Spyware (חלונות קופצים) שלא רוצה להיפרד מהמחשב..

[SuB]

שלום לכם!

מאז שהפעלתי קובץ (לא חוקי :-\) נכנסו למחשב שלי Spyware שמסרב להיעלם.. ניסיתי עם Spybot ו-Ad-Aware (Pro) מעודכנים וכן סריקה מלאה עם Norton AV 2006 ו-Kaspersky מעודכן ומצאתי המון דברים "זדוניים" אך ה-Spyware עדין קיים..

יש לציין שכל שתי דקות קופץ חלון שכזה והדבר מתרחש רק כאשר יש חיבור לרשת..

כאשר קופץ חלון פרסומת שכזה הכתובת המופיעה בשורת הכתובת היא:

 http://www.ad-w-a-r-e.com/cgi-bin/PopupV3?ID={126D47B3-EC8B-821C-D403-D2125518184C}&type=normal&mSkip=1&rnd=29001

חיפשתי ברשת את המחרוזת ad-w-a-r-e.com ומצאתי רק כלי לתוכנה Ad-Aware שנקרא V2X cleaner שתחילה מצא את החיידק במחשב אבל אחרי סריקה עם התוכנה הכלי טוען שהמחשב נקי.. (ממש..)

כמו כן נאמר שהמחרוזת בתוך הסוגריים המסולסלים הוא מפתח ב-Registery של ה-Windows XP שמכיל מיקום של קובץ DLL שאותו יש למחוק ואז הבעיה תיפתר.. לא מצאתי שום מיקום של קובץ בתוך המפתח הזה ב-Registery (ומחקתי את המפתח הזה).

אני מצרף תמונה הממחישה מה מעולל ה-Spyware הזה. שימו לב לסמל של ה-Tab (משבצות שחורות-לבנות) שמאפיין את הפירסום הזה..

מקווה שמישהו מכיר את הבעיה ויוכל לסייע כי אי אפשר לעבוד על המחשב ככה - משחקים ממוזערים כתוצאה מקפיצת הפרסומת, כשגולשים ברשת החלון קופץ והופך לחלון האקטיבי ועוד..

תודה מראש.

[attachment deleted by admin]

[NJorl]

פחות או יותר מיצית את כל האפשרויות , דבר אחד לא ציינת אם עשית , הרבה פעמים המניאקים האלה מופעים ב- Control Panel ב- Add Remove Program תראה אם אתה רואה שם משהו חשוד, אם כן אל תנסה לעשות הסרה כי זה יכול להחמיר, אבל השם שכתוב שם יכול לתת לך כיוון ראשוני מה לחפש באינטרנט כנגד זה.

ניסית את ה- Ad Ware של Lavasoft ? ,

לפעמים צריך להתקיף אותם עם כל התותחים , וזה אומר להריץ כמה מיירטי רוגלות

תנסה גם את זה של מייקרוסופט,

Kaspersky הוא מצויין ועזר לי בעבר בקטעים האלה, תוודא שה- Database שלו מעודכן,

תווודא שאתה מוריד את כל העדכונים ממייקרוסופט

[AVL]

תנסה את ewido

[Milk-Inc]

תריץ סריקה עם HijackThis

(תפרסם כאן את הלוג שתקבל בסוף הסריקה)

[SuB]

תודה חברים.

Ewido תוכנה מצויינת שמצאה הרבה קבצים זדוניים (הרצתי גם את הסריקה החכמה וגם את המלאה) ועושה רושם שהיא עלתה על הטרויאני הקטן אך היא שינתה קובץ מערכת (כמו ש-Pest Patrol עשתה לי) והמערכת קרסה אז ה-scan disk פעל ושיחזר מה שצריך וכעת הפרסומות עדין קופצות (לא יודע אם זה קשור לשחזור).

דרך HijackThis מצאתי כמה קבצים בעייתיים אבל אופציית ה-"Fix Checked" לא עשתה מאומה והקבצים הופיעו שוב לאחר סריקה חוזרת..

הנה הדוח, מקווה להיפטר מהמזיק בעזרתכם:

אלו השורות הבעיתיות:

O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\p4n8le5u1h.dll

O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe

Logfile of HijackThis v1.99.1
Scan saved at 19:35:36, on 31/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\Program Files\ewido\security suite\ewidoctrl.exe
C:\Program Files\ewido\security suite\ewidoguard.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\CursorXP\CursorXP.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\GIGABYTE\Gigabyte Windows Utility Manager\gwum.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\ewido\security suite\securitysuite.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\PROGRAM FILES\MAXTHON\MAXTHON.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://google.icq.com[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.google.co.il/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1601.0\he-il\msntb.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: gwum.lnk = C:\Program Files\GIGABYTE\Gigabyte Windows Utility Manager\gwum.exe
O4 - Global Startup: SATARaid.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: Convert &Hebrew (HEBTML) - C:\Program Files\HEBTMLIE\ie.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: Translator - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Program Files\LingoCom\Translator.lnk (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {FF4D2994-6575-4F03-A5C6-6559C8793A06} - (no file)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: KANA IQ LiveA - [url]https://help1.bankleumi.co.il/EU/eu1.cab[/url]
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - [url]http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB[/url]
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [url]http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409[/url]
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - [url]http://download.ewido.net/ewidoOnlineScan.cab[/url]
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - [url]http://www.symantec.com/techsupp/asa/LSSupCtl.cab[/url]
O16 - DPF: {21F49842-BFA9-11D2-A89C-00104B62BDDA} (ChartFX Internet Control) - [url]https://service.pelephone.co.il/WebPhone/jsp/Client/CfxIEAx.cab[/url]
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - [url]http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab[/url]
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - [url]http://www.xblock.com/download/xclean_micro.exe[/url]
O16 - DPF: {5F8A33E7-6A32-4EE0-887A-134C627CB052} (Easy Upload Tool Combo Control) - [url]http://asafa.myphotoalbum.com/EasyUploadTool.cab[/url]
O16 - DPF: {F59AB0C4-3443-4551-A78F-C101F9DE0215} (LauncherV1 Class) - [url]http://irc.tapuz.co.il/ChatTV/launcher.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{9286A9FD-02EE-45A7-BF27-E6E203B5D4D5}: NameServer = 194.90.1.5,212.143.212.143
O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\p4n8le5u1h.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

[THE-MASTER]

אוייייייייייייייייייי זה מעצבן..................................מי הבן אדם שעשה את הוירוס הזה...

היה לי את אותו וירוס (HIJACKER? בדיוק כמו שהיה לך וניסיתי עם כל התוכנות האפשריות ולא הצלחתי להסיר אותו ואז בטעות בלי כוונה מחקתי קובץ מסויים מהמחשב בנסיונות האיתור ולכן כבר העדפתי לשחזר את המחשב שבוע אחורה דבר שפתר את הבעיה אבל עד עכשיו אני כל כך רוצה לדעת איך להסיר את הוירוס הזה.

בכל אופן תנסה את CWS זאת תוכנה שבודקת HIJACKER דבר שדי קשור לוירוס שלך שבין השאר כל הזמן פותח את הדפדפן(אפילו את הפיירפוקס שלי) .....

עריכה:בקששר לתוכנת HIJACKTHIS התוכנה הראתה לי לפי האתר שהכל SAFE ולא ראיתי משהו חשוד בזמן שהיה לי את הוירוס הזה.

[Milk-Inc]

דרך HijackThis מצאתי כמה קבצים בעייתיים אבל אופציית ה-"Fix Checked" לא עשתה מאומה והקבצים הופיעו שוב לאחר סריקה חוזרת

כי אתה ניסית להסיר את הקבצים במצב רגיל.

תיכנס למצב בטוח(Safe Mode) ותסיר שם את כל מה שצריך(תראה מה צריך להסיר לפי האתר הזה)