Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Nesto jeste ali neznam sta je!!!!

[es] :: Zaštita :: Nesto jeste ali neznam sta je!!!!

[ Pregleda: 2214 | Odgovora: 9 ] > FB > Twit

Postavi temu Odgovori

Autor
Pretraga teme: Traži
Markiranje Štampanje RSS

dacarica
dalibor lukić
bg

Član broj: 14845
Poruke: 56
212.124.181.*



+8 Profil

icon Nesto jeste ali ne znam sta je!!!!10.01.2009. u 01:14 - pre 186 meseci
Pojavljuje mi se proces
expiorer.exe (malo i a ne veliko u nazivu) i nemogu da ga se ratosiljam, e sada nemogu da znamo koji je m*ku mu njegovu pa da ga iscackam, gledao sam na netu ali nemogu da nista nadjem pametno inace imam Mcafee AV i on ga samo registruje ne moze da ga ocisti....


Jel neko moze da pomogne..... Gledao sam sa Procexp i video sam jedan DLL koji je zajednicki i explorer.exe i expiorer.exe zove se haozs0.DLL
 
Odgovor na temu

magna86
Anti Malware Fighter

Član broj: 189287
Poruke: 557

Sajt: www.mycity.rs/Ambulanta


+16 Profil

icon Re: Nesto jeste ali ne znam sta je!!!!10.01.2009. u 06:40 - pre 186 meseci
Skini HiJackThis program:


Stavi ga u zaseban Folder na Desktop
Promeni naziv Foldera u ES2 i Programa u ES2.exe

* Pokreni HijackThis
* Izaberi opciju "Do a system scan and save the logfile"
* Na kraju skeniranja program ce izbaciti tekstualni log.
* taj log kopiraj ovde ( opcije copy / paste)
http://www.itfix.biz/images/Malware.JPG
 
Odgovor na temu

dacarica
dalibor lukić
bg

Član broj: 14845
Poruke: 56
212.124.181.*



+8 Profil

icon Re: Nesto jeste ali ne znam sta je!!!!10.01.2009. u 12:01 - pre 186 meseci
Eve ga....


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:54:15, on 10.1.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\expiorer.exe
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\dalukic\Desktop\HiJackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winamp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {9BDF4724-10AA-43D5-BD15-AEA0D2287303} (MSN Games – Texas Holdem Poker) - http://zone.msn.com/bingame/zpagames/zpa_txhe.cab79352.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFr.../v10/ZPAFramework.cab56649.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia....ockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = **.local
O17 - HKLM\Software\..\Telephony: DomainName = **.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = **.local
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\orant6i\BIN\ONRSD80.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7066 bytes
 
Odgovor na temu

kristi1

Član broj: 151211
Poruke: 2012
82.208.201.*

Sajt: www.mycity.rs/Ambulanta


+88 Profil

icon Re: Nesto jeste ali ne znam sta je!!!!10.01.2009. u 12:37 - pre 186 meseci
Privremeno iskljuci svoj AntiVirus program

Skini ComboFix sa jedne od sledecih adresa na Desktop:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

note: Ako vec imas ComboFix u kompjuteru,obrisi tu i skini noviju verziju sa datih linkova radi update-a


Startuj ga i ne diraj prozor programa dok skenira.
Sledi uputstva na ekranu.

Kada zavrsi,pojavice se log (C:\ComboFix.txt)

*postavi ComboFix logfile
*postavi svez HijackThis log
 
Odgovor na temu

dacarica
dalibor lukić
bg

Član broj: 14845
Poruke: 56
212.124.181.*



+8 Profil

icon Re: Nesto jeste ali ne znam sta je!!!!10.01.2009. u 13:29 - pre 186 meseci
Evo ovako stoje nekako stvari:


1. 'Expiorer.exe' jedini nije skriven i kada ga pokrenem otvara Notepad tako da mislim da on u sustini i nije stetan (kao sam proces).

2. sada dolazimo na pravu stvar : U Win XP SP3 tako reci mi je sistem, ne moze se uopste da potvrde opcije tools/folder options/View/Show hidden files and folders mislim moze sve to i applay i nista on vrati kao sto je i bilo isto tako i sistemske fajlove kada hocu da prikazem....

3. Kroz FAR manager udjem i ima sta da vidim: za svaku particiju diska ima kreirana tri fajla: autorun.inf, qoes.bat i wqsvxa.exe i svi su skriveni u root-u svake particije (a sada cu vam i reci kako sam ga zapatio uz pomoc USB-a od druga pa naravno autorun ukljucen (i ja da ispadnem glup....)autorun.inf koji je takodje bio skriven), a kao sto se vidi iz HJ-a u C:\Windows\System32\Wamsoft.exe takodje skriven..


Eto toje ono sto sam izcackao, a sta on radi pojma nemam u pozadini preko ProcMona nesto kreira po registriju, sada dali svaki put mutira *bem li ga....

na netu kazu i da je trojanac i da je rootkit izgleda da ni oni nisu nacisto...

Na kraju sam kontaktirao lika (naravno Indijac a ko bi drugi bio u supportu) , te rece da mu posaljem da proveri te fajlove pa ce da javi, ako ne laze....

Pas bio ko slago....

Toliko od mene, cucemo se ako sta uradim....
Hvala Kristi ali jednom sam tako cistio pa ocistio pola, a on se opet nakalemio....
 
Odgovor na temu

kristi1

Član broj: 151211
Poruke: 2012
82.208.201.*

Sajt: www.mycity.rs/Ambulanta


+88 Profil

icon Re: Nesto jeste ali ne znam sta je!!!!10.01.2009. u 13:45 - pre 186 meseci
Kako hoces imas tri fajla koja se vide u HJT i koja moras da uklonis

C:\WINDOWS\expiorer.exe
04- HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
O18 - Protocol: qcom - {B8DBD265-42C3-43E6-B439-E968C71984C6} - C:\Program Files\Common Files\Quest Shared\CodeXpert\qcom.dll
 
Odgovor na temu

dacarica
dalibor lukić
bg

Član broj: 14845
Poruke: 56
212.124.181.*



+8 Profil

icon Re: Nesto jeste ali ne znam sta je!!!!10.01.2009. u 13:52 - pre 186 meseci
Kristi taj poslednje qcom je od Quest comincator modul..... Taj process nije sigurno... ali za prva dva si upravu...
 
Odgovor na temu

dacarica
dalibor lukić
bg

Član broj: 14845
Poruke: 56
212.124.181.*



+8 Profil

icon Re: Nesto jeste ali ne znam sta je!!!!10.01.2009. u 13:53 - pre 186 meseci
nesto za Oracle code inspector....
 
Odgovor na temu

kristi1

Član broj: 151211
Poruke: 2012
82.208.201.*

Sajt: www.mycity.rs/Ambulanta


+88 Profil

icon Re: Nesto jeste ali ne znam sta je!!!!10.01.2009. u 15:37 - pre 186 meseci
http://www.prevx.com/filenamedays/012820083.html nalazi se na listi zlonamernjih programa qcom.dll

Sto se tice Oracle ako si na ovo mislio
O23 - Service: OracleClientCache80 - Unknown owner - C:\orant6i\BIN\ONRSD80.EXE
Legitiman http://www.systemlookup.com/li...arch-ff&search=ONRSD80.EXE
 
Odgovor na temu

dacarica
dalibor lukić
bg

Član broj: 14845
Poruke: 56
212.124.181.*



+8 Profil

icon Re: Nesto jeste ali ne znam sta je!!!!22.01.2009. u 14:06 - pre 185 meseci
Evo konacno sam resio problem tako sto sam instalirao NAV 2009 i sve je proslo kako treba. McFee sam morao da deinstaliram jer mu je virus zafrkao neke parametre pa se nije mogao azurirati sa novim definicijama niti live niti preko super DAT-a.

Hvala svima vama (magna86, kristi1) koji ste mi malcice koliko toliko pripomogli u razumevanju problema....
 
Odgovor na temu

[es] :: Zaštita :: Nesto jeste ali neznam sta je!!!!

[ Pregleda: 2214 | Odgovora: 9 ] > FB > Twit

Postavi temu Odgovori

Srodne teme
Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.