Ran B פורסם 2006 בינואר 3 Share פורסם 2006 בינואר 3 שלום לכולם.לאחותי היום משום מה המחשב התחיל להתחרפן והקפיץ מלא אתרים של משחקי קזינו פורנווהודיע למה בשורה של השעון על בעיה של spyware והמחשב נדבק והמחשב בסכנה..ו-ווידנוס הוריד אוטומטי תוכנה..ובלה בלה בלה.עכשיו יש לאחותי, התקנתי לה, כמו לי NoAdawre ואכן זה מצא כמה דברים ומחקתי אותם.כמובן זה לא מועיל והרקע של המחשב שלה השתנה ל"אזהרה" וכו'..אתם בטח מכירים את כל זה. הרצתי חיפוש בפורום, כי בטח קרו המון מקרים כאלה לאנשים.וראיתי שאומרים להוריד את התוכנה hijackthis ואז להביא לוג.אז כך עשיתי, הורדתי את התוכנה הרצתי אותה ושמרתי לוג והינה הוא.אשמח אם תוכלו לעזור לי.לוג :Logfile of HijackThis v1.99.1Scan saved at 18:52:02, on 03/01/2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Common Files\Symantec Shared\ccSetMgr.exeC:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\apijp.exeC:\WINDOWS\System32\atievxx.exeC:\Program Files\Norton AntiVirus\navapsvc.exeC:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXEC:\Program Files\Norton AntiVirus\SAVScan.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exeC:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exeC:\WINDOWS\system32\nvctrl.exeC:\Program Files\Common Files\Symantec Shared\ccApp.exeC:\WINDOWS\system32\javaul.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\MSN Messenger\MsnMsgr.ExeC:\winstall.exeC:\WINDOWS\explorer.exeC:\WINDOWS\system32\mssearchnet.exeC:\Program Files\Messenger\msmsgs.exeC:\Documents and Settings\tamar\Desktop\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ohqol.dll/sp.html#88449%resultposition.netR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ohqol.dll/sp.html#88449%resultposition.netR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ohqol.dll/sp.html#88449%resultposition.netR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ohqol.dll/sp.html#88449%resultposition.netR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ohqol.dll/sp.html#88449%resultposition.netR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ohqol.dll/sp.html#88449%resultposition.netR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ohqol.dll/sp.html#88449%resultposition.netR3 - Default URLSearchHook is missingO2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp5617.tmpO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXEO4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /ConsumerO4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [javaul.exe] C:\WINDOWS\system32\javaul.exeO4 - HKLM\..\Run: [168.tmp] C:\DOCUME~1\tamar\LOCALS~1\Temp\168.tmp.exeO4 - HKLM\..\Run: [169.tmp] C:\DOCUME~1\tamar\LOCALS~1\Temp\169.tmp.exeO4 - HKLM\..\Run: [168.tmp.exe] C:\DOCUME~1\tamar\LOCALS~1\Temp\168.tmp.exeO4 - HKLM\..\Run: [169.tmp.exe] C:\DOCUME~1\tamar\LOCALS~1\Temp\169.tmp.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backgroundO4 - HKCU\..\Run: [Windows installer] C:\winstall.exeO4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO8 - Extra context menu item: &יצא ל- Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000O9 - Extra button: מחקר - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132759592562O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.netanya.ac.il/terminal/tsweb1/msrdp.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{80DF4635-5EA8-4155-BB23-7A381485644E}: NameServer = 192.116.202.222,213.8.172.83O17 - HKLM\System\CS1\Services\Tcpip\..\{80DF4635-5EA8-4155-BB23-7A381485644E}: NameServer = 192.116.202.222,213.8.172.83O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O23 - Service: Remote Procedure Call (RPC) Helper ( 11F‗ה#·÷??`I) - Unknown owner - C:\WINDOWS\apijp.exeO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exeO23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXEO23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe קישור לתוכן שתף באתרים אחרים More sharing options...
AVL פורסם 2006 בינואר 3 Share פורסם 2006 בינואר 3 מאיפה להתחיל? יש כל הרבה הרבה ספייוואר במחשב הזה שעדיף שתראה בעצמךתכניס את הלוג ל www.hijackthis.de ותעשה analyze קישור לתוכן שתף באתרים אחרים More sharing options...
Ran B פורסם 2006 בינואר 3 מחבר Share פורסם 2006 בינואר 3 אוקי עשיתי, תודה.עכשיו איך אני מסיר אותם?אם תוכל להסביר לי מה לעשות אשמח.רן.עריכה :יש פה גם כאלה שרשום לי Possibly nasty מה לעשות איתם? גם אותם להסיר? קישור לתוכן שתף באתרים אחרים More sharing options...
liiight פורסם 2006 בינואר 3 Share פורסם 2006 בינואר 3 אם אתה לא יודע בדיוק מה הוא סימן בPOSSIBLY NASTY, תראה אותם פה וננסה לייעץ. את כל השאר תעיף. קישור לתוכן שתף באתרים אחרים More sharing options...
AVL פורסם 2006 בינואר 3 Share פורסם 2006 בינואר 3 בhijackthis תסמן את הערכים הרעים שהאתר סימן לך כnasty , ותעשה "fix selected"אני מקווה מאוד שזה יהיה עד כדי כך פשוט, אבל לפי התאור שלך המחשב נדבק בspyware sherif שהוא אחד הקשים ביותר להסרהועוד כמה מזיקים כמו הקזינו האלו , לדעתי זה קרה בגלל שאחותך משתמשת בie (אני צודק?) והיא ביקרה באתר שמנצל באג שגילו לאחרונה בטיפול בקבצי wmf כדי להתקין ספייוואר על מחשבים שונים.למשתמשי IE מספיק רק לבקר באתר כזה כדי להידבק בעשרות סוגי ספייוואר שונים , בלי לאשר שום דבר התוכנות יותקנו על המחשב , לעומת זאתבפיירפוקס צריך לאשר את ההורדה של הwmf כדי שזה יקרה .אחרי שתעיף את כל הזבל בhijackthis , אם יהיו לך עוד בעיות תעשה חיפוש בגוגל על spyware sherif ועל דרכים להסיר אותו וגם תתקין את הפאטצ' הזה כדי למנוע מקרים חוזרים בעתיד - http://handlers.sans.org/tliston/wmffix_hexblog13.exeאתה יכול לקרוא יותר על הפרצת אבטחה הזאת כאן: http://www.f-secure.com/weblog/ (זה בלוג של חברת אבטחת מידע שעוקב אחרי העניין הזה) קישור לתוכן שתף באתרים אחרים More sharing options...
Ran B פורסם 2006 בינואר 3 מחבר Share פורסם 2006 בינואר 3 תודה רבה על התמיכה. אכן כן, ברגע שהמחשב נדבק הוא הוריד תוכנות לבד "על מנת לעזור למשתמש" לא רציתי שהוא יעשה את זה אבל פתאום הותקן לי השריף הזה. וגם עוד תוכנה אחרת שיעני מגלה SPYWARE אבל לא מוחקת אותם כי צריך לקנות את התוכנה :\ שוב תודה רבה ! קישור לתוכן שתף באתרים אחרים More sharing options...
AVL פורסם 2006 בינואר 3 Share פורסם 2006 בינואר 3 זה אייקון קטן אדום עם איקס באייקונים בטסקבר? אם כן אז זה בטוח spyware sherif הזבל הזה מתחזה לתכנת אנטיספייואר ומדביק אותך באלף ואחת דברים, אל תתייאש בסוף תצליח להיפטר ממנו קישור לתוכן שתף באתרים אחרים More sharing options...
Ran B פורסם 2006 בינואר 3 מחבר Share פורסם 2006 בינואר 3 בעע קשה לעבוד ולנסות להבין דברים שאני לא מכיר ולא מתעסק בהם ועוד כאשראחותי מנג'סת לי : אני חייבת לעבוד על המחשב! אני חייבת! מתי אתה מסיים? יאוו איזה בלאגן..."אולי זה הנרות חנוכה ששלחו לי? האתר הזה עם הנרות ששרים?"משגעת לי ת'שכל...בקיצור תודה רבה, אני אעדכן ואערוך שיהיה לי את המחשב שלה פנוי ואולי לעדכן איזה קבצים נראים לי חשודיםלפי מה שחשפתי בGOOGLE עד כה ומה עשיתי איתם..תודה,רן. קישור לתוכן שתף באתרים אחרים More sharing options...
Recommended Posts
ארכיון
דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.