[בעיה] נכנס לי Trojan למחשב

[Dalbayob]

ניקוי דיסק לא צריך לעשות ריסט כדי שהוא ירוץ?

אחי לא נראה לי שניקוי דיסק יעזור פה כי זה רק מסדר טעויות ולא מוחק טרויאנים ...

אני זז לישון חבר'ה אני כבר עייף ... ננסה לסדר את זה מחר סבבה ? רק אל תשכחו חח

הנה ה - Log של HijackThis שיצא לי

Logfile of HijackThis v1.99.1

Scan saved at 02:17:08, on 04/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Barak013\fts.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Download Manager\IDMan.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\משה\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elsf.net/forum/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [unlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe

O4 - HKLM\..\Run: [babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [%FP%Barak013 L2TP fts.exe] "C:\Program Files\Barak013\fts.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Download all by Rapidown... - C:\Program Files\Rapidown\rapidownGetAll.htm

O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download by Rapidown... - C:\Program Files\Rapidown\rapidownGet.htm

O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Program Files\Rapidown\rapidown.exe

O9 - Extra 'Tools' menuitem: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - C:\Program Files\Rapidown\rapidown.exe

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586-jc.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4FAB4857-78CD-43B4-BB90-36AF7E4D0E43}: NameServer = 62.90.42.110 62.90.42.110

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

[jackhammer]

אין לי מושג על מה אני מסתכל פה אז אני יתן ל REGMAN שיעזור לך :lol:

[tnt studios]

חחח והנה העזרה הגיע (כן כן, עכשיו 3:43 לפנות בוקר...):

טוב, אחרי הסתכלות מעמיקה בלוג (באתר הזה: http://www.hijackthis.de/en), נראה כאילו המחשב שלך נקי לחלוטין... אני אומר לך, הוירוס עצמו נמחק... פשוט כנראה שהמחשב שלך עשה SYSTEM RESTORE POINT בזמן שהוא היה, אז עכשיו זה שמור... בגלל זה חשבתי שאולי למחק את הRESTORE POINTS יעזור...

:xyxthumbs:

מחר אני יבוא עם כלים חדשים... אם לא יעיפו אותי עד אז....

[jackhammer]

ואיך בדיוק ניתחת את הלוג?

ודרך אגב מה זה החתימה הזאת?

מה זה אומר?

31CM של מה?

[SpLiNtEr]

ואיך בדיוק ניתחת את הלוג?

ודרך אגב מה זה החתימה הזאת?

מה זה אומר?

31CM של מה?

נחש... - זה כל כך ברור!

[jackhammer]

:lol: :lol: :lol: :lol:

OMG!!!!!

לא הבנתי למה הסכריה על מקל מונחת על הצד (חשבתי שלא יתפוס מקום בחתימה או משהו כזה)

חחחחחחחחח איזה LOL!!!!

[MeTaLhAmMeR]

AVG?!?!?!

אני לא הייתי נוגע בזה עם מקל

זה האנטי וריוס החינמי שמתקינים בבתי הספר

:lol: אתה כל כך צודק

לפתוח הנושא, שכאתה לוחץ על delete ב NOD32 מופיע לך אותו שם קובץ? אם כן, תמצא אותו במנהל המשימות (task manager) סגור אותו, גש לתיקיה שהוא נמצא בה ותמחק אותו ידנית, הקובץ הזה מתחזה להיות קובץ מערכת וגם ה NOD32 מזהה אותו כוירוס.

אם לא הצלחת למחוק את הקובץ כנס שוב למנהל המשימות (כל הפעולה צריכה להיעשות בשניה) סגור את התהליך ומהר תמחק את הקובץ כי יש וירוסים שסוגרים אותם אז הם פותחים את עצמם מחדש.

דבר נוסף שתוכל לעשות אבל זה רק אם אתה מבין בתחום (ככה אני עושה את זה), לך לתיקיה שהוירוס נמצא בה c:\windows\system32 סדר את הקבצים לפי תאריך ותמחק קבצים אחרונים שנוצרו בתיקיה הזאת שלא מוכרים לך כמו אותו קובץ מתחזה.

[jackhammer]

:lol: אתה כל כך צודק

לפתוח הנושא, שכאתה לוחץ על delete ב NOD32 מופיע לך אותו שם קובץ? אם כן, תמצא אותו במנהל המשימות (task manager) סגור אותו, גש לתיקיה שהוא נמצא בה ותמחק אותו ידנית, הקובץ הזה מתחזה להיות קובץ מערכת וגם ה NOD32 מזהה אותו כוירוס.

אם לא הצלחת למחוק את הקובץ כנס שוב למנהל המשימות (כל הפעולה צריכה להיעשות בשניה) סגור את התהליך ומהר תמחק את הקובץ כי יש וירוסים שסוגרים אותם אז הם פותחים את עצמם מחדש.

דבר נוסף שתוכל לעשות אבל זה רק אם אתה מבין בתחום (ככה אני עושה את זה), לך לתיקיה שהוירוס נמצא בה c:\windows\system32 סדר את הקבצים לפי תאריך ותמחק קבצים אחרונים שנוצרו בתיקיה הזאת שלא מוכרים לך כמו אותו קובץ מתחזה.

אתה מכיר את כל הקבצים שנוצרם בתקיה הזאת??

אני לא הייתי מתעסק עם זה

[Dalbayob]

הוא גם לא נמצא במנהל משימות ... כמו שאמרתי הוא "נדבק" לקובץ winlogon.exe ומתי שאני מסיים את המשימה של winlogon המחשב עושה לי ריסטרט אוטומטי ...

[tnt studios]

ואיך בדיוק ניתחת את הלוג?

ודרך אגב מה זה החתימה הזאת?

מה זה אומר?

31CM של מה?

(כן כנראה שעדיין לא העיפו אותי, אבל זה יגיע)

את הלוג ניתחתי בעזרת האתר הזה: http://www.hijackthis.de/en.

העתקתי את כל מה שנתת לי והדבקתי בקופסא הזאת שמה.... אחרי זה לחצתי על ANALYZE וזהו זה הראה לי מה כל דבר...

והחתימה.... חחח זה בסך הכל מראה כמה פעמים ראו אותה, וכל כמה צפיות (50 נראה לי) זה גדל במילימטר או משהו כזה...

בכל מקרה, לא כדאי לך להתעסק עם הקבצים שבSYSTEM32 לבד.... הרוב שמה זה קבצי מערכת חשובים.

דרך אגב, איך אמרת שקוראים לטרואין?

[Dalbayob]

(כן כנראה שעדיין לא העיפו אותי, אבל זה יגיע)

את הלוג ניתחתי בעזרת האתר הזה: http://www.hijackthis.de/en.

העתקתי את כל מה שנתת לי והדבקתי בקופסא הזאת שמה.... אחרי זה לחצתי על ANALYZE וזהו זה הראה לי מה כל דבר...

והחתימה.... חחח זה בסך הכל מראה כמה פעמים ראו אותה, וכל כמה צפיות (50 נראה לי) זה גדל במילימטר או משהו כזה...

בכל מקרה, לא כדאי לך להתעסק עם הקבצים שבSYSTEM32 לבד.... הרוב שמה זה קבצי מערכת חשובים.

דרך אגב, איך אמרת שקוראים לטרואין?

hggfcab.dll

[Dalbayob]

תעזרו לי בקשה זה ממש מציקק

[tnt studios]

טוב אחי, אני עכשיו מציב לעצמי משימה; עד שאני לא מסדר לך את הבעיה, אני לא מוכן לקבל את הבאן...

כמה דברים:

1. על תקפיץ, גם אם זה ממש חשוב... כל עוד אין לך אישור להקפיץ את הדיון אז אל. אם אתה תקפיץ אתה תקבל אזהרות עד שתועף מהפורום... כמו מישהו כאן...

2. יש לך MSN? XFIRE? אפילו אימייל יעזור... דבר איתי בפרטי.

[meni99]

יש איזה תוכנה שמוחקת קבצים עקשניים

שחכתי איך קוראים לה אבל בטח מיטשהו פה יודע

[Dalbayob]

אתם לא מאמינים, הוירוס נמחקקק !!! יש תוכנה משהו בת זונההה בשם Trojan Remover היא מחקה לי את כל הוירוסים שהיו לי במחשב שזה כולל Adware, Trojan, Worm ועוד פוללל דברים !!! מי שרוצה אותה שישלח לי הודעה פרטי (:

אפשר לנעול אנשים