• Здраво и добредојдовте на форумот на IT.mk.

    Доколку сеуште не сте дел од најголемата заедница на ИТ професионалци и ентузијасти во Македонија, можете бесплатно да се - процесот нема да ви одземе повеќе од 2-3 минути, а за полесна регистрација овозможивме и регистрирање со Facebook и Steam.

HijackThis log file - Дали сум чист ?

  • Ја почнал/а темата
  • #1

ZzzzZzzz

Intern
30 мај 2007
84
3
После целовечерно чистење на тројанецот Virtumonde.dll, гo скенирав цел компјутер со kaspersky online scan и не најде ништо. Но со HijackThis се сумњам на две линии. Еве го цел лог фајл:
------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:28:32, on 09.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20772)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\mHotkey.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [] 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll ???
.
.
скратено за да има >1000 карактери
.
.
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: fcccyYrO - C:\WINDOWS\ ???
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 10304 bytes

П.С. Извинете за предолгиот пост...
 

HijackHacker

Gaining Experience
21 февруари 2008
5,108
297
www.gorjan.info
nwprovau.dll никаде на интернет не видов дека е штетно, затоа тоа не е проблем. Ама за второто неможам да најдам ништо... нз за тоа. :chudenje:
 
  • Ја почнал/а темата
  • #3

ZzzzZzzz

Intern
30 мај 2007
84
3
Бидејќи „Winlogon Notify: fcccyYrO - C:\WINDOWS\“ се уклучува за време на boot процесот, очигледно дека е остаток од тројанците... или грешам. Ќе го отстранам, па ако нешто тргне наопаку ќе правам restore ...:ermm:
 

fuUuUzZzZy

On your way to fame
14 декември 2007
4,842
885
Ohrid
При такви тест обиди најдобро е и backup да си направиш на работите.. За секој случај..
Не секогаш system restore работи.. Има случаи каде што едноставно неможеш да го вратиш за одреден временски период поради некаква си штета од малициозни програми..
 

386ka

Gaining Experience
22 декември 2007
2,365
193
Тебе дефинитивно ти треба некоја алатка за чистење на регистрите. Се кладам дека 70% од записите во регистарот се веке неважечки!
 

Andrijeski

Gaining Experience
1 март 2007
2,599
65
andrijeski.net
Што се однесува до автоматизираното средување на регистрите, има едно згодно бесплатно програмче (за приватна употреба) што би можело да ти е од корист:
Advanced WindowsCare Personal :)
 

fuUuUzZzZy

On your way to fame
14 декември 2007
4,842
885
Ohrid
хмммз.. Колку си ти лично задоволен со тоа @Andrijeski ?
Некако немам многу добри работи за ефикасноста на истото слушано..
Јас лично би препорачал TuneUp и System Mechanic..Барем за нив можам да тврдам дека колку толку средуваат нешто..
 
  • Ја почнал/а темата
  • #8

ZzzzZzzz

Intern
30 мај 2007
84
3
Тебе дефинитивно ти треба некоја алатка за чистење на регистрите. Се кладам дека 70% од записите во регистарот се веке неважечки!
Губиш :p
Го користам „TuneUp Utilities 2007“ за чистење на регистрите и „junk“ фајловите.

Инаку, споредувајки ги моите логови со логовите на типци низ форуми и тоа што никаква инфомација не најдов од гугл ме наведе да ја збришам линија „fcccyYrO - C:\WINDOWS\“ (направив бекап нормално, и повторно го овозможив „restore“) Гледам дека се си работи ок, па очигледно сум во право.

Како и да е, фала за помошта.
 
  • Ја почнал/а темата
  • #10

ZzzzZzzz

Intern
30 мај 2007
84
3
Тогаш не ја исклучувај можноста, компјутерот да ти е спор поради премногу инсталирани порграми!
Нормално. Ок, сега е се во ред. Ако некој има проблем со чистење на Virtumonde.dll нека пише :spienje:
 

fuUuUzZzZy

On your way to fame
14 декември 2007
4,842
885
Ohrid
Би било пожелно постапката да ја напишеш на оваа тема затоа што и главниот проблем беше поврзан со Virtumonde.dll.
Истото може да му послужи и на некој друг..
 

taranenik

Intern
12 јуни 2007
555
13
Virtumonde aslo known as : WinFixer / Vundo / Msevents / Trojan.vundo. /winfix.

Virtumonde is part of the Vundo family and causes your computer to slow down severly. Common issues that arrise are pop-ups, high jacked home page, false virus alerts and it monitors every web page you view. This malisous program comines trojan and adware/spyware characteristics. Vundo is wide spread today and is probably one of the hardest programs to get rid of. Once installed, Vundo downloads programs or fake anti-virus or anti-spyware utilities. Lately, Vundo has been advertising several rogue programs called WinFixer2005, WinAntiVirus Pro 2006, WinAntiSpyware and RazeSpyware, SysProtect and winfixer.

PLus...
http://www.microsoft.com/security/portal/Entry.aspx?name=Win32/Virtumonde

Plus...Najdi vundofix na google i scan naprai iscisti.
 
  • Ја почнал/а темата
  • #13

ZzzzZzzz

Intern
30 мај 2007
84
3
За сите оние кои разбираат доволно англиски (и доколку не се коси со правилата на форумот) би ги препратил кон SpyBot Forum
За сите други...

Вака се решава проблемот:

0. Не ги пробувајте следните чекори доколку незнаете што точно правите. (освен нормално на „своју вољу“ ако сте премногу љубопитни и спремни за формат:) ). Некои акции ќе бараат Администраторски привилегии па затоа треба да бидете таков корисник, или пак под виста да ги стартувате со „Run as Administrator“.

1.0 Оневозможете ги „Restore Points“, па откога ќе бидете сигурни дека немате малициозни програми во компјутерот- овозможете ги пак.

1.1 Инсталирајте го програмот „Malwarebytes' Anti-Malware“ на десктоп. Направете „Full scan“ и исчистете се што ќе најде дека е лошо.

2. Инсталирајте го програмот „Deckard's System Scanner (DSS)“ на десктоп. Скенирајте и ке ви даде резултат од скенирањето, меѓу кои највеќе работа завршува еден дел кој почнува вака „Files created between 2008-05-09 and 2008-06-09“ (во зависност од датата нели), меѓу наведените фајлови во тој дел ќе има и чудни фајлови кој ќе ги најдете на гугл како малициозни или воопшто нема да даде никаков резултат (најверојатно рандом име се креира). Кај мене ги имаше следните: AbLSDcfe.ini2, CcLmlnnn.ini2, hOnWxGgh.ini2 и hiiilnmp.ini2. Сите сместени во системскиот фолдер- Sistem32.

3. Инсталирајте го програмот „OTMoveIt2 by OldTimer“ на десктоп. Кога ќе предложи инсталирање на HiJackThis- прифатете. Стартувајте ја „OTMoveIt2 by OldTimer“. Сега, сите оние сомнителни фалјови што ги најдовте под точка 2) „пастирајте“ ги (цел пат до фајлот пр. „C:\ProgramFiles\Sistem32\Trojan.dll“) во ... хммм... долното лево квадратче и стиснете „Move it!“. Овој програм ги брише лошите фалјови во стилот „Нема не“ па ако му е потребно рестарт, рестартирајте. Повторете го чекор 2) да видите дали се што треба е исчистено.

4. Најверојатно веќе го инсталиравте HiJackThis. Направете со него „do a system scan only“ и исчистете ги оние линии на кои не им е местото тука(Според лично искуство, знаење или побарајте помош од некој). Би требало да се кријат под „O2: ....“ т.е. „Browser Helper object“ и да имаат во името „no name“, „no file“ или и двете. Проверете ги сите линии!

5. Исчистете го Resicle bin, и со некоја од програмите Ace Utillities, Tune up utilities или сл. исчистете ги „junk“ фајловите. Направете онлајн скенирање со Kaspersky. Би требало да не најде ништо - т.е. да сте го решиле проблемот.:bravo:
 

Нови мислења

Последни Теми

Статистика

Теми
43,580
Мислења
823,896
Членови
28,079
Најнов член
ivannalex
На врв Дно