Re: Agent.Teo trojan
Sve obavljeno i racunalo radi odlicno 
fala velika
Agent.Teo trojan
ej prijatelji vidim uspjeli ste rijesiti problem kod tomedaja...moze li sad neko meni pomoci?
uspio sam zakaciti virus win32\sirefey.DA trojan i to mi pokazuje mi da je inficiran sljedeci fajl c:/windows/system32/drivers/csc.sys ....pokusao sam sa onim malware programima i uspio sam ga navodno obrisati iz karantene sto prije nije moglo ...koristim nod 32 antivirus i sad je bas kao sto je bilo kod tomedaja ne moze se ukljuciti ona web opcija stalno je iskljucena...nadam se da sam objasnio kako treba posto se bas i ne razumijem u informaticke probleme....unaprijed hvala
13 godina
neaktivan
offline
Agent.Teo trojan
Javi se forumašu @total na privatnu poruku pa zatraži pomoć.
Stisni Hvala ili Palac gore ako sam pomogao.
Re: Agent.Teo trojan
evo posalo sam pp pa vidjecemo sta ce on reci... hvala
17 godina
neaktivan
offline
Re: Agent.Teo trojan
Styx kaže...
evo posalo sam pp pa vidjecemo sta ce on reci... hvala
pokreni OTS i roguekiller, upustva možeš pronaći na ovom linku, jedina je razlika što ćeš ovo kopirati u prazno polje
netsvcs
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%USERPROFILE%\..|smtmp;true;true;true /FP
%PROGRAMFILES%\*.*
%APPDATA%\*.
%APPDATA%\*.exe /s
%APPDATA%\*.dll /s
/md5start
WSHELPER.*
services.exe
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
/md5stop
C:\Windows\installer\*.* /s
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /rs
logove OTS.txt i roguekiller.txt uploadaj na speedyshare, a linkove koje dobiješ zaljepi na ovu temu
Re: Agent.Teo trojan
17 godina
neaktivan
offline
Agent.Teo trojan
vidim da si pokrećao combofix, možeš li mi kopirati combofix log da pogledam ?
log se nalazi u C:/combofix.txt
17 godina
neaktivan
offline
Re: Agent.Teo trojan
Styx kaže...
otvori OTS i ovo kopiraj u prazno polje
[Kill All Processes]
[Unregister Dlls]
[Win32 Services - Safe List]
YN -> (HitmanPro36CrusaderBoot) HitmanPro 3.6 Crusader (Boot) [Auto | Stopped] ->
[Registry - Safe List]
< Internet Explorer Settings [HKEY_LOCAL_MACHINE\] > ->
YN -> HKEY_LOCAL_MACHINE\: Search\\"SearchAssistant" -> http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=7e6b0d230000000000001c659dc2fdc4&tlver=1.4.19.19&ss=1&affID=17981
< Internet Explorer Settings [HKEY_CURRENT_USER\] > ->
YN -> HKEY_CURRENT_USER\: Main\\"Start Page" -> http://search.babylon.com/?AF=100479&babsrc=HP_ss&mntrId=7e6b0d230000000000001c659dc2fdc4
YN -> HKEY_CURRENT_USER\: Main\\"Start Page Redirect Cache_TIMESTAMP" -> 9D 10 D4 B4 36 DE CB 01 [binary data]
< FireFox Settings [Prefs.js] > -> C:\Users\PC\AppData\Roaming\Mozilla\FireFox\Profiles\el7zylip.default\prefs.js
YN -> extensions.enabledItems -> engine@conduit.com:3.3.3.2
YN -> extensions.enabledItems -> ffxtlbr@babylon.com:1.1.3
< FireFox SearchPlugins [User Folders] > ->
YY -> conduit.xml -> C:\Users\PC\AppData\Roaming\Mozilla\FireFox\Profiles\el7zylip.default\searchplugins\conduit.xml
< HOSTS File > ([2012.07.21 13:58:30 | 000,000,808 | ---- | M] - 22 lines) -> C:\Windows\System32\drivers\etc\hosts
YN -> Reset Hosts ->
< BHO's [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
YY -> {D4027C7F-154A-4066-A1AD-4243D8127440} [HKLM] -> C:\Program Files\Ask.com\GenericAskToolbar.dll [Ask Toolbar]
< Internet Explorer ToolBars [HKEY_CURRENT_USER\] > -> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\
YN -> WebBrowser\\"{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}" [HKLM] -> Reg Error: Key error. [Reg Error: Key error.]
YY -> WebBrowser\\"{D4027C7F-154A-4066-A1AD-4243D8127440}" [HKLM] -> C:\Program Files\Ask.com\GenericAskToolbar.dll [Ask Toolbar]
< Internet Explorer Menu Extensions [HKEY_CURRENT_USER\] > -> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\
YN -> Free YouTube to MP3 Converter -> [C:\Users\PC\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm]
< SSODL [HKEY_LOCAL_MACHINE] > -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
YN -> "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" [HKLM] -> Reg Error: Key error. [WebCheck]
[Registry - Additional Scans - Safe List]
< SafeBoot-Minimal Settings > -> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
YN -> SirefefRemover -> Reg Error: Value error.
[Files/Folders - Created Within 30 Days]
NY -> 9 C:\Users\PC\Desktop\*.tmp files -> C:\Users\PC\Desktop\*.tmp
NY -> 3 C:\Windows\*.tmp files -> C:\Windows\*.tmp
NY -> 16 C:\Users\PC\Documents\*.tmp files -> C:\Users\PC\Documents\*.tmp
[Files/Folders - Modified Within 30 Days]
NY -> 9 C:\Users\PC\Desktop\*.tmp files -> C:\Users\PC\Desktop\*.tmp
NY -> 3 C:\Windows\*.tmp files -> C:\Windows\*.tmp
NY -> 16 C:\Users\PC\Documents\*.tmp files -> C:\Users\PC\Documents\*.tmp
[Custom Scans]
YY -> Babylon -> C:\ProgramData\Application Data\Babylon
YY -> Trymedia -> C:\ProgramData\Application Data\Trymedia
NY -> splashscreen.dll -> C:\ProgramData\Application Data\Application Data\Application Data\Adobe\CS5\jre\bin\splashscreen.dll
NY -> ssv.dll -> C:\ProgramData\Application Data\Application Data\Application Data\Adobe\CS5\jre\bin\ssv.dll
NY -> sunmscapi.dll -> C:\ProgramData\Application Data\Application Data\Application Data\Adobe\CS5\jre\bin\sunmscapi.dll
[Alternate Data Streams]
NY -> @Alternate Data Stream - 114 bytes -> C:\ProgramData\Application Data\Temp:F6C0CA66
NY -> @Alternate Data Stream - 114 bytes -> C:\ProgramData\Temp:F6C0CA66
[Purity]
[Empty Temp Folders]
[EmptyFlash]
[EmptyJava]
[Reboot]
klik na RUN FIX
-log koji dobiješ uploadaj na speedyshare
2.skini aswMBR i spremi na desktop
-klik na scan, kad završi scan klik na save log
-log ćeš isto tako uploadati
3.izbriši combofix.exe (povuci je s mišem u smeće, skininovu kopiju i spremi je na desktop
-isključi antivirus
-pokreni combofix i na sve što traži odgovori potvrdno
-log koji dobijš kopiraj
Re: Agent.Teo trojan
http://speedy.sh/ufPnZ/ots2.txt
http://speedy.sh/Ztn68/aswMBR.txt
e a sto se tice tog combofixa pokretao sam ga danas nekad a i maloprije al nema nikakvog loga...nit je zavrsilo sa radom nakon 40 minuta a ustvari ne znam ni je li pocelo bilo sta raditi, samo mi otvori prozorcic i pise kao moze potrajati oko 10 minuta a mozda i vise u zavisnoti od zarazenosti il tako nesto a nista se ne pomjera nit vidim da sta radi..evo sad sam skinuo novi combofix pa cu pokusati njega pokrenuti
17 godina
neaktivan
offline
Re: Agent.Teo trojan
Styx kaže...
http://speedy.sh/ufPnZ/ots2.txt
http://speedy.sh/Ztn68/aswMBR.txt
e a sto se tice tog combofixa pokretao sam ga danas nekad a i maloprije al nema nikakvog loga...nit je zavrsilo sa radom nakon 40 minuta a ustvari ne znam ni je li pocelo bilo sta raditi, samo mi otvori prozorcic i pise kao moze potrajati oko 10 minuta a mozda i vise u zavisnoti od zarazenosti il tako nesto a nista se ne pomjera nit vidim da sta radi..evo sad sam skinuo novi combofix pa cu pokusati njega pokrenuti
skini tdsskiller i spremi na desktop
-pokreni program i ak zatraži restart dozvoli
-log se obično nalazi u C:/ i izhleda otprilike ovako
C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
skini farbar service scaner i spremi na desktop
-sve označi i klik na scan
-log kopiraj
aswMBR ne pokazuje znakove infekcije (osim jednog locked , anjega ćemo provjeriti s tdsskillerom)
17 godina
neaktivan
offline
Re: Agent.Teo trojan
Styx kaže...
http://speedy.sh/NV9x3/mpssvc.rar
skini ovaj file i raspakiraj ga na desktop
desni klik mišem na mpssvc.reg i klik na merge
-restart
ponovo pokreni FSS i log kopiraj
Re: Agent.Teo trojan
Poruka je uređivana zadnji put ned 22.7.2012 21:06 (Styx).
17 godina
neaktivan
offline
Re: Agent.Teo trojan
Styx kaže...
skini sharedaccess.reg i raspakiraj na desktop
-desni klik mišem na .reg i klik na merge
-restrat
nakon restarta skini windows repair tool ,
-pokreni program , klik na startup repairs
-ovo označi
Reset registry permissions
Repair WMI
Repair Windows Firewall.
Remove Policies Set By Infections
Repair Winsock & DNS Cache
Repair hosts
označi restart system when finished
klik na start
nakon ovog javi kako je
Re: Agent.Teo trojan
ne moze to merge sto pominjes...pise error accessing registry
17 godina
neaktivan
offline
Re: Agent.Teo trojan
Styx kaže...
ne moze to merge sto pominjes...pise error accessing registry
pokreni onda onaj repair
nakon repaira još ćemo nešto provjeriti
skini system look i spremi na desktop
otvori program i ovo kopiraj u prazno polje
:filefind
csc.sys
klik na look
log kopiraj
isto tako ćeš uraditi novi FSS
Re: Agent.Teo trojan
http://speedy.sh/hbg86/SystemLook.txt
http://speedy.sh/WGjqm/FSS3.txt
ej prijatelju ostavio sam preko noci da onaj combofix radi i nije nikakav log ostao... e nod radi kako treba ukljucile su mu se sve opcije i onaj firewall se ukljucio juce me pitao da li zelim da dopustim skayp da se pokrene...ono sto sam primjetio kao problem je sljedece: prilikom pokretanja sistema izbaci mi poruku the recycle bin on c:/ is corrupted. Do you want do empty recycle bin for this drive i jos malo veci problem od toga jeste nesto mi trosi RAM memoriju...kad je sve pozatvarano znaci kad nista ne radim na racunaru trosi mi 40% ram memorije (od 2Gb)
Poruka je uređivana zadnji put pon 23.7.2012 7:22 (Styx).
17 godina
neaktivan
offline
Re: Agent.Teo trojan
Styx kaže...
http://speedy.sh/hbg86/SystemLook.txt
http://speedy.sh/WGjqm/FSS3.txt
ej prijatelju ostavio sam preko noci da onaj combofix radi i nije nikakav log ostao... e nod radi kako treba ukljucile su mu se sve opcije i onaj firewall se ukljucio juce me pitao da li zelim da dopustim skayp da se pokrene...ono sto sam primjetio kao problem je sljedece: prilikom pokretanja sistema izbaci mi poruku the recycle bin on c:/ is corrupted. Do you want do empty recycle bin for this drive i jos malo veci problem od toga jeste nesto mi trosi RAM memoriju...kad je sve pozatvarano znaci kad nista ne radim na racunaru trosi mi 40% ram memorije (od 2Gb)
možeš izbrisati sve alate koje smo koristili
otvori OTS i klik na Clean Up
nakon toga
1.sini OTL i spremi na desktop
-otvori program i ovo kopiraj u prazno polje
:files
C:\Windows\System32\drivers\csc.sys|C:\Windows\winsxs\x86_microsoft-windows-offlinefiles-core_31bf3856ad364e35_6.1.7600.16385_none_9e1e9f0abd3adf87\csc.sys /replace
rd /s /q C:\$Recycle.bin
echo y|chkdsk c: /f /c
:Commands
[purity]
[resethosts]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]
klik na RUN FIX
-log koji dobiješ kopiraj
nakn ovog koraka bi trealo biti sve ok
javi kako sad računalo radi
Poruka je uređivana zadnji put pon 23.7.2012 13:19 (total).
Re: Agent.Teo trojan
me cini se kao da dobro radi ali jos uvijek pokazuje iskoristenost rama preko 50%
17 godina
neaktivan
offline
Re: Agent.Teo trojan
Styx kaže...
me cini se kao da dobro radi ali jos uvijek pokazuje iskoristenost rama preko 50%
dakle, sad je samo problem u velikoj potrošnji RAM-a ?
o kojem se procesu radi ?
otvori OTL i klik na quick scan, ne trebaš ništa dodatno kopirati...
kad OTL završi izbacit će dva loga OTL.txt i Extras.txt
kopiraj te logove, vidit ćemo možda extras.txt ukaže na problem
Re: Agent.Teo trojan
e da znam o kojem je rijec vrlo bih ti rado rekao...evo ako ti moze ovo sta pomoci dok otl zavrsi
http://speedy.sh/Rpz4g/Doc1.doc
evo i ova dva
http://speedy.sh/9Cskh/OTL.Txt
Poruka je uređivana zadnji put pon 23.7.2012 20:32 (Styx).
17 godina
neaktivan
offline
Re: Agent.Teo trojan
Styx kaže...
e da znam o kojem je rijec vrlo bih ti rado rekao...evo ako ti moze ovo sta pomoci dok otl zavrsi
http://speedy.sh/Rpz4g/Doc1.doc
evo i ova dva
http://speedy.sh/9Cskh/OTL.Txt
izbriši
Hitman Pro 3.5
SpyHunter
hitman pro ti radi sigrno probleme
Error - 23.7.2012 13:11:02 | Computer Name = PC-PC | Source = Service Control Manager | ID = 7000
Description = The HitmanPro 3.6 Crusader (Boot) service failed to start due to the
following error: %%2
ubrzo se javim s OTL skriptom
Agent.Teo trojan
spyhunter jue obrisan ne znam gdje si njega vidio a evo i ovog sam sad al je jos uvijek ram zauzet
17 godina
neaktivan
offline
Re: Agent.Teo trojan
Styx kaže...
spyhunter jue obrisan ne znam gdje si njega vidio a evo i ovog sam sad al je jos uvijek ram zauzet
pogledaj i dr.web, a i spyboot search and destroy, imaš previše zaštitnih programa, sigurno je i to jedan od razloga velike potrošnje
desni klik mišem na ikonicu OTL >odaberi run as administrator
kad se otvori OTL, ovo kopiraj u prazno polje
:services
esgiguard
dwshd
:OTL
SRV - File not found [Auto | Stopped] -- C:\Users\PC\Downloads\HitmanPro36.exe /crusader:boot -- (HitmanPro36CrusaderBoot) HitmanPro 3.6 Crusader (Boot)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
DRV - File not found [Kernel | Disabled | Unknown] -- C:\Windows\System32\drivers\dwshd.sys -- (dwshd)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (.csc)
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1066435
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100479&babsrc=SP_ss&mntrId=7e6b0d230000000000001c659dc2fdc4
IE - HKCU\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=7e6b0d230000000000001c659dc2fdc4&tlver=1.4.19.19&ss=1&affID=17981
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1066435
[2012.07.22 01:08:38 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hitman Pro 3.5
[2012.07.22 01:08:37 | 000,000,000 | ---D | C] -- C:\Program Files\Hitman Pro 3.5
[2012.07.22 01:08:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Hitman Pro
[2012.07.22 01:03:29 | 000,012,872 | ---- | C] (SurfRight B.V.) -- C:\Windows\System32\bootdelete.exe
[2012.07.22 00:41:30 | 000,000,000 | ---D | C] -- C:\ProgramData\HitmanPro
[2012.07.21 13:22:39 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[2012.07.21 02:22:13 | 000,000,000 | ---D | C] -- C:\Users\PC\Doctor Web
[2012.07.21 01:51:32 | 000,000,000 | ---D | C] -- C:\Users\PC\AppData\Roaming\QuickScan
[2012.07.21 01:46:28 | 000,000,000 | ---D | C] -- C:\ProgramData\SecTaskMan
[2012.07.22 01:09:54 | 000,023,624 | ---- | M] () -- C:\Windows\System32\drivers\hitmanpro35.sys
[2012.07.22 01:08:38 | 000,001,906 | ---- | M] () -- C:\Users\Public\Desktop\Hitman Pro 3.5.lnk
[2012.07.22 01:03:29 | 000,012,872 | ---- | M] (SurfRight B.V.) -- C:\Windows\System32\bootdelete.exe
[2012.07.22 01:03:29 | 000,002,142 | ---- | M] () -- C:\Windows\System32\.crusader
[2012.07.22 00:18:05 | 000,000,012 | ---- | M] () -- C:\spyhunter.fix
[2012.07.21 10:42:20 | 000,000,000 | ---D | M] -- C:\Users\PC\AppData\Roaming\QuickScan
[C:\Windows\$NtUninstallKB48814$] -> -> Unknown point type
:files
rmdir C:\Windows\$NtUninstallKB48814$ /c
C:\Windows\$NtUninstallKB48814$
:Commands
[purity]
[Reboot]
klik na RUN FIX
-log koji dobiješ kopiraj
Re: Agent.Teo trojan
17 godina
neaktivan
offline
Re: Agent.Teo trojan
Poruka je uređivana zadnji put pon 23.7.2012 22:06 (total).
Re: Agent.Teo trojan
evo prijatelju combofix je konacno proradio ...izbacivalo je da je neki rootkit.zeroacces u pitanju ako sam dobro napisao i da se "uvukao" negdje u tcp/ip nesto...stvarno nisam zapamtio
http://speedy.sh/j8zUM/combofix.txt
ovo je od spybod search and destroy ako ti sta znaci...i on je nasao 57 cini mi se nekih zarazenih stvarcica
http://speedy.sh/2Bksa/Scan-Results.2012-07-24-00-25-59.txt
Racunar tj laptop je za neprepoznati....puno ti hvala na izdvojenom vremenu i strpljenju da rijesis problem ...nadam se da te nisam previse namucio...puno pozdrava ode sad spavati pokasno je :=)
17 godina
neaktivan
offline
Agent.Teo trojan
možeš izbrisati sve alate koje smo koristili
otvori OTL i klik na Clean Up
ako što i ostan , samo s mišem povuci u smeće