וירוס!!! דחוף..
וירוס!!! דחוף..
מאת: SMOOTHcriminal ס
נכתב ב: 18/08/2008 21:59:16
חלק מכם בטח מכירים הודעות לא מזוהות מלוות בלינק שנשלח ממשתמש שלכם..
נשלחים ממני לינקים שנראים ככה: OMG! someone posted that pic you sent me online!http://imageflorale.co m/private/images.php?image=naked228
לאנשים ואין לי מושג איזה עוד אנטי וירוס להתקין כדי להעיף תהודעות המזופטות שאותו האקר/משועמם אחר שולח דרכי.. מעדיפה לא לפרמט
הורדתי MSN VIRUS REMOVER..איך שהוא טען את ההתקנה המחשב נכבה בפתאומיות.. אם אתם מכירים אנטי וירוס חזק שלא יפיל עלי עוד וירוס או פתרון טוב אחר אשמח אם תציעו.. תודה רבה מראש ויום טוב!
18/08/2008 22:00:10
הערה מאת: SMOOTHcriminal ס
אגב לא להכנס ללינק שהבאתי!
18/08/2008 22:28:24
הערה מאת: פבל פ
תצטרכי לשלוח לי LOG של HIJACKTHIS. http://www.trendsecure.com/portal/en-US/_download/HiJackT…
הורידי, הפעילי – בחרי באופציה "DO A SYSTEM SCAN AND SAVE A LOG FILE". הדביקי את תוכן הקובץ כאן, ונתקדם.
18/08/2008 22:34:09
הערה מאת: imper s
את צריכה אנטי-ספייוור טוב, תנסי את זה: http://www.download.com/Ad-Aware-2008/3000-8022_4-1004591…
*שימי לב שהוא לא מתעדכן.
18/08/2008 22:51:30
הערה מאת: פבל פ
IMPER – במקרה כזה עדיף לטפל ידנית. :)
18/08/2008 22:58:30
הערה מאת: imper s
ידוע, לא ידעתי שיש לך מרץ היום :)
18/08/2008 23:10:19
הערה מאת: SMOOTHcriminal ס
תודה..
18/08/2008 23:15:15
הערה מאת: SMOOTHcriminal ס
בטוח להעתיק את כל התוכן לכאן? זה ארוך .. אתה מתכוון לתוכן שאני רואה אחרי שהתקנתי?
18/08/2008 23:18:20
הערה מאת: SMOOTHcriminal ס
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:13:54, on 18/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
D:\Program Files\ICQ6\ICQ.exe
C:\DOCUME~1\JMBO\LOCALS~1\Temp\lsass.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Program Files\Wireless LAN Utility\SiWake.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\Sk1CTw\command.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Network Monitor\netmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
D:\Program Files\Wireless LAN Utility\SISCFG.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\JMBO\Local Settings\Temporary Internet Files\Content.IE5\CT8TALWL\HiJackThis[1].exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vmule.com/vmule2007.html
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 – URLSearchHook: Share Accelerator Toolbar – {f5c93451-2609-4723-a053-5c19516be1a8} – C:\Program Files\Share_Accelerator\tbShar.dll
R3 – URLSearchHook: myBabylon Toolbar – {34ea1c70-42cc-42c5-aa29-ec58b95a343e} – C:\Program Files\myBabylon\tbmyB1.dll
O2 – BHO: AcroIEHlprObj Class – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 – BHO: Skype add-on (mastermind) – {22BF413B-C6D2-4d91-82A9-A0F997BA588C} – C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 – BHO: myBabylon Toolbar – {34ea1c70-42cc-42c5-aa29-ec58b95a343e} – C:\Program Files\myBabylon\tbmyB1.dll
O2 – BHO: (no name) – {494964aa-1dd2-11b2-88cf-b746549bac04} – C:\WINDOWS\tojcvepy.dll (file missing)
O2 – BHO: SSVHelper Class – {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} – C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 – BHO: (no name) – {791E5824-366E-4393-87BC-10EB579815A0} – C:\WINDOWS\system32\gEwVOFyw.dll
O2 – BHO: (no name) – {7E853D72-626A-48EC-A868-BA8D5E23E045} – (no file)
O2 – BHO: Windows Live Sign-in Helper – {9030D464-4C02-4ABF-8ECC-5164760863C6} – C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 – BHO: Google Toolbar Helper – {AA58ED58-01DD-4d91-8333-CF10577473F7} – c:\program files\google\googletoolbar1.dll
O2 – BHO: Google Toolbar Notifier BHO – {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} – C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 – BHO: (no name) – {C3F6F4FE-85F6-4D0C-98DE-15324B09F149} – C:\WINDOWS\system32\ssqRLFyw.dll
O2 – BHO: WebManager Class – {D5792AA9-D373-4039-8670-2CDAB6A71F15} – C:\Program Files\BitDownload\TorrentManager.dll
O3 – Toolbar: &Google – {2318C2B1-4965-11d4-9B18-009027A5CD4F} – c:\program files\google\googletoolbar1.dll
O3 – Toolbar: Share Accelerator Toolbar – {f5c93451-2609-4723-a053-5c19516be1a8} – C:\Program Files\Share_Accelerator\tbShar.dll
O3 – Toolbar: myBabylon Toolbar – {34ea1c70-42cc-42c5-aa29-ec58b95a343e} – C:\Program Files\myBabylon\tbmyB1.dll
O4 – HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 – HKLM\..\Run: [SYSTEM.rt32] C:\DOCUME~1\JMBO\LOCALS~1\Temp\lsass.exe
O4 – HKLM\..\Run: [e4a7f371] rundll32.exe "C:\WINDOWS\system32\hulvvpfb.dll",b
O4 – HKLM\..\Run: [BMe794c0ed] Rundll32.exe "C:\WINDOWS\system32\bqyhesmi.dll",s
O4 – HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 – HKCU\..\Run: [ICQ] "D:\Program Files\ICQ6\ICQ.exe" silent
O4 – HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 – HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 – HKUS\S-1-5-19\..\Run: [AVG7_Run] D:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 – HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 – HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 – HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 – Global Startup: TL-WN320G 1.0 Utility.lnk = D:\Program Files\Wireless LAN Utility\SiWake.exe
O8 – Extra context menu item: &יצא ל- Microsoft Excel – res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: (no name) – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 – Extra button: Skype – {77BF5300-1474-4EC7-9980-D32B190E9B07} – C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 – Extra button: מחקר – {92780B25-18CC-41C8-B9BE-3C9C571A8263} – D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: ICQ Lite – {B863453A-26C3-4e1f-A54D-A2CD196348E9} – D:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 – Extra 'Tools' menuitem: ICQ Lite – {B863453A-26C3-4e1f-A54D-A2CD196348E9} – D:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 – Extra button: ICQ6 – {E59EB121-F339-4851-A3BA-FE49C35617C2} – D:\Program Files\ICQ6\ICQ.exe
O9 – Extra 'Tools' menuitem: ICQ6 – {E59EB121-F339-4851-A3BA-FE49C35617C2} – D:\Program Files\ICQ6\ICQ.exe
O9 – Extra button: Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O10 – Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 – DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) – http://gamedownload.ijjimax.com/gamedownload/dist/hgstart…
O16 – DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) – http://www.update.microsoft.com/windowsupdate/v6/V5Contro…
O16 – DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) – http://javadl.sun.com/webapps/download/AutoDL?BundleId=19588
O16 – DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) – http://messenger.zone.msn.com/binary/MessengerStatsPAClie…
O16 – DPF: {CBF2C04B-50B5-4C7B-8D49-ACB62582F8E6} (LauncherV1 Class) – http://chat-basic.nana.co.il/Cabs/launcher.cab
O16 – DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) – http://gamedownload.ijjimax.com/gamedownload/dist/hgstart…
O16 – DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – https://fpdownload.macromedia.com/pub/shockwave/cabs/flas…
O16 – DPF: {D79B6F43-F214-4E7A-9ECB-CCC8771F2416} (LauncherV1 Class) – http://www.tapuz.co.il/irc/main/launcher.cab
O16 – DPF: {DD583921-A9E9-4FBF-9266-8DC2AB5EA0AF} (HGPlugin10USA Class) – http://gamedownload.ijjimax.com/gamedownload/dist/hgstart…
O18 – Protocol: skype4com – {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} – C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 – Winlogon Notify: ssqRLFyw – C:\WINDOWS\SYSTEM32\ssqRLFyw.dll
O23 – Service: AVG7 Alert Manager Server (Avg7Alrt) – GRISOFT, s.r.o. – D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 – Service: AVG7 Update Service (Avg7UpdSvc) – GRISOFT, s.r.o. – D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 – Service: AVG E-mail Scanner (AVGEMS) – GRISOFT, s.r.o. – D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 – Service: Command Service (cmdService) – Unknown owner – C:\WINDOWS\Sk1CTw\command.exe
O23 – Service: Creative Service for CDROM Access – Creative Technology Ltd – C:\WINDOWS\system32\CTsvcCDA.EXE
O23 – Service: iPod Service – Apple Inc. – C:\Program Files\iPod\bin\iPodService.exe
O23 – Service: Network Monitor – Unknown owner – C:\Program Files\Network Monitor\netmon.exe
O24 – Desktop Component 0: (no name) – http://www.avengedsevenfold.com/sites/www.avengedsevenfol…
–
End of file – 8856 bytes
18/08/2008 23:59:11
הערה מאת: פבל פ
OK. הבנתי. הפעילי את HIJACKTHIS שוב, והפעם בחרי באופציה השניה "DO A SYSTEM SCAN ONLY", לכשיסתיים ה-SCAN, סמני את הפריטים הבאים:
O2 – BHO: (no name) – {494964aa-1dd2-11b2-88cf-b746549bac04} – C:\WINDOWS\tojcvepy.dll (file missing)
O2 – BHO: (no name) – {791E5824-366E-4393-87BC-10EB579815A0} – C:\WINDOWS\system32\gEwVOFyw.dll
O2 – BHO: (no name) – {7E853D72-626A-48EC-A868-BA8D5E23E045} – (no file)
O2 – BHO: (no name) – {C3F6F4FE-85F6-4D0C-98DE-15324B09F149} – C:\WINDOWS\system32\ssqRLFyw.dll
O4 – HKLM\..\Run: [SYSTEM.rt32] C:\DOCUME~1\JMBO\LOCALS~1\Temp\lsass.exe
O4 – HKLM\..\Run: [e4a7f371] rundll32.exe "C:\WINDOWS\system32\hulvvpfb.dll",b
O4 – HKLM\..\Run: [BMe794c0ed] Rundll32.exe "C:\WINDOWS\system32\bqyhesmi.dll",s
שימי לב: חשוב לסמן את הפריטים שציינתי כאן, ואתם בלבד.
לאחר שתסמני את כולם, לחצי על FIX. הפעילי מחדש את המחשב, צרי LOG מחדש, והדביקי אותו כאן שוב.
IMPER, אתה יודע – נדודי שינה. :)
19/08/2008 00:41:18
הערה מאת: imper s
כרגיל :)
אגב, מזל טוב על התמונה.
19/08/2008 00:44:10
הערה מאת: פבל פ
תודה!
19/08/2008 09:35:58
הערה מאת: עידו ס
פבל, הוירוס מוכר.
אני רק מוסיף לטיפול הטוב שלך הערה קטנה:
אחרי שפבל מסיים להסיר לך אותו, תשני את הסיסמא של המסנג'ר שלך. יש גרסאות של הדבר הזה שלמעשה גונבות את הסיסמא ואת היוזר, ושולחות את ההודעות ממקום אחר, ולא מהמחשב שלך.
19/08/2008 10:03:42
הערה מאת: פבל פ
מוכר – כן, אך מאחר שיש לו כ"כ הרבה וריאציות, עדיף לטפל באופן ידני.
19/08/2008 11:22:20
הערה מאת: עידו ס
[ציטוט פבל פ 19/08/2008 10:03:42]
מוכר – כן, אך מאחר שיש לו כ"כ הרבה וריאציות, עדיף לטפל באופן ידני.
מסכים בהחלט. אני רק הוספתי את שינוי הסיסמא לאחר גמר הטיפול.
28/08/2008 20:55:49
הערה מאת: SMOOTHcriminal ס
אנשים.. תודה רבה על העזרה.. נפתרתי מהוירוס בעזרת SPY BOT. בכל מקרה תודה רבה על התגובות המהירות ואחלה שבוע:)