Would you like to install system errors fixer?

[ nemanjal @ 19.01.2008. 16:35 ] @

Koristim OS winXP sp2 i Moj problem pocinje porukom prilikom rada sa nekim aplikacijama: "Your system is not optimsed and your computer performance is not the highest level. full system optimization will greatly increaste your comuputer performanse and prevent data lost. Would you like to install system-error-fixer to optimize your computers performanse now for freee? (Recommended)

Ponudjene akcije:

OK and Cancel

Dakle to je poruka koja mi se pokazuje prilikom pokretanja bilo koje aplikacije (igranja igrice, rada sa dokumentima itd)... Radio sam i system fix error, ponudjenu opciju winXP sp2 ali nije pokazivao nikakve probleme. Inace o stabilnosti sitema mi se brine TuneUp utlities 2007 sa redovnim update-om sa neta. Imam kablovski interent preko SBB-a sa flet rezimom. Do juce mi je racunar radio kako treba a onda ovaj problem. Moje misljenje je da sam skinuo sa neta neki spam ili preuzeo neki exe file sa neta (slucajno). Problem je u tome i sto racunar sasvim dobro radi. Ta poruka je preporuka da odem na sajt windowsa i skinem taj programcic koji ce mi odraditi oprimizaciju sistema i uklanjanje gresaka.

Kako da iskljucim te pozive,

[ Flash411 @ 19.01.2008. 16:38 ] @

ajd postavi sliku tog upozorenja sto ti izbaci.

[ Binary Mind @ 19.01.2008. 19:00 ] @

Postavi HiJackThis! log. Najverovatnije si zakcio neku vrstu Smitfraud-a.

[ nemanjal @ 20.01.2008. 12:11 ] @

Prijatelju a kako to da postvaim? A mi objasni ako nije problem

[ Flash411 @ 20.01.2008. 12:24 ] @

sliku ili hijackthis log?
Za sliku sacekas da ti izbaci to upozorenje,pritisni print screen,inace je desno od F12
onda otoris paint,edit-paste i spremi kao jpg fajl.Nakon toga klikni na upload uz poruku
ispod tvoje poruke na forumu.
Za Hijackthis log moras skinuti istoimeni program,ovdje
pokreni program, kad se pokrene klikni na scan and save log file nakon toga taj log fajl isto
postavi na forum.

[ Binary Mind @ 20.01.2008. 18:22 ] @

Jesi li se snasao nemanjal? Poslao sam ti odgovor na tvoje pitanje na PP a i Flash je vidim takodje dobro objasnio kako se koristi HiJackThis!

_{[Ovu poruku je menjao Binary Mind dana 20.01.2008. u 20:14 GMT+1]}

[ nemanjal @ 24.01.2008. 20:43 ] @

Evo ga moj problem

[ Binary Mind @ 24.01.2008. 21:33 ] @

Inficiran si necim ali bez neceg kao sto je HiJackThis! log ili slicno ti malo mozemo pomoci. Zar je toliko tesko da bacis pogled na forum "zastita" i otvoris neku temu poput ove npr.:

http://www.elitesecurity.org/t306988-dali-moze-da-se-popravi

...ili ove:

http://www.elitesecurity.org/t...trojanski-konj-Ljudi-pomagajte

...ili ove:

http://www.elitesecurity.org/t305281-0#1830168

Ima ih mali milion samo kad bi upotrbio pretragu

[ nemanjal @ 24.01.2008. 22:39 ] @

evo ti log file sa HiJack-a

_{edit: ubacit cu log ovdje radi preglednosti

Flash411}

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 11:28:55 PM, on 1/24/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\FarStone\VirtualDrive\vdtask.exe
C:\WINDOWS\vcdplayx.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\HiJackThis_v2.exe

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SXG Advisor - {2EB3CE30-CF0E-4394-91B5-052EA0E52DF9} - C:\WINDOWS\dopfwrlmgf.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: The egodktf - {A61CB172-B1D5-4D96-81BD-C2018E36191B} - C:\WINDOWS\egodktf.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [VirtualDrive] "C:\Program Files\FarStone\VirtualDrive\vdtask.exe" /AutoRestore
O4 - HKLM\..\Run: [vcdplayx] "C:\WINDOWS\vcdplayx.exe"
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O21 - SSODL: bxsnvqt - {EEDFA06A-7D99-43F6-A8E1-22A81EEB00DE} - (no file)
O21 - SSODL: aslpmqk - {A38565BE-E6ED-4317-A3D2-B1D9661A5179} - C:\WINDOWS\aslpmqk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe

--
End of file - 4900 bytes

[ Flash411 @ 24.01.2008. 23:01 ] @

Meni je ovo dvoje jako sumnjivo

O21 - SSODL: bxsnvqt - {EEDFA06A-7D99-43F6-A8E1-22A81EEB00DE} - (no file)
O21 - SSODL: aslpmqk - {A38565BE-E6ED-4317-A3D2-B1D9661A5179} - C:\WINDOWS\aslpmqk.dll

[ nemanjal @ 24.01.2008. 23:38 ] @

da li da ukinem ta dva procesa?
ili mozda da ih ocistim

[ Binary Mind @ 25.01.2008. 12:17 ] @

I ovo treba da obrises:

Code:

O2 - BHO: SXG Advisor - {2EB3CE30-CF0E-4394-91B5-052EA0E52DF9} - C:\WINDOWS\dopfwrlmgf.dll
O3 - Toolbar: The egodktf - {A61CB172-B1D5-4D96-81BD-C2018E36191B} - C:\WINDOWS\egodktf.dll

Stikliraj vrednosti koji je naveo Falsh plus ove nove u HiJackThis! i pritisni "fix checked". Tako ces ih obrisati. Voleo bih da vidim i combofix log + novi HiJackThis! log posle brisanja ovih vrednosti.
Evo linka gde mozes skinuti Combofix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Prati uputstva kako koristiti Combofix sa ove teme:

http://www.elitesecurity.org/t306988-dali-moze-da-se-popravi

egodktf.dll je deo Zlob Toolbar-a koji spada u gadne malware... Skini takodje Spyware Search & Destroy, update-uj ga i uradi scan posle.

_{[Ovu poruku je menjao Binary Mind dana 25.01.2008. u 13:35 GMT+1]}

[ nemanjal @ 25.01.2008. 15:25 ] @

Rezultate combo fix-a i HiJacka sam postavio u mom prethodnom odgovoru tako da nebude neke zabune. Medjutim nisam moga da skinem ili ukinem ovaj proces:

O21 - SSODL: aslpmqk - {6B2471A7-2811-4566-9AD7-BF2822D52FEE} - C:\WINDOWS\aslpmqk.dll

Nisam ga nasao u c:\windows

I dalje nemogu da otvorim mail klijen outlook express. A windows mi stalno izbacuje upozorenje u formi ALERT i onda me navodi da idem na microsoftov sajt da skinem neki programcic za spyware i malware ili tako nesto. Inace instalirao sam Spybot i odradio sam skeniranje i popravku. Posle toga sam odradio combofix i opet HiJack pa sam vam onda postavio rezultate testiranja

_{[Ovu poruku je menjao nemanjal dana 25.01.2008. u 18:13 GMT+1]}

[ Binary Mind @ 25.01.2008. 20:25 ] @

Code:

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\dopfwrlmgf.dll
C:\WINDOWS\rs.txt
C:\WINDOWS\search_res.txt
C:\WINDOWS\system32\lsprst7.dll
C:\WINDOWS\system32\nsprs.dll
C:\WINDOWS\system32\serauth1.dll
C:\WINDOWS\system32\serauth2.dll
C:\WINDOWS\system32\ssprs.dll

Ako je bilo sta od ovih fajlova gore ostalo obrishi ih sve rucno.

Ovo stikliraj u HJT! i obrisi posle brisanja gore pomenutih fajlova:

Code:

O4 - Global Startup: BlueSoleil.lnk = ?
O21 - SSODL: aslpmqk - {6B2471A7-2811-4566-9AD7-BF2822D52FEE} - C:\WINDOWS\aslpmqk.dll

Takodje skini SmitFraud fix koga ces sacuvati na desktopu:

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Onda ces otici u Safe Mode na tvoj nalog (ne na glavni Administrator) odakle ces pokrenuti SmitFraudFix i izabrati opciju 2 i pritisnuti "Enter" da bi brisao inficirane fajlove. Na sve promptove odgovaraj sa Y (za Yes). Nakon zavrsetka svega ili ce se racunar sam restartovati, ili ces morati sam da ga restartujes. Kad ponovo udjes u Windows treba da se pojavi log od SmitFraudFix-a. Ako se ne pojavi idi do C:\rapport.txt i okaci taj SmitFraudFix log, zajedno sa novim HiJackThis! i Combofix logom. Nadam se da ces se snaci :)

Jedna od infekcija koje imas je varijacija SmitFraud-a...