pošalji link.

[Mizika]

sve sam kopirao od prvog reda do poslednjeg
a evo i linka

http://wikisend.com/download/103124/Qoobox.zip

[Sass Drake]

Čudno. Skript je kopiran kako treba, backup vrijednosti je napravljen, ali nije obrisan.

Kod:

KillAll::

Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\policies\explorer\Run]
"49414"=-

Snimi ga kao CFscript pa ga prevuci kao što si uradio prije. Kada završi okači CF izvještaj na pastebin.

[Mizika]

evo linka
http://pastebin.com/X4HY8AzS

[Sass Drake]

Otvori priloženu RAR arhivu i pokreni regfix.reg. U dijalogu koji će se otvoriti klikni na Yes.

Nakon toga mi postavi svjež DDS izvještaj.

[Mizika]

link sa dds
http://pastebin.com/DuW43xFr

link sa attach
http://pastebin.com/FRVHNXr5

[Sass Drake]

Koristiš li trenutno USB disk?

[Mizika]

nemam nista od diskova, flesh-eva na usb-u?! sve sto imam je jos d: particija.

[Sass Drake]

Preuzmi The Avenger na Desktop.

• Raspakuj arhivu u neki folder
  
• Dvoklikom pokreni avenger.exe
  
• Iskopiraj tekst koji se nalazi unutar Kod polja u (beli) prozor programa:
  
  
  Kod:

  Registry values to delete:
  HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\Run | 49414
  
  Folders to delete:
  c:\docume~1\alluse~1\locals~1\temp

• Klikni Execute, a zatim Yes u sledeća dva prozora koji će se otvoriti
  
• Kompjuter će se restartovati (u određenim slučajevima: dva puta) i započeti će proces čišćenja/skeniranja
  
• Kada proces bude završen, logfile C:\avenger.txt će se otvoriti u Notepad-u

Iskopiraj sadržaj dobijenog loga u temu na forumu.


Nakon toga mi dostavi opet DDS izvještaj.

[Mizika]

kopija: "avenger - notepad"

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "c:\docume~1\alluse~1\locals~1\temp" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\po licies\explorer\Run|49414" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

linkovi dds :
http://pastebin.com/sUJEVChZ

http://pastebin.com/Mms4ACSV