Sta ti kaze malwarebytes? Ako nemas, instaliraj pa probaj da "fix"-ujes sta ti ponudi...

@Jbyn4e
Imam instaliran Malwarebytes. Njime nisam skenirao jer on, kao i Spyware Terminator, nikada ništa ne pronađe. Ali evo, ako kažeš da skeniram onda ću skenirati. Update-ovao sam ga i počinjem full sken.

Prvo se opredeli koji hoćeš antivirus da imaš na računaru, jer kad imaš dva kao u ovom slučaju to doprinosi ''veselju'' u računaru.

Ajde napravi jedan HJT log, ali tako što ćeš preimenovati HijackThis. exe u recimo, brodoplovac.exe ... pa okači opet log

U medjuvremenu počisti ove redove, ne trebaju ti

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=14597&l=dis
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://izarc.org/donate.html
O2 - BHO: pdfMachine - {56CF4856-ECB4-4e46-A897-A378821F97B9} - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\bgstb.dll (file missing)
O18 - Protocol: qbwc - {FC598A64-626C-4447-85B8-53150405FD57} - mscoree.dll (file missing)

Na kraju, isključi oba Antivirusa i pokreni DrWeb, pa da vidimo šta tu ima

Koristim kombinaciju dva programa sa real time zaštitom (Avira i Spyware Terminator) i dva program sa on-demand zaštitom (BitDefender i Malwarebytes). U svakom paru ima jedan antivirus i jedan antispyware. Mislim da iz ovih razloga nema mogućnosti za konflikt, a to potvrđujem i iz prakse.

Što se tiče Hijack This program ja sam promenio ime instalacionog fajla (onog što se skida sa Trend Micro-ovog sajta), a zaboravio da promenim ime .EXE fajla u Program Files. Zaj*bao sam se, izvinjavam se.

@Zoran Rodić
Trenutno sam započeo skeniranje Malwarebytesom. Kada se završi skeniranje onda ću fixovati ove redove koje si naveo, napraviću novi Hijack This log i skinuću taj Dr.Web program pa ću proveriti i sa njim.

Pa pogledaj pokrenute procese, ovo je tvoj log


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Portrait Displays\Shared\DTSRVC.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\BurnAware Free\NMSAccess32.exe
C:\Program Files\Common Files\Portrait Displays\Drivers\pdisrvc.exe
C:\Program Files\Common Files\Intuit\QuickBooks\QBCFMonitorService.exe
C:\Program Files\Sandboxie\SbieSvc.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

Ovaj jedan BitDefender servis je za update, a ovaj drugi ne znam šta radi. U svakom slučaju BitDefender besplatna verzija nema real-time zaštitu i ne bi trebalo da dolazi u sukob sa Avirom. Ja do sada nikada nisam imao problema.

Sećam se kada je Gizmo sa sajta http://www.techsupportalert.com/ vršio testiranje Antivirusa. On je pokazao da ako koristiš kombinaciju real time i on-demand antivirusa možeš da dobiješ zaštitu jednaku onoj koju nude komercijalni antivirusi. Ja odavno koristim ovakav način zaštite i u zadnje dve tri godine sam samo dva puta (uključujući ovo sada) imao problema sa virusima a non stop skidam rizičine fajlove sa neta.

On-demand programe aktiviram da bih skenirao programe koje skinem sa neta, a poneki put njima skeniram čitav računar. Real time programi rade non stop i skeniraju sve, a poneki put i sa njima skeniram čitav računar. Ovako imam zaštitu gde jedan program nadomešćuje nedostatke drugog programa.

Malwarebytes je pronašao neke opasne fajlove i izbrisao ih. Ja i dalje imam problem sa SPAM virusom.
Obrisao sam stavke R0, R1, O2 i O18 i promenio sam ime HijackThis.exe fajla u nešto drugo. Evo ga novi Hijack This log:
***********************************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:08:04, on 14.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Portrait Displays\Shared\DTSRVC.exe
C:\Program Files\FolderSize\FolderSizeSvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\BurnAware Free\NMSAccess32.exe
C:\Program Files\Common Files\Portrait Displays\Drivers\pdisrvc.exe
C:\Program Files\Common Files\Intuit\QuickBooks\QBCFMonitorService.exe
C:\Program Files\Sandboxie\SbieSvc.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Emerald Editor Community\Crimson Editor 3.72\cedt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\TechSmith\SnagIt 9\SnagIt32.exe
C:\Program Files\TechSmith\SnagIt 9\TSCHelp.exe
C:\Program Files\TechSmith\SnagIt 9\SnagPriv.exe
C:\Program Files\TechSmith\SnagIt 9\snagiteditor.exe
C:\Program Files\Trend Micro\HijackThis\PeraSimaInstaliran.exe

O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Program Files\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Taskbar Shuffle] C:\Program Files\Taskbar Shuffle\taskbarshuffle.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O8 - Extra context menu item: Add to Local Website Archive - C:\Documents and Settings\Upravnik\Application Data\aignes\Local Website Archive\config\iearc.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {A8AE0B5B-9F71-43FB-9EF9-B32DD8C88ECD} - C:\Program Files\Local Website Archive\wsarc_add.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add to Local Website Archive - {A8AE0B5B-9F71-43FB-9EF9-B32DD8C88ECD} - C:\Program Files\Local Website Archive\wsarc_add.exe (HKCU)
O9 - Extra button: Add to Local Website Archive - {E10A94A9-AE94-4235-A298-DFCF8CF0C64B} - C:\Program Files\Local Website Archive\wsarc_add.exe (HKCU)
O9 - Extra button: Start Local Website Archive - {FD2E83DE-5188-4D93-A956-ABE4B123F5ED} - C:\Program Files\Local Website Archive\wsarc.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{80224830-2E24-4C53-BD1A-4A95D0918656}: NameServer = 213.244.255.2,213.244.255.3
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: intu-help-qb1 - {9B0F96C7-2E4B-433E-ABF3-043BA1B54AE3} - C:\Program Files\Intuit\QuickBooks 2008\HelpAsyncPluggableProtocol.dll
O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Common Files\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Program Files\FolderSize\FolderSizeSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\BurnAware Free\NMSAccess32.exe
O23 - Service: Portrait Displays SDK Service (PdiService) - Portrait Displays, Inc. - C:\Program Files\Common Files\Portrait Displays\Drivers\pdisrvc.exe
O23 - Service: QBCFMonitorService - Intuit - C:\Program Files\Common Files\Intuit\QuickBooks\QBCFMonitorService.exe
O23 - Service: Intuit QuickBooks FCS (QBFCService) - Intuit Inc. - C:\Program Files\Common Files\Intuit\QuickBooks\FCS\Intuit.QuickBooks.FCS.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Professional Home 2009.SP2\RpcAgentSrv.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

--
End of file - 8566 bytes

****************************************************
Sada ću da skinem Dr.Weba, ugasiću sve antiviruse i napraviću novi sken.

netstat -b -o da vidis sta pravi konekcije ili netstat -b -o -v da to vidis jos detaljnije.

Moze da ti pomogne i NetLimiter, free verzija.

Jel'? NE RADI pod windoze 7, kao obican user:

Ako se pokrene sa "run as administrator" onda radi...

Jos bolje kad se doda i -n svic da prikaze sve po IP adresama...

@Brodoplovac
A sto nisi stavio i log od malwarebytes-a da vidimo sta je to izbrisao?

Evo karantina iz Avire i Malwarebytesa. Karantin u Bitdefenderu je prazan (iako je bio pronašao neke opasne fajlove). Što se tiče logova, ili ih nema (u Malwarebytesu) ili ne mogu da ih nađem (u Aviri i Bitdefenderu). Ja ne razumem šta piše u logovima pa obično ni ne obraćam pažnju na ovu opciju tako da mi čuvanje logova nije ni podešeno.

Što se tiče NetLimitera, da li će on samo da mi posluži kao firewall - tj. da zaustavi upload, ili on ima mogućnost da otkrije koji fajlovi prave probleme tako da mogu da ih izbrišem?

Trenutno radim skeniranje DrWebom ali skeniranje nešto vrlo sporo ide. Nije ni čudo jer moj računar nije mnogo jak.

Takođe ostavljam sliku iz konzole za komandu Netstat -b -o -v:



Evo pronašao sam i log za BitDefender:


_{[Ovu poruku je menjao Brodoplovac dana 14.12.2009. u 21:30 GMT+1]}

Izgleda da si zapatio nekog Virut-a. Koliko se secam - vrlo zajebato za resiti se.

Evo nekih linkova

Evo i DrWeb je pronašao još neke opasne fajlove, ali moj problem sa SPAM virusom nije rešen. Skeniranje sa DrWeb-om je trajalo nekih šest sati, ovaj program stvarno sporo skenira.

Pročitao sam nekoliko topika o ovom Virut virusu. I ja mislim da sam zaražen nekim vrlo otpornim i žilavim virusom. Neću više da isprobavam različite antiviruse već ću da prepakujem računar. Bekapovaću sve podatke koji nisu izvršni fajlovi. Formatiraću hard disk, obrisaću sve particije. Onda ću kreirati sve nove particije koristeći neki LiveCD (recimo HirenCD), onda ću skenirati prazan hard disk koristeći LiveCD antiviruse (Kaspersky, Avira, DrWeb). Zatim ću sve instalirati iz početka. Zatim ću još jednom sve skenirati LiveCD antivirusima. Na kraju ću još skenirati ove DVD-ove koje sam napravio kao backup.

Trebeće mi neko vreme da sve ovo završim (par dana). Kada završim postovaću rezultate.

Evo šta je tačno DrWeb pronašao:

Nema potrebe da toliko komlikujes, dovoljno je da formatiras C, instaliras novi sistem i da nikako ne otvaras ostale particije. Skini neki AV i izvrsi skeniranje komletnog racunara. Problem moze da se desi ako otvoris neku od particija, onda si sve upropastio. Znaci kad skidas AV skini ga na desktop i neces imati problema.

Ako moze log RootRepeal-a
1. Skinite sa http://rootrepeal.googlepages.com/RootRepeal.rar
2. Odradite sve kao na slici prateci postupke po broju

Imao isti problem, rjesio ga sa hirens boot cd, na njemu imas par anitvirus alata, rasturaju :)
prvo odsjeku sve konekcije vezane za tvoj PC pa onda razvaljuju :)

probaj ne boli !

Aj uradiću još to sa RootRepealom i HirensCD-om (ali tek večeras).

Inače sva ova skeniranja dugo traju i mislim da mi je prepakivanje računara sve izglednija opcija. Ionako mu je vreme da se prepakuje, mislim da sam ga zadnji put prepakovao pre nekih osam meseci.

Moj kucni racunar je zadnji put reinstaliran pre nekih 6-7 godina, s tim sto je u medjuvremenu odradjen upgrade sa Win2k na XP, i jedan repair pre par godina kad mi je crkla maticna pa sam menjao pola hardvera. A radi prakticno dan i noc, tako da je ne razumem zasto bi bilo kom racunaru trebalo neko "prepakivanje"...

Ono sto tebi pravi problem je onaj "--unknown component(s)--" pod services, znaci nesto sto je skriveno od operativnog sistema i netstat ne moze da ga prikaze, tj. rootkit. Za pronalazenje rootkita postoji vise nacina, pa se otprilike po nacinu detekcije dele u tri grupe:

Prva je na osnovu baze sa definicijama (poput klasicnih AV programa), i tu grupu recimo spada Microsoft Malicious Software Removal Tool - ako redovno radis backupe pod Windowsom, onda si svakog meseca sveze skeniran ovim alatom.
Druga grupa su programi koji traze odredjene anomalije u sistemu na osnovu kojih prepoznaju skrivene fajlove i procese, i tu spadaju ICESword, GMER ili System Virginity Verifier.
Treca grupa koristi poznate metode za sakrivanje pa metodom poredjenja izmedju skrivenog i neskrivenog stanja pronalazi skrivene fajlove i procese. Tu spadaju F-Secure BlackLight i SysInternalsov RootkitRevealer.

Sve ovo imas u video zapisu sa http://www.elitesecurity.org/t...vich-Advanced-Malware-Cleaning, pa ako imas sat i po vremena da odgledas, toplo preporucujem.

Preporucuje se da se odradi skeniranje sa bar po jednim skenerom iz svake grupe, da bi se rootkit uspesno detektovao.

Evo elegantnije i preglednije resenje:

TCPView for NT/2000/XP/9x
Copyright (C) 1997-2002 Mark Russinovich
Sysinternals - www.sysinternals.com

Ovako, skenirao sam Microsoft Malicious Software Removal programom koji ništa nije pronašao.

Zatim sam skenirao svim antirootkit programima koji su ovde pomenuti. Neki od tih programa nisu hteli da se pokrenu (cak ni u Safe modu), neki su se zaglavljivali (RootkitRepeal), a neke jednostavno nisam znao kako da koristim. Po svemu sudeći kod mene se oseća prisustvo rootkita.

Dva antirootkit programa su mi dala nekakve rezultate. Sledeće rezultate mi je dao RootkitRevealer pri čemu on ima samo scan funkciju, on nema funkciju za uklanjanje rootkita.

Takođe sam dobio rezultate od GMERA. GMER je odmah po pokretanju počeo da radi quick scan. Tada je pronašao sledeće stavke i ponudio mi je da uradim full scan. Napominjem da je full scan radio do kraja samo u Safe modu dok bi se u normal modu GMER zaglavio i zamrznuo bi mi čitav računar.

Kada sam uradio full scan dobio sam još neke rezultate. Ono što je bitno kod GMERA je da mi on nudi mogućnost da za svaku od crvenih stavki uradim Disable ili Delete. El može savet šta da radim sa ovim crvenim stavkama?


*********************************************************
Počeo sam da skidam DrWeb LiveCD, a posle ću skinuti i HirensCD. Na HirensCD-u postoje sledeći antivirusi:
- Kaspersky Virus Removal Tool 7.0.0.290 (1811)
- Spybot - Search & Destroy 1.6.2 (1811)
- Malwarebytes' Anti-Malware 1.41 (1811)
- SpywareBlaster 4.2 (1811)
- SmitFraudFix 2.424
- ComboFix (1811)
- CWShredder 2.19
- RootkitRevealer 1.7.1
- SuperAntispyware 4.30 (1811)

Od ovoga mi se čini da bi najbolje bilo da skeniram Kasperskym i Malwarebytesom. Ovi ostali mislim da mi ne bi odgovarali.
Šta mislite, da skeniram još DrWeb-om, Kasperskym i Malwarebytesom?

_{[Ovu poruku je menjao Brodoplovac dana 15.12.2009. u 23:48 GMT+1]}

Mozete li da upload-ujete taj hjgruic*.sys pa da mi posaljete na PP? Zatim ga izbrisite (klikom na tab ">>>" izaberite "Files" i pronadjite u system32/drivers/ tu datoteku).

Imam problem sa pronalaženjem i slanjem fajla "hjgru...". Da bih pokrenuo skeniranje u GMER-u moram da budem u Safe modu. Čak sam uključio u Tools>Folder Options da skriveni fajlovi budu vidljivi.


Tražio sam sve verzije reči "hjgru..." sa donje slike, tražio sam da se možda folder system32 ne javlja još negde na hard disku osim u Windows folderu, čak sam tražio i folder "systemroot" jer se ta reč javlja u tabu Services u GMER-u.


Tražio sam u C:\Windows\system32\drivers\hjgru... Tražio sam u okviru Files taba u GMER-u kao i u My Computeru. Vratio sam se u Normal mod i tu sam ponovo pokušao da nađem fajl u My Computeru, a takođe sam pokušao da ga lociram koristeći File Seeker program.


@Dashkes
Sve u svemu fajl ne mogu da nađem. Fajl nisam još obrisao, ako imaš neku ideju kako da dođem do fajla i da ti ga pošaljem ti javi.

U GMER-u, dok si na onom Rootkit/Malware tabu, klikni desnim dugmetom na hjgruiugoritjo pa odaberi "Delete service", isto uradi i sa swgzfmgv, i na sva pitanja koja ti postavlja odgovori sa Yes. Ako brisanje ne uspe (jer rootkit stiti svoje fajlove), onda kliknes desnim dugmetom i odaberes "Disable service" na oba ova fajla, restartujes masinu, ponovo pokrenes GMER, i posle toga mozes opet probati "Delete service" opciju. Sve ovo pise u GMER FAQ-u, ima cak i video tutorijal koji ovo pokazuje kako se radi...

Imas li ti log koji je napravio Gmer, ako nemas pusti ga ponovo, kad zavrsi scan klikni save i snimi log na desktop pod nazivom gmer, a onda ga iskopiraj ovde. Ovako sa ovih slika se nista ne vidi. U principu bi trebao da napravis tri loga, ali ako je ono u sta sumnjam, dovoljan je ovaj jedan.

Ovako, ostavio sam čitavu noć da radi DrWeb Live CD. Kasnije sam kliknuo na Cure opcije jer je DrWeb pronašao neke opasne fajlove (neke Banker Trojance a pronašao je i fajl swgzfmgv pominjan u gornjim slikama). Nakon toga se prozor sa DrWeb-om nešto zaglupeo i morao sam da ga zatvorim. Vratio sam se u Windows.

Pošto mi je već muka od silnih skeniranja ja sam lepo otišao u Safe mod sa namerom da iskoristim GMER kako bih izbrisao hjgruiugoritjo fajl/servis. Obrisao sam ga. Fajl swgzfmgv je već bio obrisan i nije se pojavljivao. Njega je verovatno već obrisao DrWeb.

Vratio sam se u Normal mod i mogu da kažem da trenutno nema znaka virusu, ništa se ne uploaduje, nema konekcije sa nekim mail serverima (to pokazuje komanda NETSTAT). Mislim da sam se otarasio Rootkita i svih trojanaca. Plašim se samo da se ne reinkarniraju nakon nekog vremena.

Večeras ću ponovo skenirati sve DrWebom. A noć nakon toga ću još jednom skenirati Kasperskym sa Hirens Boot CD-a. Nakon toga javljam da li ima znakova života od rootkita i trojanaca. Držite mi palčeve da sam se konačno otarasio svih napasnika.

Kompjuter mi je čist. Hvala svima koji su mi pomogli da ga očistim.