בעיה בשיחזור המערכת.
בעיה בשיחזור המערכת.
מאת: אורית בסאטלה ס
נכתב ב: 16/11/2008 21:39:56
כידוע המחשב האהוב שלי נדבק בוירוס שעובר דרך המסנג'ר.
עשיתי מיליון סריקות באמצעות:
nod32,ad-aware,spyware terminator
ומחקתי מלא קבצים שהתוכנות הצביעו עליהם.
כרגע הסריקות לא מראות קבצים נגועים אך המסנ' עדיין משתגע
ושולח את הוירוס לאנשי הקשר שלי.
אני מנסה לעשות שיחזור מערכת אולי זה יעזור.
אך השיחזור לא מצליח בטענה ש"לא קיימות נקודות שיחזור".
מישהו יכול להסביר לי מה קורה פה?
{אני מיואשת!}
תודה.
16/11/2008 22:08:58
הערה מאת: הוד ר
תכנסי ל:
1. התחל
2. תוכניות
3. עזרים
4. כלי מערכת
5. שחזור מערכת
א) בחלון שנפתח לך תלחצי על הקישור להגדרות שחזור המערכת
ב) בחלון שעכשיו נפתח לך תבטלי את הV המסומן בתיבה למעלה
עכשיו המחשב יצור לך נקודות שחזור באופן אוטומטי.
לגבי המסנג'ר אני אנסה לתת לך כלים לפתור אותם אבל אני צריך שתתני לי דוגמה למשפט שהוא מעביר לרשימה שלך(הזהרי לא ללחוץ שוב על הלינק)
16/11/2008 22:23:52
הערה מאת: אורית בסאטלה ס
כבר עשיתי את כל הפעולות האלה וביטלתי את ה V
הינה משפט לדוגמא:
Long hair gave him a camp look. Very funny
17/11/2008 01:30:13
הערה מאת: טל ק
ה V לא יעזור לה כרגע כי היא צריכה נקודות שיחזור קודמות..
זה טוב מאוד שהמחשב יתחיל ליצור נקודות שחזור בכל מקרה.
לדעתי אם הכלים שהוד ישלח לך לא יעזרו אז….
עדיף לגבות את החומר שלך ולהתקין את המערכת הפעלה מחדש (מומלץ אצל איש מקצוע)
רק תקווי שהוירוס/תולעת לא ישב לך איפושהו בגיבוי….
17/11/2008 01:53:27
הערה מאת: בני ר
אורית את חייבת לפרמט ..
חבל שמתוקה כמוך תישבור תראש סתם:
17/11/2008 10:10:23
הערה מאת: הוד ר
חחחח טל ברור שהם לא יעזרו לשחזור המערכת. היא שאלה "מה קורה פה?", למה אין לה נקודות שחזור אז הסברתי לה כדי שיהיה לה בעתיד.
אממ ואורית, מצטער אני לא מכיר את המשפט הזה… אני יכול לנסות לעזור לך אם תתארי לי נגיד אם בא אחרי זה לינק או קובץ זיפ.
ואם את מחליטה ללכת על הדרך הכי קלה של פרמוט זה גם בסדר אבל אנחנו בד"כ עושים את זה רק בסוף כשמגיעים לדרך ללא פתרון או שהפתרון ממש מסבך ואיתך עוד לא הגענו לזה. =]
17/11/2008 10:12:28
הערה מאת: אורית בסאטלה ס
[ציטוט הוד ר 17/11/2008 10:10:23]
חחחח טל ברור שהם לא יעזרו לשחזור המערכת. היא שאלה "מה קורה פה?", למה אין לה נקודות שחזור אז הסברתי לה כדי שיהיה לה בעתיד.
אממ ואורית, מצטער אני לא מכיר את המשפט הזה… אני יכול לנסות לעזור לך אם תתארי לי נגיד אם בא אחרי זה לינק או קובץ זיפ.
ואם את מחליטה ללכת על הדרך הכי קלה של פרמוט זה גם בסדר אבל אנחנו בד"כ עושים את זה רק בסוף כשמגיעים לדרך ללא פתרון או שהפתרון ממש מסבך ואיתך עוד לא הגענו לזה. =]
קיבלתי קובץ זיפ.
ודרך אגב.
מצאתי מדריך איך להשמיד אותו אבל אני קצת מסתבכת.
תוכל לעזור לי?
17/11/2008 11:03:50
הערה מאת: יקיר ח
תורידי את התוכנה MSNCleaner
תעשי סריקה ומה שזה מוצא תמחקי וזה ימחק לך את הוירוס
להורדה
http://msncleaner.en.malavida.com/d4346-free-download-win…
בהצלחה
17/11/2008 11:17:36
הערה מאת: אורית בסאטלה ס
יאווווווווווווווווו אם זה עובד אתה מלך!
17/11/2008 11:39:23
הערה מאת: הוד ר
כן בטח שאני יכול אם מה שיקיר אמר לא יעבוד תשלחי לי את המסנג'ר שלך בפרטי
17/11/2008 11:40:19
הערה מאת: אורית בסאטלה ס
זה לא עובד!!!!!!!
17/11/2008 19:33:24
הערה מאת: Aviad BF whore H
[ציטוט אורית בסאטלה ס 17/11/2008 11:40:19]
זה לא עובד!!!!!!!
יקיר סתם מציע הצעות מעפנות.. :P
הכי טוב בשבילך , 2 דרכים:
1. להדביק לנו פה לוג של HIJACKTHIS.
http://www.trendsecure.com/portal/en-US/tools/security_to…
2. תורידי את התוכנה הזו, תעשי סריקה ותחזיקי אצבעות.
http://www.malwarebytes.org/
בזכותה הצלחתי להפטר ממזיקים עקשניים יותר שAD-AWARE ו SPYBOT לא הצליחו לזהות אפילו.
17/11/2008 19:39:41
הערה מאת: אורית בסאטלה ס
אני אוריד אותה תכף.תודה!
והינה הלוג:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:36:03 PM, on 11/17/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
C:\WINDOWS\GWHotKey.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\GWMDMMSG.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\qttask.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\ZSSnp211.exe
C:\WINDOWS\Domino.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\DVDREG~1\DVDRegionFree.exe
C:\Program Files\Windows Live\Family Safety\fssui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Orelus Tirgumit\tirgumit.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\User\Desktop\HiJackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.walla.co.il/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.down.co.il/cgi-bin/index
R3 – URLSearchHook: SweetIM ToolbarURLSearchHook Class – {EEE6C35D-6118-11DC-9C72-001320C79847} – C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
R3 – URLSearchHook: (no name) – {5c2757dc-3749-4a87-a788-481b780d6c25} – (no file)
R3 – URLSearchHook: (no name) – {873e92f2-8497-4eea-9082-3898d2fb03fc} – (no file)
R3 – URLSearchHook: Yahoo! Toolbar – {EF99BD32-C1FB-11D2-892F-0090271D4F88} – C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 – BHO: &Yahoo! Toolbar Helper – {02478D38-C3F9-4efb-9B51-7695ECA05670} – C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 – BHO: Windows Live OneCare Family Safety Browser Helper – {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} – C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 – BHO: SSVHelper Class – {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} – C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 – BHO: (no name) – {7E853D72-626A-48EC-A868-BA8D5E23E045} – (no file)
O2 – BHO: Windows Live Sign-in Helper – {9030D464-4C02-4ABF-8ECC-5164760863C6} – C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 – Toolbar: &Crawler Toolbar – {4B3803EA-5230-4DC3-A7FC-33638F3D3542} – C:\PROGRA~1\Crawler\Toolbar\ctbr.dll (file missing)
O3 – Toolbar: ICQ Toolbar – {855F3B16-6D32-4fe6-8A56-BBB695989046} – C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing)
O3 – Toolbar: (no name) – {873e92f2-8497-4eea-9082-3898d2fb03fc} – (no file)
O3 – Toolbar: SweetIM Toolbar for Internet Explorer – {EEE6C35B-6118-11DC-9C72-001320C79847} – C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (file missing)
O3 – Toolbar: (no name) – {5c2757dc-3749-4a87-a788-481b780d6c25} – (no file)
O3 – Toolbar: Yahoo! Toolbar – {EF99BD32-C1FB-11D2-892F-0090271D4F88} – C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 – HKLM\..\Run: [Multi-function Keyboard] GWHotKey.exe
O4 – HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 – HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 – HKLM\..\Run: [GWMDMMSG] GWMDMMSG.exe
O4 – HKLM\..\Run: [GWMDMpi] C:\WINDOWS\GWMDMpi.exe
O4 – HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 – HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 – HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 – HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 – HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 – HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 – HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe
O4 – HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe
O4 – HKLM\..\Run: [SYS2] C:\WINDOWS\system32\bad1.exe
O4 – HKLM\..\Run: [SYS3] C:\WINDOWS\system32\bad2.exe
O4 – HKLM\..\Run: [SYS4] C:\WINDOWS\system32\bad3.exe
O4 – HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 – HKLM\..\Run: [btmhf] C:\WINDOWS\system32\btmhf.exe \j
O4 – HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fssui.exe" -autorun
O4 – HKLM\..\Run: [SYS1] C:\WINDOWS\system32\system.exe
O4 – HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 – HKLM\..\Run: [YSearchProtection] "C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe"
O4 – HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [Search Protection] C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
O4 – HKCU\..\Run: [YSearchProtection] C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe
O4 – HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 – HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 – HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 – HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 – HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 – HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 – Startup: תלמידון.lnk = C:\Program Files\TalmidOn\Talmidon.exe
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 – Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 – Global Startup: Status Monitor.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 – Extra context menu item: Add to Google Photos Screensa&ver – res://C:\WINDOWS\system32\GPhotos.scr/200
O8 – Extra context menu item: Crawler Search – tbr:iemenu
O8 – Extra context menu item: שלח לתרגומית – res://C:\Program Files\Orelus Tirgumit\Orelus.dll/CONTEXT_HANDLE.HTM
O9 – Extra button: (no name) – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 – Extra button: Blog This – {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} – C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 – Extra 'Tools' menuitem: &Blog This in Windows Live Writer – {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} – C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 – Extra button: ICQ6 – {E59EB121-F339-4851-A3BA-FE49C35617C2} – C:\Program Files\ICQ6\ICQ.exe
O9 – Extra 'Tools' menuitem: ICQ6 – {E59EB121-F339-4851-A3BA-FE49C35617C2} – C:\Program Files\ICQ6\ICQ.exe
O9 – Extra button: Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O16 – DPF: CabBuilder – http://kiw.imgag.com/imgag/kiw/toolbar/download/Installer…
O16 – DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) – http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 – DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) – C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 – DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) – http://messenger.zone.msn.com/binary/SolitaireShowdown.ca…
O16 – DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) – http://www.update.microsoft.com/microsoftupdate/v6/V5Cont…
O16 – DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) – http://messenger.zone.msn.com/binary/MessengerStatsPAClie…
O16 – DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) – http://messenger.zone.msn.com/binary/MineSweeper.cab56986…
O18 – Protocol: tbr – {4D25FB7A-8902-4291-960E-9ADA051CFBBF} – C:\PROGRA~1\Crawler\Toolbar\ctbr.dll (file missing)
O23 – Service: Ati HotKey Poller – ATI Technologies Inc. – C:\WINDOWS\system32\Ati2evxx.exe
O23 – Service: BrSplService (Brother XP spl Service) – brother Industries Ltd – C:\WINDOWS\system32\brsvc01a.exe
O23 – Service: Eset HTTP Server (EhttpSrv) – ESET – C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 – Service: Eset Service (ekrn) – ESET – C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 – Service: Google Updater Service (gusvc) – Google – C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 – Service: Spyware Terminator Realtime Shield Service (sp_rssrv) – Crawler.com – C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 – Service: Yahoo! Updater (YahooAUService) – Yahoo! Inc. – C:\Program Files\Yahoo!\SoftwareUpdate\YahooAUService.exe
–
End of file – 10396 bytes
17/11/2008 19:42:12
הערה מאת: אורית בסאטלה ס
דרך אגב,לפי המדריך שיש לי זה אמור להיות הקובץ שאני אמורה למחוק.אבל אני לא מוצאת אותו.
O23 – Service: Ati HotKey Poller – ATI Technologies Inc. – C:\WINDOWS\system32\Ati2evxx.exe
כתוב לי להסיר קובץ בשם HOTKEY האם זה בטוח להסיר אותו או שזה לא הוא?