מה למחוק מהמחשב הנה הלוג מHijackthis?

פורסם 2005 בינואר 2020 שנים

לחבר שלי (אחרי ביקור במספר אתרים שאת שמם ותוכמן לא נציין), עולה כל הזמן חלון אקספלורר עם הכתובת הנ"ל.

כל פעם שסוגרים את החלון נפתח אחר במקומו (ולפעמים נפתחים גם 10 ו20).

יש לו Spybot וגם Ad-Aware Se ושתי התוכנות עובדות ומעודכנות, מה שגם בכל פעם שהוא מריץ אותם התוכנות מגלות משהו בסגנון של עוד 20 קבצים חדשים!!! (גם אם זה שניה אחרי שגמרנו את הסריקה)!

יש פיתרון? עצה? משהו?

איך נפתרים מה-Spyware הנורא הזה.

ציטוט

פורסם 2005 בינואר 2020 שנים

spy sweeper + Hijackthis

אם הוא יודע להשתמש ..

ציטוט

פורסם 2005 בינואר 2020 שנים

מחבר

לא מכיר את התוכנות הנ"ל!

הם פשוטות כמו הSpybot והAdaware?

ציטוט

פורסם 2005 בינואר 2020 שנים

תריץ סריקה ב-Hijackthis , תשמור את הלוג שבסוף הסריקה ותפרסם את הלוג כאן.

ציטוט

פורסם 2005 בינואר 2120 שנים

חוץ ממה שחלב בע"מ אמר שבאמת כדאי שתעשה, הייתי מפעיל את הווינדוס במצב בטוח ואז מריץ אתה כל הבדיקות של SPYBOT & ADAWARE וגם הולך בספייבוט לאפשריות מתקדמות ובמקום שיש את הרשימה של IGNORE PRODUCTS בודק שלא לא מסומן כלום והוא לא מתעלם משום דבר כי חלק ספייוור מסמנות את עצמן ברשימה של ההתעלמות ואז הוא לא מוצא אותם.

באדאוור תעשה גם סריקה מלאה וגם בדיקת ADS הזאת אח"כ..

ואם כל זה לא עזר ויש מצב שלא יעזור, תפרסם את הלוג של HIJACKTHIS ונמשיך בטיפול

ציטוט

פורסם 2005 בינואר 2320 שנים

מחבר

אחרי מאמץ לא קטן, הצלחתי להפעיל את המחשב של חבר שלי וליצור לוג מhijackthis .

אני לא מבין בזה יותר מדי אבל לא נראה לי שאמורות להיות כלכך הרבה שורות :kopfpatsch: (אצלי במחשב יש רק 14!!)

עכשיו מה עושים? :s05:

Logfile of HijackThis v1.99.0

Scan saved at 15:20:42, on 23/01/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\etai\LOCALS~1\Temp\Rar$EX00.141\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aflashcounter.com/?a=2&b=xyz

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://aflashcounter.com/?a=2&b=xyz

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aflashcounter.com/?a=2&b=xyz

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aflashcounter.com/?a=2&b=xyz

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aflashcounter.com/?b=xyz

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\okjyj.dll/sp.html#29126

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aflashcounter.com/?a=2&b=xyz

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://aflashcounter.com/?a=2&b=xyz

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aflashcounter.com/?a=2&b=xyz

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aflashcounter.com/?a=2&b=xyz

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://aflashcounter.com/?a=2&b=xyz

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://aflashcounter.com/?a=2&b=xyz

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {351658AE-B5A8-052F-150A-8463732FAE6D} - (no file)

O2 - BHO: (no name) - {B64CDD57-7D96-5C6B-FBD6-F71DA48862A9} - C:\WINDOWS\syshs32.dll

O3 - Toolbar: &רדיו - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [CDBD4F63] C:\WINDOWS\system32\atldsrv.exe

O4 - HKLM\..\Run: [FD8A4A8B] C:\WINDOWS\system32\aclixx.exe

O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINDOWS\system32\xpsp2fw.exe

O4 - HKLM\..\Run: [DAD2DFEE] C:\WINDOWS\system32\rsevica.exe

O4 - HKLM\..\Run: [warn dvd stupid frag] C:\Documents and Settings\All Users\Application Data\Intramailwarndvd\CoolWipe.exe

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KAZAA] "C:\מור פרטי\start.exe" "C:\מור פרטי\clean.kmd" /SYSTRAY

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [d3xo.exe] C:\WINDOWS\system32\d3xo.exe

O4 - HKLM\..\Run: [9695D466] C:\WINDOWS\system32\ig3fi.exe

O4 - HKLM\..\Run: [D1C370E3] C:\WINDOWS\system32\rxcer.exe

O4 - HKLM\..\Run: [sdkmz.exe] C:\WINDOWS\sdkmz.exe

O4 - HKLM\..\Run: [PaintingRoom evidence monitor] "C:\Program Files\PaintingRoom\paintingroom.exe" -trayevidence

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunOnce: [syszw.exe] C:\WINDOWS\system32\syszw.exe

O4 - HKCU\..\Run: [Windows Update Client ] C:\WINDOWS\system32\wuclient.exe

O4 - HKCU\..\Run: [DAD2DFEE] C:\WINDOWS\system32\rsevica.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MessengerPlus3] "C:\מור פרטי\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [CURBBOLT] C:\DOCUME~1\etai\APPLIC~1\JUNKMP~1\16 proxy.exe

O4 - HKCU\..\Run: [CDBD4F63] C:\WINDOWS\system32\atldsrv.exe

O4 - HKCU\..\Run: [FD8A4A8B] C:\WINDOWS\system32\aclixx.exe

O4 - HKCU\..\Run: [9695D466] C:\WINDOWS\system32\ig3fi.exe

O4 - HKCU\..\Run: [D1C370E3] C:\WINDOWS\system32\rxcer.exe

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O8 - Extra context menu item: &יצא ל- Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

O10 - Hijacked Internet access by New.Net

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O15 - Trusted Zone: http://*.69sexsearch.com

O15 - Trusted IP range: (HKLM)

O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\hjwijypg.exe

O16 - DPF: {3C329F1E-F1A2-426E-B792-8B47C4692E67} (Painter.MainContainer) - http://www.icellcom.co.il/icon/FRAMES/Painter.cab

O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab

O16 - DPF: {563ED66E-531B-51D2-5DB0-5080C83DA4EB} - ms-its:mhtml:file://C:\MAIN.MHT!http://69.50.164.12/exp/mht/sext01.chm::/MegaInstaller.exe

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {F59AB0C4-3443-4551-A78F-C101F9DE0215} (LauncherV1 Class) - http://irc.tapuz.co.il/BlogTVBU/launcher.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll

O23 - Service: CA ISafe - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe

O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe

O23 - Service: Logical Disk Manager Administrative Service - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Event Log - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: IMAPI CD-Burning COM Service - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: NetMeeting Remote Desktop Sharing - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Miscrosoft Updates Service 5 - Unknown - C:\WINDOWS\System32\msupd5.exe

O23 - Service: Network DDE - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Network DDE DSDM - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Remote Desktop Help Session Manager - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Performance Logs and Alerts - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

O23 - Service: WMI Performance Adapter - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS

\atlje.exe (file missing)

ציטוט

פורסם 2005 בינואר 2320 שנים

תמחק את הדברים הבאים:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aflashcounter.com/?a=2&b=xyz

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://aflashcounter.com/?a=2&b=xyz

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aflashcounter.com/?a=2&b=xyz

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aflashcounter.com/?a=2&b=xyz

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://aflashcounter.com/?b=xyz

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\okjyj.dll/sp.html#29126

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aflashcounter.com/?a=2&b=xyz

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://aflashcounter.com/?a=2&b=xyz

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aflashcounter.com/?a=2&b=xyz

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aflashcounter.com/?a=2&b=xyz

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://aflashcounter.com/?a=2&b=xyz

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://aflashcounter.com/?a=2&b=xyz

O2 - BHO: (no name) - {B64CDD57-7D96-5C6B-FBD6-F71DA48862A9} - C:\WINDOWS\syshs32.dll

O15 - Trusted Zone: http://*.69sexsearch.com

ציטוט

פורסם 2005 בינואר 2320 שנים

מחבר

זהו? רק השורות הבאות הם spyware?

ציטוט

פורסם 2005 בינואר 2320 שנים

כן(יש מצב שאולי החטאתי כמה , אבל מה זה משנה? תמחק את מה שרשמתי לך , זה ספייוור)

ציטוט

פורסם 2005 בינואר 2320 שנים

הרבה יותר מכמה

עדיף להסיר אם hijackthis כאשר הוינדוס במצב בטוח את זה אני מניח שאתה כבר יודע לפי מה שהבנתי מהפרוססים :smile1:

אחרי שתסיר תריץ חיפוש על כל הקבצי dll/exe האלה ותמחק וכנס לc:\program files ומחק תתיקיה newdotnet ומחק את main.mht מc:\

למה לך להריץ שרת telnet? אם אין בזה שום צורך אז כנס לstart>>run רשום services.msc והקש אנטר ,הקלק פעמיים על telnet ותגדיר את הstartup type לdisabled,תעשה לעצמך טובה ותעבור לדפדפן אחר לאינטרנט אקספלורר יש מלא פרצות אבטחה ולא חסר אתרים המנצלים זאת להתקנת ספיוור,יש משו אני לא בטוח אולי לא טוב מה יש לך ב C:\Program Files\PaintingRoom אתה מזהה את זה? לא מצאתי בגוגל פרטים על השם של התוכנה והשם של הקובץ אם אתה לא מזהה את זה אז תמחק כל אזכור לזה בhijackthis ותמחק תתיקיה