[ Zoran Milovanovic @ 15.10.2010. 00:37 ] @
Zdravo drugari, imam windows 7 x64 bit ultimate instaliran na racunaru, nesto jace od godinu dana. Sve vreme imam nod32 apdejtovan (jedino kada odem u net-free zonu, pa prodju 5-10 dana bez update - ali toga je bilo svega 2-3 puta max). Apdejt sistema je ukljucen i redovno instaliram zakrpe i cuda. Koristim limited user nalog. Zeleo bih samo da mi neko od iskusnih overi hijackthis log.

Napominjem da je nod32 nasao par losih exe fajla, na raznim fleskama i poneki sajt je blokirao (js valjda) - Ne vise od 10 ukupno za sve ovo vreme.

HT sam pokrenuo sa "Run as Administrator"
Code:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 1:28:08, on 15.10.2010
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16671)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Trillian\trillian.exe
C:\Program Files (x86)\foobar2000\foobar2000.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Internet Explorer\IELowutil.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Users\Zoran\AppData\Local\Google\Google Talk Plugin\googletalkplugin.exe
C:\Program Files (x86)\uTorrent\uTorrent.exe
C:\Program Files (x86)\FileZilla FTP Client\filezilla.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Windows\SysWOW64\NOTEPAD.EXE
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Users\Zoran\Desktop\kiza-temp\mrgudinjo.exe -- OVO JE HIJACKTHIS

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mirostart.com/?cfg=2-73-0-3JO

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll (file missing)
O4 - HKLM\..\RunOnce: [Uninstall Adobe Download Manager] "C:\Windows\system32\rundll32.exe" "C:\Program Files (x86)\NOS\bin\getPlus_Helper_3004.dll",Uninstall /IE2883E8F-472F-4fb0-9522-AC9BF37916A7 /Get1noarp
O4 - HKCU\..\Run: [googletalk] C:\Users\root\AppData\Roaming\Google\Google Talk\googletalk.exe /autostart
O4 - HKCU\..\Run: [DU Meter] C:\Program Files (x86)\DU Meter\DUMeter.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-1717497632-2003972093-2938233381-1001\..\Run: [googletalk] C:\Users\Zoran\AppData\Roaming\Google\Google Talk\googletalk.exe /autostart (User 'Zoran')
O4 - HKUS\S-1-5-21-1717497632-2003972093-2938233381-1001\..\Run: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe" (User 'Zoran')
O4 - S-1-5-21-1717497632-2003972093-2938233381-1001 Startup: Trillian.lnk = C:\Program Files (x86)\Trillian\trillian.exe (User 'Zoran')
O4 - S-1-5-21-1717497632-2003972093-2938233381-1001 User Startup: Trillian.lnk = C:\Program Files (x86)\Trillian\trillian.exe (User 'Zoran')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files (x86)\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Auto Shutdown.lnk = C:\Program Files (x86)\Ali Keshavarz\Auto Shutdown\AutoShutdown.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia....ockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Eset Trial Reset (.EsetTrialReset) - Unknown owner - C:\Windows\reset.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: wampapache - Unknown owner - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe (file missing)
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 8981 bytes


Da li ima necega cudnog ili nesto sto bih trebao da promenim, proverim?


p.s. Ne zalazim na ovom forumu, ne znam da li sam trebao da posaljem txt file? Ukoliko treba, neka mod edituje ;-)

Pozdrav.
[ magna86 @ 15.10.2010. 01:46 ] @
mrgudinjo.exe -- OVO JE HIJACKTHIS
hehe

pregledah log...cist je. Nema znakova aktivne infekcije u logu.
Ovo ne znaci da ti je system cist..ili da je inficiran
...ali trenutno sad nemam vremena za ovo

Preporuka:
Malwarebytes
MCShield
...i promena AV ( zbog crackova koji sve prskte...)

Preporucujem:
avast!
Avira
[ GORSHTAK @ 15.10.2010. 09:22 ] @
Krekovan ili si našao na kah-kah sajtu lozinke za update noda, promeni av. Više od 50% ljudi što znam se kunu u nod a nagledao sam se slučajeva kako je propustio neki virus. Neću da ti dajem preporuku jer ću tako izazvati lavinu komantara oko teme koji av je najbolji, a bilo ih je mnogo
[ Zoran Milovanovic @ 15.10.2010. 13:36 ] @
Ili ono trece, legalan? ;-)

Hvala na pregledima, procesljacu sa ovim programima sto mi je preporucio magna86.

Znam da ce lavina da krene. Ali niti imam problema sa rucanarom niti se zalim na ista. Samo sam zeleo kontrolu (jednom godisnje nije mnogo) tako da za sada necu da menjam AV. (Nemam nista od krekovanog software sto koristim, mozda neke gluposti ali to i onako ne koristim ja, vec buraz 2x u 6 meseci kada mu treba moj racunar - 99% proverene i da kucnem u drvo do za sve ovo vreme nikakvih problema)

Moguce da cu samo da instaliram neki od free da proverim. (naravno prethodno uninstall noda).


Hvala vam puno momci. Javim ako naidjem na nesto sumnjivo.


Pozdrav.
[ dava @ 18.10.2010. 08:04 ] @
Ako planiraš da preskeniraš disk nekim drugim AV-om, ne moraš da deinstaliras postojeći, skini Kaspersky removal tool, pokreni ga i Safe moda. Ovaj tool sadrži sve definicije kao i klasični Kaspersky AV tako da nakon ove akcije možeš biti dosta siguran da ti je komp čist.
Inače je dobra stvar, disk preskenirati sa više različitih AV programa, jer ni jedan od njih ne sadrži definicije o baš svim virusima, tako da kad se ukrsti par AV programa daje visok nivo sigurnosti.
Bilo bi fino kad bi i druge AV kuće izdavale ovako besplatne i što se tiče funkcionalnosti potpune alate. Ako neko zna keke neka piše.
[ miroslavL @ 18.10.2010. 10:15 ] @
Sa Avirom nemoj da proveravaš, ja ga koristim na poslu po zahtevu šefa, i više vremena izgubim gledajući koje nije virus da uključim ignore za "inficirani" fajl - baza mu ogromna, ali 50% je fake.

Sada će krenuti lavine poruka kako je to najbolji antivirus, i kako ima najveću bazu, ali džaba kad meni dnevno prođe ko zna koliko kompjutera kroz ruke i iskustvo govori drugačije. pozz
[ bugmenot2 @ 18.10.2010. 11:14 ] @
Najjednostavnije/sigurnije ti je da uploadujes log (ili copy/paste) na njihov sajt:

http://www.hijackthis.de

Gde dobijes momentalnu procenu loga!

Btw, nista nema sumnjivo u njemu ;)

Poz

P. S. Ne diraj NOD. Samo dodaj Malwarebytes. NOD + Malwarebytes = Happiness

[Ovu poruku je menjao bugmenot2 dana 18.10.2010. u 12:25 GMT+1]

[Ovu poruku je menjao bugmenot2 dana 18.10.2010. u 12:25 GMT+1]