פורסם 2010 בפברואר 1515 שנים כשאני מפעיל את המחשב קופצים לי 2 חלונות של התחלת התקנה של WINRAR.בדיקה של החלונות מראה שהם שייכים לקוב C:\windows\system\iexplorer.exeבדיקה ברגיסטרי ב RUN מראה שיש שם הפניה לקובץ הזה, נסיון למחוק את הערך משם כושל (הערך נוצר מחדש שניה אחרי שאני מוחק אותו)גם מחיקה של הקובץ הנ"ל לא הועילה (הקובץ נוצר מחדש לאחר המחיקה)ESET לא מוצא שום דבר, גם לא ANTI-MALWARE.אני לא מצליח למצוא את התוכנה שרצה ברקע שיוצרת לי את הקובץ הזה מחדש ואת ההפניה אליו ברגיסטרי שיופעל בעלליה של ווינדווס.אשמח לעזרה כלשהי.מצורף לוג של HIJACKTHIS:Logfile of Trend Micro HijackThis v2.0.2Scan saved at 22:21:26, on 15/02/2010Platform: Unknown Windows (WinNT 6.01.3504)MSIE: Internet Explorer v8.00 (8.00.7600.16385)Boot mode: NormalRunning processes:C:\Windows\system32\Dwm.exeC:\Windows\Explorer.EXEC:\Windows\system32\taskhost.exeC:\Windows\System32\rundll32.exeC:\Windows\vVX6000.exeC:\Program Files\ESET\ESET Smart Security\egui.exeC:\Program Files\DAEMON Tools Lite\DTLite.exeC:\Program Files\Skype\Phone\Skype.exeC:\Program Files\3RVX\3RVX.exeC:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exeC:\Program Files\Skype\Plugin Manager\skypePM.exeC:\Windows\regedit.exeC:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exeC:\Program Files\Security Task Manager\taskman.exeC:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\Administrator\AppData\Local\Google\Chrome\Application\chrome.exeC:\Windows\system32\SearchFilterHost.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O4 - HKLM\..\Run: [P17RunE] RunDll32 P17RunE.dll,RunDLLEntryO4 - HKLM\..\Run: [VX6000] C:\Windows\vVX6000.exeO4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitserviceO4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silentO4 - HKCU\..\Run: [Google Update] "C:\Users\Administrator\AppData\Local\Google\Update\GoogleUpdate.exe" /cO4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorunO4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\Run: [Services] C:\Windows\system\iexplorer.exeO4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')O4 - Startup: 3RVX.lnk = C:\Program Files\3RVX\3RVX.exeO8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLLO10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dllO10 - Unknown file in Winsock LSP: c:\program files\vmware\vmware workstation\vsocklib.dllO13 - Gopher Prefix: O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - [url]http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15111/CTPID.cab[/url]O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLLO23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exeO23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exeO23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exeO23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exeO23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exeO23 - Service: SmartLinkService (SLService) - - C:\Windows\SYSTEM32\slserv.exeO23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exeO23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exeO23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exeO23 - Service: VMware USB Arbitration Service (VMUSBArbService) - VMware, Inc. - C:\Program Files\Common Files\VMware\USB\vmware-usbarbitrator.exeO23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe--End of file - 5389 bytesטוב הצלחתי להסיר את זה ב SAFE MODE וזה נעלם לתמיד (לפחות כך אני מקווה).הגיע הזמן לעשות GHOST....תודה למי שקרא את הנושא! ניתן לנעול.
ארכיון
דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.