וירוס\malware שאני לא מצליח לפתור, עזרה בבקשה.

[yanukav]

שלום,

לאחר ניסיון כושל של ידידה שלי להוריד קובץ מסוים לאיזה תוכנה במחשב שלה, היא חטפה וירוס או תולעת די מעצבנת.

הבעיה נוצרה לאחר ניסיון פתיחת הקובץ.

דבר ראשון היו קיצורים לאתרי פרסומת על ה desktop ו ב startmenu,

אם מפעילים iExplorer, ב enter הראשון הוא מתרסק פותח פופאפ שאומר שהמחשב מודבק בוירוס חזק וללחוץ ok כדי להוריד תיקון,

כמובן שלא ניסיתי, ו בעזרת alt f4 חיסלתי כל פעם מחדש את הדף.

עשיתי סריקה, עם spywareblaster, והוא מוצא כל פעם כמה קבצים מודבקים אבל לא את הסורס המקורי. הוא מצא משהוא בשם smitfraud, וכנראה שיש בזה משהוא כי גם האתר שנפתח כל פעם (הפופאפ) מנסה לשלוח אותי לכתובת שמתחילה ב smit משהו.

ד.א. גם avast ו adaware "נכשלו"

יצרתי קובץ של Hijackthis, אז אם מישהו יכול להבין משהוא מזה אני יהיה אסיר תודה:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:02:14, on 12/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Synaptics\SynTP\Toshiba.exe

C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe

C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\012Net\012Net-Cable dialer\fts.exe

C:\Program Files\Olivetti\ANY_WAY\olDvcStatus.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\DNA\btdna.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Olivetti\ANY_WAY\olMntrService.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\igfxext.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\Program Files\012Net\012Net-Cable dialer\FWPortal.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.il/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: LmPoland - {156DD78A-CB74-4822-A17C-9CF02B43F72A} - C:\WINDOWS\system32\qipauzax.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: panel4all.CBrowserHelper - {61F9952A-89B5-4D8A-A061-7D6270A40BC9} - C:\Program Files\panel4all\panel4all.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe" /lang en

O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [intelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [%FP%012-L2TP fts.exe] "C:\Program Files\012Net\012Net-Cable dialer\fts.exe"

O4 - HKLM\..\Run: [OlStatusMon] "C:\Program Files\Olivetti\ANY_WAY\olDvcStatus.exe" dvcStatusMinimize

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bitTorrent DNA] "C:\Program Files\DNA\btdna.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &יצא ל- Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: מחקר - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F71AD446-8D92-4942-ADAB-CEF3E38C7089}: NameServer = 80.179.52.100 80.179.55.100

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: olMntrService - Olivetti - C:\Program Files\Olivetti\ANY_WAY\olMntrService.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

end.

אני ישמח לכל עזרה, די הסתבכתי עם זה,

זאת ההודעה הראשונה שלי כאן אז עם יש איזה חוק שעברתי, או שאם זה לא המקום, תקנו אותי בכייף.

אני מודה מראש לכל עזרה,

yanukav.

[orelzion]

יהיה לך מאוד קשה (וגם לתוכנות האנטי וירוס שלך) להסיר תוכנה זדונית במצב רגיל, אני מציע שתפעיל את וינדוס במצב בטוח ותריץ סריקה מחדש.

בהצלחה!

[yanukav]

תודה orelzion,

ניסיתי ב safemode את ה spywareblaster, ולא עבד יותר ממצב רגיל, את האנטי וירוס לא ניסיתי, אבל שווה ניסיון.

האם הקובץ של hijackthis אומר למישהו משהו? משהו חשוד? בשבילי זה גיבריש לצערי.

כל עזרה תתקבל בברכה,

[Vampire_Master]

תוריד את COMBOFIX

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

ותעשה YES וNEXT כל הזמן , כדי שהוא יבצע גיבוי קטן לקבצי ריג'סטרי והוא יתחיל בסריקה שלו

אני מקווה שזה יעזור לך .. אישית זה עזר לי מאוד

[Ivan]

תנסה את SmitFraudFix

http://siri.urz.free.fr/Fix/SmitfraudFix_En.php

[yanukav]

תודה רבה,

כדי לעשות את זה גם ב safemode?

אני יגיע הביתה ויבדוק את שני האופציות, ויעדכן אותכם.

ממש תודה על התגובות המהירות, אחלה פורום, אנשים טובים,

yanukav

[multicore]

מועבר לפורום תוכנה.

[Yair Tz]

תוריד את COMBOFIX

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

ותעשה YES וNEXT כל הזמן , כדי שהוא יבצע גיבוי קטן לקבצי ריג'סטרי והוא יתחיל בסריקה שלו

אני מקווה שזה יעזור לך .. אישית זה עזר לי מאוד

למה בכל דיון אתה מביא את אותה התוכנה הלא שימושית?

פותח הדיון -

סמן ב-HJT את הערך

O2 - BHO: LmPoland - {156DD78A-CB74-4822-A17C-9CF02B43F72A} - C:\WINDOWS\system32\qipauzax.dll

ומחק את הקובץ מהמערכת.

וכמו כן:

תנסה את SmitFraudFix

http://siri.urz.free.fr/Fix/SmitfraudFix_En.php

ממליץ.

[gif]

זה יעזור לך:

http://www.fxp.co.il/showthread.php?p=11309402#post11309402

[yanukav]

smitfraudfix עבד מצוין, תודה רבה לכל מי שעזר,

אחלה פורום.