Skinite program HijackThis.
Kada ga preuzmete, preimenujte fajl u bilo sta, npr. “blabla.exe”. Pokrenite ga i kliknite “Do a system scan and save a logfile”. Taj log iskopirajte ovde.

Evo SCAN LOG-a mog kucnog racunara, na poslu ima jos jedan a problem je identican.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:21:47 PM, on 5/17/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\USB Disk Security\USBGuard.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\milos\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [USB Antivirus] C:\Program Files\USB Disk Security\USBGuard.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Trickler] "c:\program files\divx\divx pro codec\gain_trickler_3202.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [run32] C:\Win\lsass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Bluetooth.lnk = ?
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D79F7B42-9166-4DF9-BF6D-8C27B55B3398}: NameServer = 217.24.17.17 217.24.17.80
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe (file missing)
O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4486 bytes

Stiklirajte sledece objekte i kliknite “Fix checked”
O4 - HKLM\..\Run: [Trickler] "c:\program files\divx\divx pro codec\gain_trickler_3202.exe"
O4 - HKLM\..\Run: [run32] C:\Win\lsass.exe
Posle toga restartujte kompjuter i napravite novi log.

Ako mozete fajlove
c:\program files\divx\divx pro codec\gain_trickler_3202.exe
C:\Win\lsass.exe
da zapakujete u ".rar"/".zip" sa password-om "virus", upload-ujete na Rapidshare i posaljete mi link preko PP.

Preuzmite program Dr.Web CureIt!.

• Posle preuzimanja restartujte racunar u Safe Mode(dok se pali racunar pritiskajte F8 pa kada se pojavi meni odaberite Safe Mode - prva stavka).
• Kada se ucita Safe Mode pokrenite Dr.Web CureIt!.
• Kad se upali odaberite Start. On ce automatski poceti da skenira racunar. Pustiti da skenira(to je brzo skeniranje).
• Kada zavrsi sa skeniranjem odaberite kompletno skeniranje - Complete scan i sa desne strane pritisnite dugme Start Scanning(izgleda kao Play dugme).

Moram da vas upozorim da kompletno skeniranje moze da potraje nekoliko sati!

Cekirao sam i Fix...evo novi scan log. Link sam poslao na pp, samo lsass-ovaj drugi ne mogu da nadjem. Upravo downloadujem onaj software...6%....



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:05:40 PM, on 5/17/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\USB Disk Security\USBGuard.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\milos\Desktop\HiJackThis.exe

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [USB Antivirus] C:\Program Files\USB Disk Security\USBGuard.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Bluetooth.lnk = ?
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D79F7B42-9166-4DF9-BF6D-8C27B55B3398}: NameServer = 217.24.17.17 217.24.17.80
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe (file missing)
O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4350 bytes

Log je cist.
Jeste li poslali "lsass.exe" koji se nalazio u C:\Win\ ili C:\WINDOWS\system32\? Posto je cist.
Meni je zanimljiviji ovaj iz C:\Win\, a ako mozete da posaljete i gain_trickler_3202.exe. :)

Da, to je lsass iz win foldera. videcu sutra da posaljem i onaj sa drugog racunara. Gain tricklera vise nema...valjda se izbrisao. Ostaje mi da DrWeb uradi svoje pa cu se javiti kad vidim rezultat skeniranja.

DrWeb nije nista nasao, ali folderi na flesu jos uvek se ponasaju kao aplikacije....evo stavio sam jedan na Rapidshare (dvostruko zipovan) pa pogledaj. Samo oprezno.

Skinite HP USB Disk Format Tool i sa njim formatirajte flash.

• Preuzmite i instalirajte program Malwarebytes` Anti-Malware - http://www.malwarebytes.org/mbam-download.php
• Pokrenite ga i izvrsite update(Update > Check for Updates) i po zavrsetku potvrdite sa OK.
• Posle update-a odaberi Scanner, oznacite Perform full scan i pritisnite Scan.
• Kada se skeniranje zavrsi pritisnite OK, pa Show Results da vidite izvestaj.
• Proverite da li su svi pronadjeni fajlovi stiklirani(ako nisu selektujte ih), pritisnite Remove Selected i potvrdite sa OK.
• Program ce vas upitati da restartujes racunar i vi to potvrdite.
• Takodje posle ukljanjanje malware-a sa racunara dobicete log fajl(izvestaj) koji cete iskopirati ovde.

Bilo bi dobro instalirati Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Imao sam slican problem sa Isass.exe, ispostavilo se da je napast ustvari rootkit koga je Combofix sredio.
Na kraju, po instalaciji, izvrsenju programa i najverovatnije po restartu racunara, treba uci u Start - Run
i ukucati combofix /-u da bi se combofix deinstalirao. Postoji razmak izmedju reci combofix i /-u .

Dragi prijatelji, zahvaljujem se na vasoj dobroj volji da pomognete, ali od ovoga izgleda moja racunar ne moze naci lek. Sinoc sam iskoristio zadnju opciju u ovakvim slucajevima a to je format C. Sacuvao sam za uspomenu onaj cudni folder koji se ponasa kao aplikacija i probacu online scan pomocu raznih antivirusa i koji bude detektovao da je file zarazen, taj cu antivirus instalirati. Ovo sa combofix mogu da pokusam na racunaru u kancelariji jer je tu Windows genuine(legalan).
Svaki vlasnik windowsa trebalo bi pre nego sto mu se nesto ovako desi da ukuca gpedit.msc u RUN i ugasi autoplay on all drives, ne bi li se sprecilo sirenje virusa putem Usb memorije.

Usput, dashkes, jesi li probao da skeniras folder koji sam ti poslao?

Obrisao sam arhivu koja je bila priložena uz prethodnu poruku pošto pretpostavljam da je u pitanju virus a to ne sme da se prilaže. Izvinjavam se ako sam pogrešio ali mi arhiva po imenu virus.rar u kojoj je fajl virus.exe deluje nekako sumnjivo. ;)

Šteta što nisam skontao temu prije, možda bih mogao pomoći. Naime, taj folder koji je ustvari exe, je jedan trojanac kojeg prepoznaju skoro svi antivirusi. Ja koristim avast i on ga uspješno otklanja. No, nije on uzrok ovog izvrtanja teksta. To je u pitanju jedan dll koji se učitava zajedno sa explorerom, zaboravih tačno ime, i veoma se lako uklanja sa računara. Znači, može se ručno naći u registriju i izbrisati, može se sa Autoruns od Sysinternals isključiti, a može se jednostavno blokirati sa Comodo firewallom, jer je ovaj firewall paranoičan do bola i dobro dođe u ovakvim situacijama kad ne znaš šta te je snašlo...

U svakom slučaju, format ti je riješio problem, ali to uvijek treba biti poslednja opcija.

Takođe predlažem da se računar adekavtno pripremi za ovakve napasti, npr. za AV može Avast, Avira ili AVG dok za FW može Comodo ili Ashampoo. Svi su besplatni i laki za korištenje...

Jesam, mozete pogledati rezultate na http://www.virustotal.com/anal...0ad11bd9fd01f9bdbe4a05eef85636
P.S. Prepoznaje ga i Dr.Web ali izgleda spanci ne umeju da ga nameste lepo na virustotal-u. Trenutno pokusavamo da resimo taj problem.
Dokaz da ga Dr.Web prepoznaje - http://online.us.drweb.com/cac...c54eb6cf644a5a62518a88d8256a2a

icobh,
mozes li mi pronaci ime tog .dll fajla sto izvrce tekst da ga obrisem na kancelarijskom racunaru jer tu format c nije opcija, stvarno je veliki problem kad pokusam da otkucam vazan dokument a on ispadne unatraske.

pakevic
• Preuzmite i instalirajte program Malwarebytes` Anti-Malware - http://www.malwarebytes.org/mbam-download.php
• Pokrenite ga i izvrsite update(Update > Check for Updates) i po zavrsetku potvrdite sa OK.
• Posle update-a odaberi Scanner, oznacite Perform full scan i pritisnite Scan.
• Kada se skeniranje zavrsi pritisnite OK, pa Show Results da vidite izvestaj.
• Proverite da li su svi pronadjeni fajlovi stiklirani(ako nisu selektujte ih), pritisnite Remove Selected i potvrdite sa OK.
• Program ce vas upitati da restartujes racunar i vi to potvrdite.
• Takodje posle ukljanjanje malware-a sa racunara dobicete log fajl(izvestaj) koji cete iskopirati ovde.

Nisam imao vremena to danas da odradim, imao sam puno posla, pokusacu malware scan u ponedeljak.
Da li ce to resiti problem sa izvrtanjem teksta i da li je u pitanju zarazen dll fajl koji treba da se ocisti, kao sto kaze icobh?

To vam ne mogu sa sigurnoscu reci. :(

EVO NAPOKON< MALWAREBYTES je odradio svoje i ovo je zerultat skeniranja...


Malwarebytes' Anti-Malware 1.37
Database version: 2182
Windows 5.1.2600 Service Pack 3

9.6.2009 11:37:38
mbam-log-2009-06-09 (11-37-31).txt

Scan type: Quick Scan
Objects scanned: 85362
Time elapsed: 3 minute(s), 56 second(s)

Memory Processes Infected: 1
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 1
Registry Data Items Infected: 3
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
C:\Win\lsass.exe (Worm.Autoit) -> No action taken.

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation (Backdoor.Agent) -> No action taken.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run32 (Worm.Autoit) -> No action taken.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Win\lsass.exe (Worm.Autoit) -> No action taken.
C:\Win\names.txt (Worm.Autoit) -> No action taken.




STA DA RADIM DALJE?

Pakevic Rođak, malwarrebytes ti nije uradio ništa. Ne znam koliko govoriš
engleski, ali "No action taken", znači na srpskom "Ništa nije urađeno", ili
"Nijedna radnja nije preduzeta", kako god hoćeš.
Morao si posle skeniranja verovatno da štikliraš sve te zaražene objekte.
Ako ti je lakše, prebaci malwarebytes na srpski prilikom instalacije

Aj nou bre sta znaci, zato sam i pitao sta dalje, lsass sigurno ne smem obrisati. Nego Friend, ako znas sta o ovom problemu, mogao bi da malo help osim sto samo critasize.

A sto ne bi smeo da obrises lsass kad je ocigledno fake - prava lokacija je C:\Windows\System32\lsass.exe.

Moras me razumeti, ipak nije moj komp da bi eksperimentisao i brisao sta mi je volja. Ali skupio sam hrabrost, startovao Windows u Safe modu, otvorio folder C:/Win i pobrisao problematicne fajlove. Nakon toga restartovao komp i .....sad pratim stanje. Eset vise ne prijavljuje gresku, ako je to bilo resenje problema onda sta reci osim

...prosto k'o pasulj :)

Sve je izgleda OK, hvala svima na pomoci, nadam se da ce iz mog iskustva jos neko resiti svoj problem.

Pozdrav.