וירוס- XP ANTIVIRUS . צירפתי לוג HIJACKTH

[not2nice]

שלום

נדבקתי בוירוס די מעצבן… הצלחתי להסיר את רובו בעזרת ADAWARE ו SPYBOT אך עדיין נשארו שרידים רבים כגון:
1- הודעת " VIRUS ALERT" שמופיעה לי ליד השעון בתחתית המסך.
2- רקע המסך שלי מתחרפן כל רגע ומשנה צבעים, (אבל לפחות כבר לא מופיעים לי קרניים על רקע אדום והודעה ענקית שטוענת כי הפרטיות שלי נפרצה
3- כונן C כאילו וחסר. הוא אינו מופיע תחת ה"מחשב שלי", אלא ניתן להגיע אליו רק אם אני מקלידה "C" בשורת הכתובת.
4- תפריט ההתחלה שלי לא מכיל נתונים כמו לוח בקרה, חיפוש, הרץ וכו'. (קודם לכן לא הופיעה גם קטגורית "תוכניות", אך בעזרת תוכנות הריגול הצלחתי לסדר את זה) .

צירפתי לוג של hijackthis.log.
אשמח לקבל עזרה נוספת
תודה.

 

Logfile of HijackThis v1.99.1
Scan saved at 01:28: VIRUS ALERT!, on 18/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\USS\USS.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\User\Desktop\HijackThis.exe

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.walla.co.il/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O3 – Toolbar: Netex – {000000A4-5858-4E36-BA5B-FDD80F3D5145} – C:\Program Files\Netex Client\netextb.dll
O3 – Toolbar: Radio Israel Toolbar – {889eb3f6-f16b-4bc0-bc81-9c407c8a3240} – C:\Program Files\Radio_Israel\tbRadi.dll (file missing)
O3 – Toolbar: &Google – {2318C2B1-4965-11d4-9B18-009027A5CD4F} – c:\program files\google\googletoolbar1.dll
O3 – Toolbar: Babylon – {965B54B0-71E0-4611-8DE7-F73FA0B20E26} – C:\Program Files\Babylon\Babylon Toolbar\BabylonIEToolBar.dll
O3 – Toolbar: qndsfmao – {99E682D3-1B1F-4593-9258-ABBFA9310025} – C:\WINDOWS\qndsfmao.dll (file missing)
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
O4 – HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 – HKLM\..\Run: [USS] "C:\Program Files\USS\USS.exe"
O4 – HKLM\..\Run: [38d4da4d] rundll32.exe "C:\WINDOWS\system32\pacwixme.dll",b
O4 – HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 – HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [06410637802964589264222776998145] C:\Program Files\XP Antivirus\xpa.exe
O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 – Extra context menu item: E&xport to Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 – Extra context menu item: Translate with &Babylon – res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.ht m
O9 – Extra button: (no name) – {00000389-CB2E-4FAB-BC54-03FA0B39B465} – C:\Program Files\Netex Client\netextb.dll
O9 – Extra 'Tools' menuitem: Netex – {00000389-CB2E-4FAB-BC54-03FA0B39B465} – C:\Program Files\Netex Client\netextb.dll
O9 – Extra button: (no name) – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 – Extra button: Research – {92780B25-18CC-41C8-B9BE-3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 – DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) – http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 – DPF: {21F49842-BFA9-11D2-A89C-00104B62BDDA} (ChartFX Internet Control) – https://service.pelephone.co.il/WebPhone/jsp/Client/CfxIEAx. cab
O16 – DPF: {2B26018A-1D8D-4C19-9A9B-F6C49453A21D} (LauncherV1 Class) – http://irc.msn.co.il/Day/launcher.cab
O16 – DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) – http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56 986.cab
O16 – DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) – http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 – DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) – http://update.microsoft.com/microsoftupdate/v6/V5Controls/en /x86/client/muweb_site.cab?1166530238186
O16 – DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) – http://messenger.zone.msn.com/binary/MessengerStatsClient.ca b31267.cab
O16 – DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) – http://messenger.zone.msn.com/binary/MessengerStatsPAClient. cab56907.cab
O16 – DPF: {CBF2C04B-50B5-4C7B-8D49-ACB62582F8E6} (LauncherV1 Class) – http://chat-basic.nana.co.il/Cabs/launcher.cab
O16 – DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) – http://a532.g.akamai.net/f/532/6712/5m/virtools.download.aka mai.com/6712/player/install/installer.exe
O16 – DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) – http://messenger.zone.msn.com/binary/MineSweeper.cab56986.ca b
O16 – DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) – http://www.creative.com/su/ocx/15026/CTPID.cab
O16 – DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) – http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31 267.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{3A5C36C7-3FA4-4CA3-91FD-B 68DFEA2E0ED}: NameServer = 62.219.186.7 192.117.235.235
O18 – Protocol: livecall – {828030A1-22C1-4009-854F-8E305202313F} – C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 – Protocol: msnim – {828030A1-22C1-4009-854F-8E305202313F} – C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 – AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O21 – SSODL: evgratsm – {1321C2C7-48E5-422D-80C4-632CB0F056BB} – C:\WINDOWS\evgratsm.dll (file missing)
O23 – Service: AVG7 Alert Manager Server (Avg7Alrt) – GRISOFT, s.r.o. – C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 – Service: AVG7 Update Service (Avg7UpdSvc) – GRISOFT, s.r.o. – C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 – Service: Google Updater Service (gusvc) – Google – C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 – Service: SPAMfighter Update Service – SPAMfighter ApS – C:\Program Files\SPAMfighter\sfus.exe

 

[elad]

טוב, זהו אכן וירוסים ורוגולות מעצבנות.
לפעם הבאה תתקין אנטי וירוס שיתן נורות אזהרה.
בגלל שניסית לעשות סריקות עם תוכנות הריגול ולא השגת הצלחה, אני מציע שתעשה שיחזור מערכת לנקודת הזמן ההכי קצרה לפני שנדבקת בכל העסק הזה.
שיחזור מערכת זהו הפיתרון שאפילו לא תראה זכר לכל הוירוסים והרוגלות.
בהצלחה

[מאת]

תגובות