ראשי
עוד...-
-
וירוס!!! דחוף..
מאגר השאלות מפורום התמיכה שלנו. כאן תוכלו למצוא מגוון שאלות ותשובות העונות על קשת רחבת נושאים.
ידיעות חוץ
פורסם ב: 28 נובמבר 2007עוד במגזין ...
לאחרונה בפורוםוירוס!!! דחוף..
מאת: SMOOTHcriminal ס
נכתב ב: 18/08/2008 21:59:16
חלק מכם בטח מכירים הודעות לא מזוהות מלוות בלינק שנשלח ממשתמש שלכם..
נשלחים ממני לינקים שנראים ככה: OMG! someone posted that pic you sent me online!http://imageflorale.co m/private/images.php?image=naked228
לאנשים ואין לי מושג איזה עוד אנטי וירוס להתקין כדי להעיף תהודעות המזופטות שאותו האקר/משועמם אחר שולח דרכי.. מעדיפה לא לפרמט
הורדתי MSN VIRUS REMOVER..איך שהוא טען את ההתקנה המחשב נכבה בפתאומיות.. אם אתם מכירים אנטי וירוס חזק שלא יפיל עלי עוד וירוס או פתרון טוב אחר אשמח אם תציעו.. תודה רבה מראש ויום טוב!18/08/2008 22:28:24הערה מאת: פבל פ
תצטרכי לשלוח לי LOG של HIJACKTHIS. http://www.trendsecure.com/portal/en-US/_download/HiJackT…
הורידי, הפעילי – בחרי באופציה "DO A SYSTEM SCAN AND SAVE A LOG FILE". הדביקי את תוכן הקובץ כאן, ונתקדם.18/08/2008 22:34:09הערה מאת: imper s
את צריכה אנטי-ספייוור טוב, תנסי את זה: http://www.download.com/Ad-Aware-2008/3000-8022_4-1004591…
*שימי לב שהוא לא מתעדכן.18/08/2008 23:15:15הערה מאת: SMOOTHcriminal ס
בטוח להעתיק את כל התוכן לכאן? זה ארוך .. אתה מתכוון לתוכן שאני רואה אחרי שהתקנתי?18/08/2008 23:18:20הערה מאת: SMOOTHcriminal ס
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:13:54, on 18/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
D:\Program Files\ICQ6\ICQ.exe
C:\DOCUME~1\JMBO\LOCALS~1\Temp\lsass.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Program Files\Wireless LAN Utility\SiWake.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\Sk1CTw\command.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
D:\Program Files\Wireless LAN Utility\SISCFG.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\JMBO\Local Settings\Temporary Internet Files\Content.IE5\CT8TALWL\HiJackThis[1].exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vmule.com/vmule2007.html
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 – URLSearchHook: Share Accelerator Toolbar – {f5c93451-2609-4723-a053-5c19516be1a8} – C:\Program Files\Share_Accelerator\tbShar.dll
R3 – URLSearchHook: myBabylon Toolbar – {34ea1c70-42cc-42c5-aa29-ec58b95a343e} – C:\Program Files\myBabylon\tbmyB1.dll
O2 – BHO: AcroIEHlprObj Class – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 – BHO: Skype add-on (mastermind) – {22BF413B-C6D2-4d91-82A9-A0F997BA588C} – C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 – BHO: myBabylon Toolbar – {34ea1c70-42cc-42c5-aa29-ec58b95a343e} – C:\Program Files\myBabylon\tbmyB1.dll
O2 – BHO: (no name) – {494964aa-1dd2-11b2-88cf-b746549bac04} – C:\WINDOWS\tojcvepy.dll (file missing)
O2 – BHO: SSVHelper Class – {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} – C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 – BHO: (no name) – {791E5824-366E-4393-87BC-10EB579815A0} – C:\WINDOWS\system32\gEwVOFyw.dll
O2 – BHO: (no name) – {7E853D72-626A-48EC-A868-BA8D5E23E045} – (no file)
O2 – BHO: Windows Live Sign-in Helper – {9030D464-4C02-4ABF-8ECC-5164760863C6} – C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 – BHO: Google Toolbar Helper – {AA58ED58-01DD-4d91-8333-CF10577473F7} – c:\program files\google\googletoolbar1.dll
O2 – BHO: Google Toolbar Notifier BHO – {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} – C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 – BHO: (no name) – {C3F6F4FE-85F6-4D0C-98DE-15324B09F149} – C:\WINDOWS\system32\ssqRLFyw.dll
O2 – BHO: WebManager Class – {D5792AA9-D373-4039-8670-2CDAB6A71F15} – C:\Program Files\BitDownload\TorrentManager.dll
O3 – Toolbar: &Google – {2318C2B1-4965-11d4-9B18-009027A5CD4F} – c:\program files\google\googletoolbar1.dll
O3 – Toolbar: Share Accelerator Toolbar – {f5c93451-2609-4723-a053-5c19516be1a8} – C:\Program Files\Share_Accelerator\tbShar.dll
O3 – Toolbar: myBabylon Toolbar – {34ea1c70-42cc-42c5-aa29-ec58b95a343e} – C:\Program Files\myBabylon\tbmyB1.dll
O4 – HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 – HKLM\..\Run: [SYSTEM.rt32] C:\DOCUME~1\JMBO\LOCALS~1\Temp\lsass.exe
O4 – HKLM\..\Run: [e4a7f371] rundll32.exe "C:\WINDOWS\system32\hulvvpfb.dll",b
O4 – HKLM\..\Run: [BMe794c0ed] Rundll32.exe "C:\WINDOWS\system32\bqyhesmi.dll",s
O4 – HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 – HKCU\..\Run: [ICQ] "D:\Program Files\ICQ6\ICQ.exe" silent
O4 – HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 – HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 – HKUS\S-1-5-19\..\Run: [AVG7_Run] D:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 – HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 – HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 – HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 – Global Startup: TL-WN320G 1.0 Utility.lnk = D:\Program Files\Wireless LAN Utility\SiWake.exe
O8 – Extra context menu item: &יצא ל- Microsoft Excel – res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: (no name) – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 – Extra button: Skype – {77BF5300-1474-4EC7-9980-D32B190E9B07} – C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 – Extra button: מחקר – {92780B25-18CC-41C8-B9BE-3C9C571A8263} – D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: ICQ Lite – {B863453A-26C3-4e1f-A54D-A2CD196348E9} – D:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 – Extra 'Tools' menuitem: ICQ Lite – {B863453A-26C3-4e1f-A54D-A2CD196348E9} – D:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 – Extra button: ICQ6 – {E59EB121-F339-4851-A3BA-FE49C35617C2} – D:\Program Files\ICQ6\ICQ.exe
O9 – Extra 'Tools' menuitem: ICQ6 – {E59EB121-F339-4851-A3BA-FE49C35617C2} – D:\Program Files\ICQ6\ICQ.exe
O9 – Extra button: Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O10 – Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 – DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) – http://gamedownload.ijjimax.com/gamedownload/dist/hgstart…
O16 – DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) – http://www.update.microsoft.com/windowsupdate/v6/V5Contro…
O16 – DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) – http://javadl.sun.com/webapps/download/AutoDL?BundleId=19588
O16 – DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) – http://messenger.zone.msn.com/binary/MessengerStatsPAClie…
O16 – DPF: {CBF2C04B-50B5-4C7B-8D49-ACB62582F8E6} (LauncherV1 Class) – http://chat-basic.nana.co.il/Cabs/launcher.cab
O16 – DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) – http://gamedownload.ijjimax.com/gamedownload/dist/hgstart…
O16 – DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – https://fpdownload.macromedia.com/pub/shockwave/cabs/flas…
O16 – DPF: {D79B6F43-F214-4E7A-9ECB-CCC8771F2416} (LauncherV1 Class) – http://www.tapuz.co.il/irc/main/launcher.cab
O16 – DPF: {DD583921-A9E9-4FBF-9266-8DC2AB5EA0AF} (HGPlugin10USA Class) – http://gamedownload.ijjimax.com/gamedownload/dist/hgstart…
O18 – Protocol: skype4com – {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} – C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 – Winlogon Notify: ssqRLFyw – C:\WINDOWS\SYSTEM32\ssqRLFyw.dll
O23 – Service: AVG7 Alert Manager Server (Avg7Alrt) – GRISOFT, s.r.o. – D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 – Service: AVG7 Update Service (Avg7UpdSvc) – GRISOFT, s.r.o. – D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 – Service: AVG E-mail Scanner (AVGEMS) – GRISOFT, s.r.o. – D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 – Service: Command Service (cmdService) – Unknown owner – C:\WINDOWS\Sk1CTw\command.exe
O23 – Service: Creative Service for CDROM Access – Creative Technology Ltd – C:\WINDOWS\system32\CTsvcCDA.EXE
O23 – Service: iPod Service – Apple Inc. – C:\Program Files\iPod\bin\iPodService.exe
O23 – Service: Network Monitor – Unknown owner – C:\Program Files\Network Monitor\netmon.exe
O24 – Desktop Component 0: (no name) – http://www.avengedsevenfold.com/sites/www.avengedsevenfol…
–
End of file – 8856 bytes18/08/2008 23:59:11הערה מאת: פבל פ
OK. הבנתי. הפעילי את HIJACKTHIS שוב, והפעם בחרי באופציה השניה "DO A SYSTEM SCAN ONLY", לכשיסתיים ה-SCAN, סמני את הפריטים הבאים:
O2 – BHO: (no name) – {494964aa-1dd2-11b2-88cf-b746549bac04} – C:\WINDOWS\tojcvepy.dll (file missing)
O2 – BHO: (no name) – {791E5824-366E-4393-87BC-10EB579815A0} – C:\WINDOWS\system32\gEwVOFyw.dll
O2 – BHO: (no name) – {7E853D72-626A-48EC-A868-BA8D5E23E045} – (no file)
O2 – BHO: (no name) – {C3F6F4FE-85F6-4D0C-98DE-15324B09F149} – C:\WINDOWS\system32\ssqRLFyw.dll
O4 – HKLM\..\Run: [SYSTEM.rt32] C:\DOCUME~1\JMBO\LOCALS~1\Temp\lsass.exe
O4 – HKLM\..\Run: [e4a7f371] rundll32.exe "C:\WINDOWS\system32\hulvvpfb.dll",b
O4 – HKLM\..\Run: [BMe794c0ed] Rundll32.exe "C:\WINDOWS\system32\bqyhesmi.dll",s
שימי לב: חשוב לסמן את הפריטים שציינתי כאן, ואתם בלבד.
לאחר שתסמני את כולם, לחצי על FIX. הפעילי מחדש את המחשב, צרי LOG מחדש, והדביקי אותו כאן שוב.
IMPER, אתה יודע – נדודי שינה. :)19/08/2008 09:35:58הערה מאת: עידו ס
פבל, הוירוס מוכר.
אני רק מוסיף לטיפול הטוב שלך הערה קטנה:
אחרי שפבל מסיים להסיר לך אותו, תשני את הסיסמא של המסנג'ר שלך. יש גרסאות של הדבר הזה שלמעשה גונבות את הסיסמא ואת היוזר, ושולחות את ההודעות ממקום אחר, ולא מהמחשב שלך.19/08/2008 10:03:42הערה מאת: פבל פ
מוכר – כן, אך מאחר שיש לו כ"כ הרבה וריאציות, עדיף לטפל באופן ידני.19/08/2008 11:22:20הערה מאת: עידו ס
[ציטוט פבל פ 19/08/2008 10:03:42]
מוכר – כן, אך מאחר שיש לו כ"כ הרבה וריאציות, עדיף לטפל באופן ידני.
מסכים בהחלט. אני רק הוספתי את שינוי הסיסמא לאחר גמר הטיפול.
![Apple-Mac-Vulnerable-Shellshock-Bash-Bug[1]](http://www.pcmagazine.co.il/lib/uploads/Apple-Mac-Vulnerable-Shellshock-Bash-Bug1-425x283.jpg)
עדיין אין תגובות לכתבה זו.
