Pa sta je tu cudno sto ih opet nalazi? On posalje kopiju tih fajlova na analizu, ali originali tih fajlova su jos uvek kod tebe tamo gde su i bili pre skeniranja. Lepo pise da su to sumnjivi fajlovi, a ti ni obicnog kriminalca ne mozes odmah na prvu banderu dok sud ne potvrdi da je on nesto uradio, pa je isto tako i sa sumnjivim fajlovima. A tu analizu ne radi neki superkompjuter u nanosekundi, nego cike u belim mantilima uzmu jedan po jedan fajl pa ga rucno "seciraju" i analiziraju, i procice sigurno nekoliko dana pre nego sto oni to obrade, pa jos par dana dok ubace odgovarajuce algoritme u Ad-Aware update, pa dok ti preuzmes i instaliras taj update...

pa proslo je nekoliko meseci od kad sam im poslao te fajlove zbog toga sam i otvorio temu

Slazem se sa valjanom, tako je kako je rekao. Da li ti se racunar ponasa cudno? Da li si premetio neko usporenje? Ako hoces mozemo da pogledamo kakvo je stanje.

Za pocetak skini program HijackThis.

Kada ga preuzmes preimenuj fajl u bilo sta npr. blabla.exe. Pokreni ga i klikni na "Do a system scan and save a logfile". Taj log fajl iskopiraj ovde da vidimo.

moj racunar se ponasa cudno od kako sam ga kupio :-) nista konkretno se ne desava,jednostavno me to malo iritira posto skeniram komp svaka tri dana i to se stalno pojavljuje......


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:20:22 PM, on 4/3/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\COMODO\Firewall\cfp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\TechniSat DVB\bin\Server4PC.exe
C:\Program Files\TechniSat DVB\bin\Server4PC.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Girder\Girder.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrator\Desktop\srbija.exe.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - Startup: Girder3.lnk = C:\Program Files\Girder\Girder.exe
O4 - Global Startup: Server4PC.lnk = C:\Program Files\TechniSat DVB\bin\Server4PC.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://asia.msi.com.tw
O15 - Trusted Zone: http://global.msi.com.tw
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F072851F-0E44-4759-8E42-A895D5D63804}: NameServer = 93.93.192.2,93.93.192.3
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 5054 bytes

Ok, log deluje cisto. Da bismo bili sigurni odradi sledece:

• Preuzmi i instaliraj program Malwarebytes` Anti-Malware
• Pokreni ga i izvrsi update (Update > Check for Updates) i po zavrsetku potvrdi sa OK
• Posle update-a odaberi Scanner, oznaci Perform full scan i pritisni Scan
• Kada se zavrsi skeniranje videces spisak pronadjenih "stetocina" u levom prozoru (ako program nadje neke stetocine)
• Proveri da li su svi pronadjeni fajlovi stiklirani i pritisni Remove Selected i potvrdi sa OK
• Program ce te upitati da restartujes racunar i ti to potvrdi
• Takodje posle ukljanjanje malware-a sa racunara dobices log fajl (izvestaj) koji ces iskopirati ovde

***

Ako ti se svidi ovaj besplatni program mozes njega zadrati umesto Ad-Aware-a, po meni je bolji. Pa se tako ujedno resis i tih poruka sto te nerviraju. Ne znam kako je kod Ad Aware-a, ali recimo kod NOD-a mozes da iskljucis opciju slanja fajlova na analizu - probaj da nadjes da li moze to da se uradi u Ad-Aware-u.

_{[Ovu poruku je menjao Nemanja Živanović dana 03.04.2009. u 23:58 GMT+1]}

imam Malwarebytes instaliran na kompu,nista nije pronasao





Malwarebytes' Anti-Malware 1.35
Database version: 1938
Windows 5.1.2600 Service Pack 3

4/3/2009 11:55:40 PM
mbam-log-2009-04-03 (23-55-40).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 104604
Time elapsed: 22 minute(s), 18 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Ok, ovako gledano, racunar nije zarazen malware-om. Sto se tice usporenosti, za to je najbolje da kontaktiras na forumu Windows aplikacije.

Sto se tice poruke koja ti se pojavljuje probaj da iskljucis automatsko slanje sumljivih fajlova. Otvori ThreatWork:

Start → Programs → AdAware → ThreatWork → Options ili
Start → Programs → AdAware → Toolbox → ThreatWork → Options

Stikliraj samo Do not automatically run ThreatWork i odstikliraj Automatically submit all suspicious files to Lavasoft i pritisni Apply, kao na ovoj slici:




Vidi da li ce sada opet traziti da se posalju ti fajlovi na testiranje.

_{[Ovu poruku je menjao Nemanja Živanović dana 04.04.2009. u 01:12 GMT+1]}

Vezano za sumnjive fajlove iz ThreatWork loga,
ako se ne varam NIRCMD.EXE je verovatno kreiran od strane Combofix-a.
Ako si ga koristio,pregledaj Combofix folder i za ostale fajlove...
Dakle false positive,ustvari.
Možeš da pogledaš i na ThreatExpert.

te putanje kod mene nema,izgleda da ti koristis proslu verziju Ad Aware,ja imam instaliranu ovu verziju






izbrisao sam Combofix i sve foldere koje je on napravio,posle ponovnog skeniranja izbacio je ovo

Drago mi je da je postignut napredak i pobrisani lažno sumnjivi fajlovi.
Preostala dva su takođe false positives.
Pretpostavljam da su kreirani prilikom instaliranja nekog DivXCodec-a.
Na primer,ovako nešto:
c:\Program Files\DivXCodec\uninstall.exe
c:\WINDOWS\system32\divx.dll
ili slično,pretraži malo disk i naći ćeš sigurno.
Pozdrav.

Ovo je putanja za tvoju verziju:

Start → Programs → AdAware → Toolbox → ThreatWork → Options

Znaci kada kliknes na Start ides na Programs ili All Programs i nadji gde se smestio AdAware i tamo nadji ThreatWork ikonicu. Ovu putanju sam nasao na njihovom sajtu, a ovo sam probao na verziji pre tvoje, ali je isto kao i kod nove. Instaliracu kasnije tu tvoju, ako bas nikako ne mozes da nadjes.

Nasao sam ga ovde:



Hvala svima!