עזרה בלוג hijackthis לאחותי.

[Ran B]

שלום לכולם.

לאחותי היום משום מה המחשב התחיל להתחרפן והקפיץ מלא אתרים של משחקי קזינו פורנו

והודיע למה בשורה של השעון על בעיה של spyware והמחשב נדבק והמחשב בסכנה..ו-ווידנוס הוריד אוטומטי תוכנה..ובלה בלה בלה.

עכשיו יש לאחותי, התקנתי לה, כמו לי NoAdawre ואכן זה מצא כמה דברים ומחקתי אותם.

כמובן זה לא מועיל והרקע של המחשב שלה השתנה ל"אזהרה" וכו'..

אתם בטח מכירים את כל זה. הרצתי חיפוש בפורום, כי בטח קרו המון מקרים כאלה לאנשים.

וראיתי שאומרים להוריד את התוכנה hijackthis ואז להביא לוג.

אז כך עשיתי, הורדתי את התוכנה הרצתי אותה ושמרתי לוג והינה הוא.

אשמח אם תוכלו לעזור לי.

לוג :

Logfile of HijackThis v1.99.1

Scan saved at 18:52:02, on 03/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\apijp.exe

C:\WINDOWS\System32\atievxx.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\nvctrl.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\javaul.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\winstall.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\mssearchnet.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Documents and Settings\tamar\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ohqol.dll/sp.html#88449%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ohqol.dll/sp.html#88449%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ohqol.dll/sp.html#88449%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ohqol.dll/sp.html#88449%resultposition.net

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ohqol.dll/sp.html#88449%resultposition.net

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ohqol.dll/sp.html#88449%resultposition.net

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ohqol.dll/sp.html#88449%resultposition.net

R3 - Default URLSearchHook is missing

O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp5617.tmp

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [javaul.exe] C:\WINDOWS\system32\javaul.exe

O4 - HKLM\..\Run: [168.tmp] C:\DOCUME~1\tamar\LOCALS~1\Temp\168.tmp.exe

O4 - HKLM\..\Run: [169.tmp] C:\DOCUME~1\tamar\LOCALS~1\Temp\169.tmp.exe

O4 - HKLM\..\Run: [168.tmp.exe] C:\DOCUME~1\tamar\LOCALS~1\Temp\168.tmp.exe

O4 - HKLM\..\Run: [169.tmp.exe] C:\DOCUME~1\tamar\LOCALS~1\Temp\169.tmp.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &יצא ל- Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: מחקר - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132759592562

O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.netanya.ac.il/terminal/tsweb1/msrdp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{80DF4635-5EA8-4155-BB23-7A381485644E}: NameServer = 192.116.202.222,213.8.172.83

O17 - HKLM\System\CS1\Services\Tcpip\..\{80DF4635-5EA8-4155-BB23-7A381485644E}: NameServer = 192.116.202.222,213.8.172.83

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Remote Procedure Call (RPC) Helper ( 11F‗ה#·÷??`I) - Unknown owner - C:\WINDOWS\apijp.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

[AVL]

מאיפה להתחיל? יש כל הרבה הרבה ספייוואר במחשב הזה שעדיף שתראה בעצמך

תכניס את הלוג ל www.hijackthis.de ותעשה analyze

[Ran B]

אוקי עשיתי, תודה.

עכשיו איך אני מסיר אותם?

אם תוכל להסביר לי מה לעשות אשמח.

רן.

עריכה :

יש פה גם כאלה שרשום לי Possibly nasty מה לעשות איתם? גם אותם להסיר?

[liiight]

אם אתה לא יודע בדיוק מה הוא סימן בPOSSIBLY NASTY, תראה אותם פה וננסה לייעץ. את כל השאר תעיף.

[AVL]

בhijackthis תסמן את הערכים הרעים שהאתר סימן לך כnasty , ותעשה "fix selected"

אני מקווה מאוד שזה יהיה עד כדי כך פשוט, אבל לפי התאור שלך המחשב נדבק בspyware sherif שהוא אחד הקשים ביותר להסרה

ועוד כמה מזיקים כמו הקזינו האלו , לדעתי זה קרה בגלל שאחותך משתמשת בie (אני צודק?) והיא ביקרה באתר שמנצל באג שגילו לאחרונה בטיפול בקבצי wmf כדי להתקין ספייוואר על מחשבים שונים.

למשתמשי IE מספיק רק לבקר באתר כזה כדי להידבק בעשרות סוגי ספייוואר שונים , בלי לאשר שום דבר התוכנות יותקנו על המחשב , לעומת זאת

בפיירפוקס צריך לאשר את ההורדה של הwmf כדי שזה יקרה .

אחרי שתעיף את כל הזבל בhijackthis , אם יהיו לך עוד בעיות תעשה חיפוש בגוגל על spyware sherif ועל דרכים להסיר אותו

וגם תתקין את הפאטצ' הזה כדי למנוע מקרים חוזרים בעתיד - http://handlers.sans.org/tliston/wmffix_hexblog13.exe

אתה יכול לקרוא יותר על הפרצת אבטחה הזאת כאן: http://www.f-secure.com/weblog/ (זה בלוג של חברת אבטחת מידע שעוקב אחרי העניין הזה)

[Ran B]

תודה רבה על התמיכה.

אכן כן, ברגע שהמחשב נדבק הוא הוריד תוכנות לבד "על מנת לעזור למשתמש"

לא רציתי שהוא יעשה את זה אבל פתאום הותקן לי השריף הזה.

וגם עוד תוכנה אחרת שיעני מגלה SPYWARE אבל לא מוחקת אותם כי צריך לקנות את התוכנה :\

שוב תודה רבה !

[AVL]

זה אייקון קטן אדום עם איקס באייקונים בטסקבר? אם כן אז זה בטוח spyware sherif

הזבל הזה מתחזה לתכנת אנטיספייואר ומדביק אותך באלף ואחת דברים, אל תתייאש בסוף תצליח להיפטר ממנו

[Ran B]

בעע קשה לעבוד ולנסות להבין דברים שאני לא מכיר ולא מתעסק בהם ועוד כאשר

אחותי מנג'סת לי : אני חייבת לעבוד על המחשב! אני חייבת! מתי אתה מסיים? יאוו איזה בלאגן...

"אולי זה הנרות חנוכה ששלחו לי? האתר הזה עם הנרות ששרים?"

משגעת לי ת'שכל...

בקיצור תודה רבה, אני אעדכן ואערוך שיהיה לי את המחשב שלה פנוי ואולי לעדכן איזה קבצים נראים לי חשודים

לפי מה שחשפתי בGOOGLE עד כה ומה עשיתי איתם..

תודה,

רן.