אוי ואבוי!!מה קרה למחשב שלי:( עודכן בפעם השניה!!!!!! שוב דף שני

[tnt studios]

לי היה כוח... חח

ולעניין באותו מקום שבוא אתה מאפשר לראות קבצים מוסתרים יש קצת למטה משהו שכתוב בו "HIDE PROTECTED OPERATING SYSTEM FILES"

תדאג שאין עליו וי ואז תחפש את כל התיקיות והקבצים שלא מצאת.

נ.ב: אתה יכול להביא לי או בכלל לכאן בפורום לוג של HIJACKTHIS?

[aivengo]

תגיד, ביקשת עזרה מדוד גוגל במקרה?

ע:כנ"ל גם לגבי fservice.exe

[moonjib]

תגיד, ביקשת עזרה מדוד גוגל במקרה?

ע:כנ"ל גם לגבי fservice.exe

אל תנסה לצאת חכם, הוא בדק עשרות פעמים.

לא מפנים כל אחד לגוגל (יש דברים טיפשיים שדורשים), לא במקרה הזה.

[Dan1919]

אני ממליץ לך לבצע את הסריקות במצב בטוח safe mode .

אני מכיר אישית את הרושעה הזאתי,אין הרבה מה לעשות,אם אתה יכול תפרמט.

בכל מקרה,בהצלחה.

[pyro_man]

אל תנסה לצאת חכם, הוא בדק עשרות פעמים.

לא מפנים כל אחד לגוגל (יש דברים טיפשיים שדורשים), לא במקרה הזה.

כן הוא צודק חח..

אם אתה כל כך מתעקש אני יעלה לוג פייל

אני יעלה עכשיו גם כמה תמונות בשביל שתבינו פחות או יותר מה הולך לי במחשב..

ועוד דבר אחרי הפעלה מחדש אכן גיליתי שהRundll32 והCns קשורים אחד לשני ועוד דבר גיליתי שגם אחרי שאני מסיר את הCns מהרשימה של תוכנות שעולות עם המחשב הוא עולה בכל מקרה ומחזיר לעצמו את הV (כוס אמא שלו)

ועכשיו לקובצי התמונות הגדולים חחח..

בראשון:

רואים למטה הודעה שתמיד קופצת לי בהפעלה של המחשב. למעלה יש את מה שאדוור תמיד מוצא בסריקות ותמיד לכאורה מוחק ותמיד זה חוזר ואת ההודעה שהוא משאיר אחרי.. ויש את מה שעבר על החיפוש שלי פשוט אין שם כלום חח..

בשניה:

רואים את הMsconfig עם הCns שתמיד מפעיל את עצמו עם המחשב גם אם מבטלים ורק עכשיו שמתי לב שיש עוד אחד פעיל אין לי מושג למה..

ורואים את התהליכים פעילים במחשב עם הקובץ Rundll32 שמסריב בתוקף להיסגר.. רואים גם את שילישית Cns (חח שם מגניב) ואת מה שספייבוט מצא כמובן אותו הדבר.. כמו אד וור וכמו עוד הרבה תוכניות שיש לי במחשב..

שלישית:

מה שספייבוט לא הצליח למחוק וגם לא ימחק בחיים

לבחור שביקש לוג פייל בקשה מקווה שזה יעזור לך.. תהנה חחח

Logfile of HijackThis v1.99.1

Scan saved at 22:48:28, on 22/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\csrss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\System32\Ati2evxx.exe

C:\windows\system32\svchost.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\svchost.exe

C:\windows\system32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Eset\nod32krn.exe

C:\windows\system32\srvany.exe

C:\windows\system32\resetservice.exe

C:\windows\system32\svchost.exe

C:\windows\System32\alg.exe

C:\windows\system32\Ati2evxx.exe

C:\windows\system32\Rundll32.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Adobe\Adobe Photoshop CS2\Photoshop.exe

C:\DOCUME~1\24B5~1\LOCALS~1\Temp\Adobelm_Cleanup.0001

C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

C:\DOCUME~1\24B5~1\LOCALS~1\Temp\Adobelm_Cleanup.0001

C:\windows\explorer.exe

C:\Documents and Settings\שלמה\שולחן העבודה\הורדות\תוכנות\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R3 - URLSearchHook: ??»¢?תֺ? - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll

O2 - BHO: ??»¢?תֺ? - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\windows\downlo~1\cnshook.dll

O3 - Toolbar: ??»¢?תֺ? - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll

O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\windows\downlo~1\CnsMin.dll,Rundll32

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKLM\..\Run: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [!CNS] Chinese keywords

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab

O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab

O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{121802B2-95F1-4520-963E-182195EDF0E4}: NameServer = 212.117.129.5 212.116.161.38

O17 - HKLM\System\CS1\Services\Tcpip\..\{121802B2-95F1-4520-963E-182195EDF0E4}: NameServer = 212.117.129.5 212.116.161.38

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: -qonuqwqt - C:\windows\

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Reset 5 - Unknown owner - C:\windows\system32\srvany.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)

[attachment deleted by admin]

[tnt studios]

RUNDLL32 זה תהליך חשוב יש אותו לכולם...

תסה למחוק את הקבצים "הרעים" שעולים עם המחשב על ידי כניסה SPYBOT

אז תבדא שהוא נמצא על ADVANCED MODE

אז תכנס לTOOLS

תוודא שיש וי על אד בשם SYSTEM STARTUP באמצע

ואז תכנס לSYSTEM STATUP על ידי לחיצה פעמים על הטקסת שלו

תמצא את הקבצים שאתה לא רצה שיעלו עם המחשב...

אתחל ותעדכן אותנו אה כן וכמובן תבדוק שSPYBOT מעודכן...

אני בינתים יבדוק את HIJACKTHIS

יש לי תחושה שאנחנו נפתור את זה היום

[tnt studios]

(מצטער על הדבל פוסט)

לפי הסתכלות על הלוג שלך אתה:

מריץ שני אנטי-וירוסים באותו זמן (לא טוב): NOD וקספרסקי

צריך לתקן את האחד שקוראים לו

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\windows\downlo~1\cnshook.dll

אפילו שנראה לי עשית זאת...

עריכה:

סתם רק לבדוק שידעת: התקיה שבווינדוז בשםdownlo~1\

זה קיצור של DOWNLOADED PROGRAM FILES... רק שתדע

עריכה שניה:

תעיין כאן: http://www.spyany.com/program/article_spy_rm_CnsMin.html

[pyro_man]

(מצטער על הדבל פוסט)

לפי הסתכלות על הלוג שלך אתה:

מריץ שני אנטי-וירוסים באותו זמן (לא טוב): NOD וקספרסקי

צריך לתקן את האחד שקוראים לו

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\windows\downlo~1\cnshook.dll

אפילו שנראה לי עשית זאת...

עריכה:

סתם רק לבדוק שידעת: התקיה שבווינדוז בשםdownlo~1\

זה קיצור של DOWNLOADED PROGRAM FILES... רק שתדע

עריכה שניה:

תעיין כאן: http://www.spyany.com/program/article_spy_rm_CnsMin.html

איך אני מבטל את אחד מהאנטיוירוסים במקרה הזה את נוד32??

אני עשיתי את מה שאמרת בהג'קדיס רק שכמו הרוגלות זה תמיד חוזר..

אני ידעתי שזה הקיצור רק שיש שם קבצים רגילים ואין שם מוסתרים..

אוקיי אני מתכוון לעשות כל מה שנאמר לי כאן מחר ואני יעדכן רק עוד דבר אחד תראה מה בחור נחמד רשם לי זה טוב?

אם יש קבצים שמקושרים לCNS תמחק אותם תחת מצב בטוח (אני בטוח שניסית כבר)

הדברים שעולים עם עליית חלונות נמצאים במקומות הבאים:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

תמחק ערכים שקשורים לCNS

תבדוק שגם תחת

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWAR

זה טוב נראה לי אני ינסה גם את זה רק מה לנסות לפני מה?

ודבר אחרון מה בנוגע לקובץ fservies??

עריכה:

תראה את התמונה מה אני אמור לעשות להוריד את מה שבאדום?? אתה אמרת שהוא חשוב הRUNDLL32 אבל רשום לי ליד CnsMin מה לעשות??

[attachment deleted by admin]

[moonjib]

כנראה שה-trojan/וירוס הדביק גם את ה-rundll.

ה-fservice.exe הוא back door trojan! אם יש לך אפשרות להסיר אותו, תעשה זאת.

[tnt studios]

אל תוריד את הוי מהאדום אלא ממש תמחק אותו...

אל תדאג אחי נראה לי שיש אור, רק סתכל על העצות שנתתי קודם שאמרת שתסתכל מחר..

טוב מה קורה אחי? תעדכן אותנו. כולנו מחזיקים אצבעות בשבילך (ובשביל עוד מישהו שיש לו את אותה הבעיה ופתח תר'ד אחר...)

[pyro_man]

איך אני יכול פשוט למחוק אותו ואיך אני יכול למחוק את הfservies אם אני לא מוצא אותו???

ומישהו יכול להסביר לי בקצרה מה אני אמור לעשות פה:

In Windows NT/2000/XP it is possible to move the files so that they cannot be reloaded. Open the Command prompt (Start -> Programs -> Accessories) and type:

cd "%WinDir%\Downloaded Program Files"

ren CnsMin.dll CnsDel.dll

Reboot and load the Command prompt again. Type:

cd "%WinDir%\Downloaded Program Files"

del cns*.*

Users of Windows Me lack an MS-DOS mode and files cannot be renamed. So manual removal here will be more difficult.

The first time you reboot after deleting or moving CnsMin you'll get an error about not being able to find it. Ignore this. To clean up the remaining traces of the software that cause this, open the registry (Start -> Run -> regedit) and delete the following keys:

HKEY_CLASSES_ROOT\CLSID\{B83FC273-3522-4CC6-92EC-75CC86678DA4}

HKEY_CLASSES_ROOT\CLSID\{D157330A-9EF3-49F8-9A67-4141AC41ADD4}

HKEY_CLASSES_ROOT\CnsHelper.CH

HKEY_CLASSES_ROOT\CnsHelper.CH.1

HKEY_CLASSES_ROOT\CnsMinHK.CnsHook

HKEY_CLASSES_ROOT\CnsMinHK.CnsHook.1

HKEY_CURRENT_USER\Software\3721

HKEY_LOCAL_MACHINE\Software\3721

HKEY_LOCAL_MACHINE\Software\InterChina

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\AdvancedOptions\!CNS

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{5D73EE86-05F1-49ed-B850-E423120EC338}

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{ECF2E268-F28C-48d2-9AB7-8F69C11CCB71}

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{FD00D911-7529-4084-9946-A29F1BDF4FE5}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\CnsMin

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\CnsMin

[moonjib]

http://www.symantec.com/avcenter/venc/data/backdoor.prorat.html

תקרא פה על העצות הסרה.

[tnt studios]

בקצרה בעברית:

תלחץ על START ואז RUN

ותרשום CMD

ואז תכתוב את מה שאמרו לך:

cd "%WinDir%\Downloaded Program Files"

ואז ren CnsMin.dll CnsDel.dll

ואז תאתחל את המחשב, שהוא עולה תכנס עוד הפעם לCMD ותכתוב:

cd "%WinDir%\Downloaded Program Files"

ואז

del cns*.*

שהשתי כוכביות נראה לי אומרת להמשיך שמות הקבצים

[pyro_man]

טוב הקובץ ממש עקשן..

מחקתי אותו לגמריי כמו שאמרת לא להוריד וי למחוק והוא חוזר אפילו בספיסוט..

ומאיפה אני צריך לדעת את כל השמות של הקבצים??

[tnt studios]

CnsMin.dll CnsDel.dll

עריכה: מה כבר הורדת או עשית שזה בכלל קרה?