Ahaaa, pojavio se kosac, prelistava ćetapku. 



Dušanova pesma. 

Ponudih joj prsten, i srce svoje,
pojavi se Harmon, i stade medj' nas dvoje.
S njim bih se nekako, uz muke i snaš'o,
al' vidi kosača, odakle je  izaš'o.
Blokče lista, i ništa ne kaže,
a oko njega grobovi, freš stanara traže.
Eh tugo moja, baš si pregolema,
kad' nad glavom kosa stoji, tu izbora nema.


 

moj dlan je na odmoru...

Ljudi vi se zezate a devojka je pored svega i lavica 
moj omiljeni horoskopski znak
Inače na kraju se sve manje više povratilo jedino nemam
folder option u my computer\tools,ali sam obrisao files
iz TC.U KillBox ne mogu da ubacim fajlove tj. mogu ali
posle poruke o rebootu i odbrojavanja dobijrm sledeće
obaveštenje "pending file rename operations registry
data has been removed by external process"
HJT

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\SafeSignCertReg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Program Files\sentryPM\TokenManager\spmTMcertManager.exe
C:\Program Files\sentryPM\TokenManager\spmTMStatusMonitor.exe
C:\Program Files\sentryPM\TokenManager\spmTMSvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\BizniSOFT\DataBase\bin\mysqld-nt.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\PROGRA~1\TRISNA~1\SSI\SYSENF~1.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Canon LBP-810 Status Window.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: Certificate Manager.lnk = C:\Program Files\sentryPM\TokenManager\spmTMcertManager.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BizniSOFT - Unknown owner - C:\Program.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SysEnforce - Unknown owner - C:\PROGRA~1\TRISNA~1\SSI\SYSENF~1.EXE

ne zezam se ovo za tooken je vec bilo pa ti nju sacekaj da pogleda log i jos nesto ispravi...

O4 - Global Startup: Certificate Manager.lnk = C:\Program Files\sentryPM\TokenManager\spmTMcertManager.exe
ovu liniju nisam izbrisao pošto mi treba za program koji vrši elektronsko plaćanje

Odgovoricu za 10 minuta izmenivsi ovaj post, samo da nesto proverim za folder options.

to je ili vrsta mreze ili neceg poput posebnog protokola ali sta znam sad...

 Mozes li da pristupis Folder OPtions-u iz COntrol panela? Control panel/folder options? Ili preko start/run/pa kucas control folders  ?

1. Udji u safe mode
Pokreni anti-virus, skeniraj, brisi ako nesto nadje.
Pokreni spybot S&D, skeniraj, brisi ako nesto nadje.
Restart
Podigni win normalno
Pokreni registry repair, kad zavrsi onda ovo:

2.  start/ run, kucaj gpedit.msc
Klikni na user configration ,pa dalje Administrative templates ->Windows components -> Windows Explorer ,pronadji "REmove the folder options menu from tools options", desni klik properties, ili klikni dva puta na njega, izaberi disable, apply,ok.
Ako nece tako onda ovako:

3. Start/run, kucaj regedit
Navedi do: HKEY_CURRENT_USER\Software\Microsoft\Windows\Policies\Explorer pa vidi u desnom panelu ima li unosa tipa: "disable cmd" ili "disable Folder Options" sa vrednoscu value=1. Ako ima daj mu vrednost value=0
Ako ne postoji ovakav unos, potrazi sledeci:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\showall

U desnom panelu potrazi unos : CheckedValue
Ukoliko je tip ovog unosa REG_SZ , a data mu je 2 (0x00000002) , obrisi ga.
Kreiraj novu DWORD vrednost i daj joj ime CheckedValue kao i prethodnoj. Desni klik bilo gde na prazno mesto u desnom panelu\new\DWORD value i daj joj vrednost 1 (0x00000001) tj, kad kliknes 2x na novoformirani unos pisace ti "value data" i tu uneses 1 (ili 0x00000001).

Ajd javi kako je bilo.

Ps  log je inace cist. Ne znam zasto killbox pravi problem, to ne bi trebalo da se desava. Ali bitno je da nema vise trojanaca. Ako se ponovi bilo kakav isti ili slican problem, kaci novi log, mada mislim da smo ih ubili. A ovo za folder option odradi sve redom kako ti je napisano.

Hteo sam da vam se zahvalim na informacijama koje ste mi dali!
Hvala vam puno sam naucio!

Nismo imali vremena za objasnjavanje, ali na internetu imas odlicna objasnjenja o analizi HJT loga, konkretno koji deo loga sta predstavlja. Procedura je da kada neko ima problem, tada pokrene HJT sa linka koji je sadrzan u default odgovoru PC Klinike, skenira racunar i sacuva tekstualni log, a zatim ga okaci ovde nama da ga pregledamo. Sluzi da utvrdi startup i pozadinske procese i po oznakama koje predstavljaju odgovarajuci tip procesa ili protokola ukaze da li postoji nesto cemu tu nije mesto ili na neki nacin opterecuje sistem. Sve o procesima HJT loga mozes zaista naci na internetu i posto je prica preobimna, to ce ti biti najjednostavniji nacin da o njima i naucis.