פורסם 2005 באוקטובר 3020 שנים שלום לכם!מאז שהפעלתי קובץ (לא חוקי :-\) נכנסו למחשב שלי Spyware שמסרב להיעלם.. ניסיתי עם Spybot ו-Ad-Aware (Pro) מעודכנים וכן סריקה מלאה עם Norton AV 2006 ו-Kaspersky מעודכן ומצאתי המון דברים "זדוניים" אך ה-Spyware עדין קיים..יש לציין שכל שתי דקות קופץ חלון שכזה והדבר מתרחש רק כאשר יש חיבור לרשת..כאשר קופץ חלון פרסומת שכזה הכתובת המופיעה בשורת הכתובת היא: http://www.ad-w-a-r-e.com/cgi-bin/PopupV3?ID={126D47B3-EC8B-821C-D403-D2125518184C}&type=normal&mSkip=1&rnd=29001חיפשתי ברשת את המחרוזת ad-w-a-r-e.com ומצאתי רק כלי לתוכנה Ad-Aware שנקרא V2X cleaner שתחילה מצא את החיידק במחשב אבל אחרי סריקה עם התוכנה הכלי טוען שהמחשב נקי.. (ממש..)כמו כן נאמר שהמחרוזת בתוך הסוגריים המסולסלים הוא מפתח ב-Registery של ה-Windows XP שמכיל מיקום של קובץ DLL שאותו יש למחוק ואז הבעיה תיפתר.. לא מצאתי שום מיקום של קובץ בתוך המפתח הזה ב-Registery (ומחקתי את המפתח הזה).אני מצרף תמונה הממחישה מה מעולל ה-Spyware הזה. שימו לב לסמל של ה-Tab (משבצות שחורות-לבנות) שמאפיין את הפירסום הזה..מקווה שמישהו מכיר את הבעיה ויוכל לסייע כי אי אפשר לעבוד על המחשב ככה - משחקים ממוזערים כתוצאה מקפיצת הפרסומת, כשגולשים ברשת החלון קופץ והופך לחלון האקטיבי ועוד..תודה מראש.[attachment deleted by admin]
פורסם 2005 באוקטובר 3020 שנים פחות או יותר מיצית את כל האפשרויות , דבר אחד לא ציינת אם עשית , הרבה פעמים המניאקים האלה מופעים ב- Control Panel ב- Add Remove Program תראה אם אתה רואה שם משהו חשוד, אם כן אל תנסה לעשות הסרה כי זה יכול להחמיר, אבל השם שכתוב שם יכול לתת לך כיוון ראשוני מה לחפש באינטרנט כנגד זה.ניסית את ה- Ad Ware של Lavasoft ? , לפעמים צריך להתקיף אותם עם כל התותחים , וזה אומר להריץ כמה מיירטי רוגלותתנסה גם את זה של מייקרוסופט, Kaspersky הוא מצויין ועזר לי בעבר בקטעים האלה, תוודא שה- Database שלו מעודכן,תווודא שאתה מוריד את כל העדכונים ממייקרוסופט
פורסם 2005 באוקטובר 3120 שנים מחבר תודה חברים.Ewido תוכנה מצויינת שמצאה הרבה קבצים זדוניים (הרצתי גם את הסריקה החכמה וגם את המלאה) ועושה רושם שהיא עלתה על הטרויאני הקטן אך היא שינתה קובץ מערכת (כמו ש-Pest Patrol עשתה לי) והמערכת קרסה אז ה-scan disk פעל ושיחזר מה שצריך וכעת הפרסומות עדין קופצות (לא יודע אם זה קשור לשחזור).דרך HijackThis מצאתי כמה קבצים בעייתיים אבל אופציית ה-"Fix Checked" לא עשתה מאומה והקבצים הופיעו שוב לאחר סריקה חוזרת..הנה הדוח, מקווה להיפטר מהמזיק בעזרתכם:אלו השורות הבעיתיות:O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\p4n8le5u1h.dllO4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exeLogfile of HijackThis v1.99.1Scan saved at 19:35:36, on 31/10/2005Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\TGTSoft\StyleXP\StyleXPService.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\CTSvcCDA.EXEC:\Program Files\ewido\security suite\ewidoctrl.exeC:\Program Files\ewido\security suite\ewidoguard.exeC:\WINDOWS\System32\inetsrv\inetinfo.exeC:\Program Files\CursorXP\CursorXP.exeC:\WINDOWS\system32\RUNDLL32.EXEC:\WINDOWS\system32\ctfmon.exeC:\Program Files\MSN Messenger\msnmsgr.exeC:\Program Files\TGTSoft\StyleXP\StyleXP.exeC:\WINDOWS\System32\NMSSvc.exeC:\WINDOWS\System32\nvsvc32.exeC:\Program Files\GIGABYTE\Gigabyte Windows Utility Manager\gwum.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\MsPMSPSv.exeC:\Program Files\Silicon Image\SiISATARaid\SATARaid.exeC:\WINDOWS\system32\rundll32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\ICQLite\ICQLite.exeC:\Program Files\ewido\security suite\securitysuite.exeC:\Program Files\HijackThis\HijackThis.exeC:\PROGRAM FILES\MAXTHON\MAXTHON.EXER1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://google.icq.com[/url]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.google.co.il/[/url]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blankR1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhostO3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\he-il\msntb.dllO3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exeO4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInitO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -HideO4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exeO4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -traybootO4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exeO4 - Global Startup: gwum.lnk = C:\Program Files\GIGABYTE\Gigabyte Windows Utility Manager\gwum.exeO4 - Global Startup: SATARaid.lnk = ?O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXEO4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exeO4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exeO8 - Extra context menu item: Convert &Hebrew (HEBTML) - C:\Program Files\HEBTMLIE\ie.htmO8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htmO9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exeO9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exeO9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk (file missing)O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk (file missing)O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra button: (no name) - {FF4D2994-6575-4F03-A5C6-6559C8793A06} - (no file)O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO16 - DPF: KANA IQ LiveA - [url]https://help1.bankleumi.co.il/EU/eu1.cab[/url]O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - [url]http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB[/url]O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [url]http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409[/url]O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - [url]http://download.ewido.net/ewidoOnlineScan.cab[/url]O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - [url]http://www.symantec.com/techsupp/asa/LSSupCtl.cab[/url]O16 - DPF: {21F49842-BFA9-11D2-A89C-00104B62BDDA} (ChartFX Internet Control) - [url]https://service.pelephone.co.il/WebPhone/jsp/Client/CfxIEAx.cab[/url]O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - [url]http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab[/url]O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - [url]http://www.xblock.com/download/xclean_micro.exe[/url]O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - [url]http://asafa.myphotoalbum.com/EasyUploadTool.cab[/url]O16 - DPF: {F59AB0C4-3443-4551-A78F-C101F9DE0215} (LauncherV1 Class) - [url]http://irc.tapuz.co.il/ChatTV/launcher.cab[/url]O17 - HKLM\System\CCS\Services\Tcpip\..\{9286A9FD-02EE-45A7-BF27-E6E203B5D4D5}: NameServer = 194.90.1.5,212.143.212.143O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\p4n8le5u1h.dllO23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXEO23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exeO23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exeO23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exeO23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exeO23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
פורסם 2005 באוקטובר 3120 שנים אוייייייייייייייייייי זה מעצבן..................................מי הבן אדם שעשה את הוירוס הזה...היה לי את אותו וירוס (HIJACKER? בדיוק כמו שהיה לך וניסיתי עם כל התוכנות האפשריות ולא הצלחתי להסיר אותו ואז בטעות בלי כוונה מחקתי קובץ מסויים מהמחשב בנסיונות האיתור ולכן כבר העדפתי לשחזר את המחשב שבוע אחורה דבר שפתר את הבעיה אבל עד עכשיו אני כל כך רוצה לדעת איך להסיר את הוירוס הזה.בכל אופן תנסה את CWS זאת תוכנה שבודקת HIJACKER דבר שדי קשור לוירוס שלך שבין השאר כל הזמן פותח את הדפדפן(אפילו את הפיירפוקס שלי) .....עריכה:בקששר לתוכנת HIJACKTHIS התוכנה הראתה לי לפי האתר שהכל SAFE ולא ראיתי משהו חשוד בזמן שהיה לי את הוירוס הזה.
פורסם 2005 באוקטובר 3120 שנים דרך HijackThis מצאתי כמה קבצים בעייתיים אבל אופציית ה-"Fix Checked" לא עשתה מאומה והקבצים הופיעו שוב לאחר סריקה חוזרת כי אתה ניסית להסיר את הקבצים במצב רגיל.תיכנס למצב בטוח(Safe Mode) ותסיר שם את כל מה שצריך(תראה מה צריך להסיר לפי האתר הזה)
ארכיון
דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.