פורסם 2006 באפריל 2219 שנים לי היה כוח... חחולעניין באותו מקום שבוא אתה מאפשר לראות קבצים מוסתרים יש קצת למטה משהו שכתוב בו "HIDE PROTECTED OPERATING SYSTEM FILES"תדאג שאין עליו וי ואז תחפש את כל התיקיות והקבצים שלא מצאת.נ.ב: אתה יכול להביא לי או בכלל לכאן בפורום לוג של HIJACKTHIS?
פורסם 2006 באפריל 2219 שנים תגיד, ביקשת עזרה מדוד גוגל במקרה?ע:כנ"ל גם לגבי fservice.exeאל תנסה לצאת חכם, הוא בדק עשרות פעמים.לא מפנים כל אחד לגוגל (יש דברים טיפשיים שדורשים), לא במקרה הזה.
פורסם 2006 באפריל 2219 שנים אני ממליץ לך לבצע את הסריקות במצב בטוח safe mode .אני מכיר אישית את הרושעה הזאתי,אין הרבה מה לעשות,אם אתה יכול תפרמט.בכל מקרה,בהצלחה.
פורסם 2006 באפריל 2219 שנים מחבר אל תנסה לצאת חכם, הוא בדק עשרות פעמים.לא מפנים כל אחד לגוגל (יש דברים טיפשיים שדורשים), לא במקרה הזה.כן הוא צודק חח..אם אתה כל כך מתעקש אני יעלה לוג פייל אני יעלה עכשיו גם כמה תמונות בשביל שתבינו פחות או יותר מה הולך לי במחשב..ועוד דבר אחרי הפעלה מחדש אכן גיליתי שהRundll32 והCns קשורים אחד לשני ועוד דבר גיליתי שגם אחרי שאני מסיר את הCns מהרשימה של תוכנות שעולות עם המחשב הוא עולה בכל מקרה ומחזיר לעצמו את הV (כוס אמא שלו)ועכשיו לקובצי התמונות הגדולים חחח..בראשון:רואים למטה הודעה שתמיד קופצת לי בהפעלה של המחשב. למעלה יש את מה שאדוור תמיד מוצא בסריקות ותמיד לכאורה מוחק ותמיד זה חוזר ואת ההודעה שהוא משאיר אחרי.. ויש את מה שעבר על החיפוש שלי פשוט אין שם כלום חח..בשניה:רואים את הMsconfig עם הCns שתמיד מפעיל את עצמו עם המחשב גם אם מבטלים ורק עכשיו שמתי לב שיש עוד אחד פעיל אין לי מושג למה..ורואים את התהליכים פעילים במחשב עם הקובץ Rundll32 שמסריב בתוקף להיסגר.. רואים גם את שילישית Cns (חח שם מגניב) ואת מה שספייבוט מצא כמובן אותו הדבר.. כמו אד וור וכמו עוד הרבה תוכניות שיש לי במחשב..שלישית:מה שספייבוט לא הצליח למחוק וגם לא ימחק בחייםלבחור שביקש לוג פייל בקשה מקווה שזה יעזור לך.. תהנה חחחLogfile of HijackThis v1.99.1Scan saved at 22:48:28, on 22/04/2006Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:\windows\System32\smss.exeC:\windows\system32\csrss.exeC:\windows\system32\winlogon.exeC:\windows\system32\services.exeC:\windows\system32\lsass.exeC:\windows\System32\Ati2evxx.exeC:\windows\system32\svchost.exeC:\windows\system32\svchost.exeC:\windows\System32\svchost.exeC:\windows\system32\svchost.exeC:\windows\system32\svchost.exeC:\windows\system32\spoolsv.exeC:\WINDOWS\System32\drivers\CDAC11BA.EXEC:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exeC:\Program Files\Eset\nod32krn.exeC:\windows\system32\srvany.exeC:\windows\system32\resetservice.exeC:\windows\system32\svchost.exeC:\windows\System32\alg.exeC:\windows\system32\Ati2evxx.exeC:\windows\system32\Rundll32.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Program Files\Adobe\Adobe Photoshop CS2\Photoshop.exeC:\DOCUME~1\24B5~1\LOCALS~1\Temp\Adobelm_Cleanup.0001C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exeC:\DOCUME~1\24B5~1\LOCALS~1\Temp\Adobelm_Cleanup.0001C:\windows\explorer.exeC:\Documents and Settings\שלמה\שולחן העבודה\הורדות\תוכנות\hijackthis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blankR3 - URLSearchHook: ??»¢?תֺ? - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dllO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dllO2 - BHO: ??»¢?תֺ? - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLLO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\windows\downlo~1\cnshook.dllO3 - Toolbar: ??»¢?תֺ? - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dllO4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\windows\downlo~1\CnsMin.dll,Rundll32O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimizeO4 - HKLM\..\Run: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimizeO4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLLO9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLLO9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLLO9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO11 - Options group: [!CNS] Chinese keywordsO16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cabO16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cabO16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cabO16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{121802B2-95F1-4520-963E-182195EDF0E4}: NameServer = 212.117.129.5 212.116.161.38O17 - HKLM\System\CS1\Services\Tcpip\..\{121802B2-95F1-4520-963E-182195EDF0E4}: NameServer = 212.117.129.5 212.116.161.38O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)O20 - Winlogon Notify: -qonuqwqt - C:\windows\O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\System32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXEO23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exeO23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exeO23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exeO23 - Service: Reset 5 - Unknown owner - C:\windows\system32\srvany.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)[attachment deleted by admin]
פורסם 2006 באפריל 2219 שנים RUNDLL32 זה תהליך חשוב יש אותו לכולם...תסה למחוק את הקבצים "הרעים" שעולים עם המחשב על ידי כניסה SPYBOTאז תבדא שהוא נמצא על ADVANCED MODEאז תכנס לTOOLSתוודא שיש וי על אד בשם SYSTEM STARTUP באמצעואז תכנס לSYSTEM STATUP על ידי לחיצה פעמים על הטקסת שלותמצא את הקבצים שאתה לא רצה שיעלו עם המחשב...אתחל ותעדכן אותנו אה כן וכמובן תבדוק שSPYBOT מעודכן...אני בינתים יבדוק את HIJACKTHISיש לי תחושה שאנחנו נפתור את זה היום
פורסם 2006 באפריל 2219 שנים (מצטער על הדבל פוסט)לפי הסתכלות על הלוג שלך אתה:מריץ שני אנטי-וירוסים באותו זמן (לא טוב): NOD וקספרסקיצריך לתקן את האחד שקוראים לוO2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\windows\downlo~1\cnshook.dllאפילו שנראה לי עשית זאת...עריכה:סתם רק לבדוק שידעת: התקיה שבווינדוז בשםdownlo~1\זה קיצור של DOWNLOADED PROGRAM FILES... רק שתדעעריכה שניה:תעיין כאן: http://www.spyany.com/program/article_spy_rm_CnsMin.html
פורסם 2006 באפריל 2219 שנים מחבר (מצטער על הדבל פוסט)לפי הסתכלות על הלוג שלך אתה:מריץ שני אנטי-וירוסים באותו זמן (לא טוב): NOD וקספרסקיצריך לתקן את האחד שקוראים לוO2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\windows\downlo~1\cnshook.dllאפילו שנראה לי עשית זאת...עריכה:סתם רק לבדוק שידעת: התקיה שבווינדוז בשםdownlo~1\זה קיצור של DOWNLOADED PROGRAM FILES... רק שתדעעריכה שניה:תעיין כאן: http://www.spyany.com/program/article_spy_rm_CnsMin.htmlאיך אני מבטל את אחד מהאנטיוירוסים במקרה הזה את נוד32??אני עשיתי את מה שאמרת בהג'קדיס רק שכמו הרוגלות זה תמיד חוזר..אני ידעתי שזה הקיצור רק שיש שם קבצים רגילים ואין שם מוסתרים..אוקיי אני מתכוון לעשות כל מה שנאמר לי כאן מחר ואני יעדכן רק עוד דבר אחד תראה מה בחור נחמד רשם לי זה טוב?אם יש קבצים שמקושרים לCNS תמחק אותם תחת מצב בטוח (אני בטוח שניסית כבר)הדברים שעולים עם עליית חלונות נמצאים במקומות הבאים:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runתמחק ערכים שקשורים לCNSתבדוק שגם תחתHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARזה טוב נראה לי אני ינסה גם את זה רק מה לנסות לפני מה?ודבר אחרון מה בנוגע לקובץ fservies??עריכה:תראה את התמונה מה אני אמור לעשות להוריד את מה שבאדום?? אתה אמרת שהוא חשוב הRUNDLL32 אבל רשום לי ליד CnsMin מה לעשות??[attachment deleted by admin]
פורסם 2006 באפריל 2219 שנים כנראה שה-trojan/וירוס הדביק גם את ה-rundll.ה-fservice.exe הוא back door trojan! אם יש לך אפשרות להסיר אותו, תעשה זאת.
פורסם 2006 באפריל 2219 שנים אל תוריד את הוי מהאדום אלא ממש תמחק אותו...אל תדאג אחי נראה לי שיש אור, רק סתכל על העצות שנתתי קודם שאמרת שתסתכל מחר..טוב מה קורה אחי? תעדכן אותנו. כולנו מחזיקים אצבעות בשבילך (ובשביל עוד מישהו שיש לו את אותה הבעיה ופתח תר'ד אחר...)
פורסם 2006 באפריל 2319 שנים מחבר איך אני יכול פשוט למחוק אותו ואיך אני יכול למחוק את הfservies אם אני לא מוצא אותו???ומישהו יכול להסביר לי בקצרה מה אני אמור לעשות פה:In Windows NT/2000/XP it is possible to move the files so that they cannot be reloaded. Open the Command prompt (Start -> Programs -> Accessories) and type:cd "%WinDir%\Downloaded Program Files"ren CnsMin.dll CnsDel.dllReboot and load the Command prompt again. Type:cd "%WinDir%\Downloaded Program Files"del cns*.*Users of Windows Me lack an MS-DOS mode and files cannot be renamed. So manual removal here will be more difficult.The first time you reboot after deleting or moving CnsMin you'll get an error about not being able to find it. Ignore this. To clean up the remaining traces of the software that cause this, open the registry (Start -> Run -> regedit) and delete the following keys:HKEY_CLASSES_ROOT\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}HKEY_CLASSES_ROOT\CLSID\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}HKEY_CLASSES_ROOT\CnsHelper.CHHKEY_CLASSES_ROOT\CnsHelper.CH.1HKEY_CLASSES_ROOT\CnsMinHK.CnsHookHKEY_CLASSES_ROOT\CnsMinHK.CnsHook.1HKEY_CURRENT_USER\Software\3721HKEY_LOCAL_MACHINE\Software\3721HKEY_LOCAL_MACHINE\Software\InterChinaHKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions\!CNSHKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{5D73EE86-05F1-49ed-B850-E423120EC338}HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{FD00D911-7529-4084-9946-A29F1BDF4FE5}HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CnsMinHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\CnsMin
פורסם 2006 באפריל 2319 שנים http://www.symantec.com/avcenter/venc/data/backdoor.prorat.htmlתקרא פה על העצות הסרה.
פורסם 2006 באפריל 2319 שנים בקצרה בעברית:תלחץ על START ואז RUNותרשום CMDואז תכתוב את מה שאמרו לך:cd "%WinDir%\Downloaded Program Files"ואז ren CnsMin.dll CnsDel.dllואז תאתחל את המחשב, שהוא עולה תכנס עוד הפעם לCMD ותכתוב:cd "%WinDir%\Downloaded Program Files"ואז del cns*.*שהשתי כוכביות נראה לי אומרת להמשיך שמות הקבצים
פורסם 2006 באפריל 2319 שנים מחבר טוב הקובץ ממש עקשן..מחקתי אותו לגמריי כמו שאמרת לא להוריד וי למחוק והוא חוזר אפילו בספיסוט..ומאיפה אני צריך לדעת את כל השמות של הקבצים??
ארכיון
דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.