WizeMan Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 Εδώ και καιρό έχω στο μηχάνημα ένα ιό που δεν λέει να καθαρίσει με τίποτα. Στην ουσία αυτό που κάνει είναι να στέλνει e-mail με αποτέλεσμα να εμφανίζονται ένα κάρο παράθυρα από το Symantec... Έτρεξα πολλά καθαριστικά αλλά κανένα δεν έκανε τίποτα. Η φάση είναι ότι δεν ξεκινάει με το που φορτώνουν τα winblowz αλλά όποτε του καπνίσει οπότε δεν μπορώ να ξέρω αμέσως αν καθάρισε ή όχι. Στην τελευταία μου προσπάθεια τώρα, απενεργοποίησα το System Restore και έκανα καθάρισμα σε ασφαλή λειτουργία με το ewido anti-spyware. Για την ώρα δεν έχει βγει κάτι μετά την επανεκκίνηση αλλά σας παραθέτω το log του HiJackThis μήπως μπορείτε να βρείτε κάτι εσείς: > Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 8:58:18 μμ, on 27/8/2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17080) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\crypserv.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\Program Files\ewido anti-spyware 4.0\guard.exe C:\Atlas\server\ctsrvr.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\LogMeIn\x86\RaMaint.exe C:\Program Files\LogMeIn\x86\LogMeIn.exe C:\Program Files\LogMeIn\x86\LMIGuardian.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Microsoft SQL Server\MSSQL$EPSILON\Binn\sqlservr.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\Program Files\Analog Devices\SoundMAX\Smax4.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Program Files\Cobian Backup 8\Cobian.exe C:\Program Files\LogMeIn\x86\LogMeInSystray.exe C:\Program Files\LogMeIn\x86\LMIGuardian.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Program Files\Cobian Backup 8\cbInterface.exe C:\Program Files\ewido anti-spyware 4.0\ewido.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\Program Files\Okidata\OKI LPR Utility\okilpr.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\Program Files\Java\jre6\bin\jucheck.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Symantec AntiVirus\vpc32.exe C:\Program Files\Symantec AntiVirus\vpdn_lu.exe C:\Documents and Settings\User\Τα έγγραφά μου\Downloads\HijackThis.exe C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome\Application\chrome.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.gr/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1032 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Συνδέσεις O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Cobian Backup 8] "C:\Program Files\Cobian Backup 8\Cobian.exe" O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\User\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: OKI LPR Utility.lnk = C:\Program Files\Okidata\OKI LPR Utility\okilpr.exe O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: Ε&ξαγωγή στο Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Έρευνα - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1194503502812 O17 - HKLM\System\CCS\Services\Tcpip\..\{171A00E8-8716-44D0-B272-D9FD7D87603B}: NameServer = 10.0.0.138 O17 - HKLM\System\CCS\Services\Tcpip\..\{5E911924-A6D8-4197-996B-B9CF1DDD7923}: NameServer = 10.0.0.138 O17 - HKLM\System\CS1\Services\Tcpip\..\{171A00E8-8716-44D0-B272-D9FD7D87603B}: NameServer = 10.0.0.138 O17 - HKLM\System\CS2\Services\Tcpip\..\{171A00E8-8716-44D0-B272-D9FD7D87603B}: NameServer = 10.0.0.138 O17 - HKLM\System\CS3\Services\Tcpip\..\{171A00E8-8716-44D0-B272-D9FD7D87603B}: NameServer = 10.0.0.138 O22 - SharedTaskScheduler: Προφορτωτής Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Δαίμονας cache κατηγοριών στοιχείων - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe O23 - Service: FairComServer - Unknown owner - C:\Atlas\server\ctsrvr.exe O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe -- End of file - 10041 bytes ευχαριστώ προκαταβολικά, ελπίζω να μη χρειαστεί να κάνω τίποτα άλλο
flik Δημοσ. 27 Αυγούστου 2010 Δημοσ. 27 Αυγούστου 2010 Καταρχάς ποια έκδοση του Norton AV έχεις; Πρέπει να είναι παλιά. Καλύτερα αν θες να κρατήσεις το norton να αναβαθμίσεις στην 2010/2011 έκδοση, ή αλλιώς βάλε κάτι άλλο. Οτι αλλαγή κάνεις σε antivirus, καλύτερα κάνε την αφού καθαρίσεις πλήρως τον υπολογιστή. Γενικά δεν είναι και πολύ καλό να κρατάς παλιές εκδόσεις antivirus στον υπολογιστή σου, πόσο μαλλον στην περίπτωση αυτήν, που το norton στις παλιές εκδόσεις δεν έχει πολλές λειτουργίες που εξασφαλίζουν καλύτερα την ασφάλεια του υπολογιστή. Για το hijackthis, με μια πρόχειρη ματιά λόγω μεγέθους, νομίζω πως πρέπει να κάνεις fix το εξής: O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe Απο κει και πέρα, για να καθαρίσεις το pc κατέβασε και τρέξε τα εξής: Kaspersky Virus Removal Tool Malwarebytes Anti-Malware Free SuperAntispyware Portable
WizeMan Δημοσ. 28 Αυγούστου 2010 Μέλος Δημοσ. 28 Αυγούστου 2010 Καταρχάς ποια έκδοση του Norton AV έχεις; Πρέπει να είναι παλιά. Καλύτερα αν θες να κρατήσεις το norton να αναβαθμίσεις στην 2010/2011 έκδοση, ή αλλιώς βάλε κάτι άλλο. Οτι αλλαγή κάνεις σε antivirus, καλύτερα κάνε την αφού καθαρίσεις πλήρως τον υπολογιστή. Γενικά δεν είναι και πολύ καλό να κρατάς παλιές εκδόσεις antivirus στον υπολογιστή σου, πόσο μαλλον στην περίπτωση αυτήν, που το norton στις παλιές εκδόσεις δεν έχει πολλές λειτουργίες που εξασφαλίζουν καλύτερα την ασφάλεια του υπολογιστή. Για το hijackthis, με μια πρόχειρη ματιά λόγω μεγέθους, νομίζω πως πρέπει να κάνεις fix το εξής: O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe Απο κει και πέρα, για να καθαρίσεις το pc κατέβασε και τρέξε τα εξής: Kaspersky Virus Removal Tool Malwarebytes Anti-Malware Free SuperAntispyware Portable Ευχαριστώ πολύ, θα τα δοκιμάσω απόψε και θα σας πω
thanos713 Δημοσ. 28 Αυγούστου 2010 Δημοσ. 28 Αυγούστου 2010 Αυτό το "αλλά όποτε του καπνίσει" μου βρωμάει... Μήπως ανοίγεις τίποτα και ανοίγει?
paladin987 Δημοσ. 28 Αυγούστου 2010 Δημοσ. 28 Αυγούστου 2010 Δοκιμασε να κατεβασεις το Combofix αυτο συνηθως τα αφαιρει ολα !!!!
flik Δημοσ. 28 Αυγούστου 2010 Δημοσ. 28 Αυγούστου 2010 Αυτό το "αλλά όποτε του καπνίσει" μου βρωμάει... Μήπως ανοίγεις τίποτα και ανοίγει? Είναι σύνηθες χαρακτηριστικό των spyware. Βασικά τώρα που το θυμήθηκα, κατέβασε το autoruns (πάτα το στο google είναι δωρεάν και άμεσα εκτελέσιμο χωρίς setup) και απο τα Options κάνε "hide microsoft entries". Μετά, ψάξε για οποιοδήποτε στοιχείο δε γνωρίζεις και συνήθως δεν έχει publisher, και απενεργοποίησέ το. Αλλά με αυτά που σου είπα, λογικά θα καθαρίσεις.
vjkostas Δημοσ. 28 Αυγούστου 2010 Δημοσ. 28 Αυγούστου 2010 Κατέβασε και τρέξε το Combofix, είναι η τελευταία λύση όταν όλα τα άλλα δεν κάνουν δουλειά. Το έχω χρησιμοποιήσει πολλές φορές και με έχει σώσει. Κατέβασε το απο εδώ http://www.bleepingcomputer.com/combofix/how-to-use-combofix
tarantules Δημοσ. 29 Αυγούστου 2010 Δημοσ. 29 Αυγούστου 2010 Κάνε μια καθαρή εγκατάσταση των windows γιατί σε βλέπω να παιδεύεσαι να ψάχνεις μέχρι του χρόνου...
WizeMan Δημοσ. 30 Αυγούστου 2010 Μέλος Δημοσ. 30 Αυγούστου 2010 Έσβησα το ύποπτο στοιχείο, έκανα και ένα καθαρισμό με το Super AntiSpyware και το Kaspersky και φαίνεται να τρέχει ΟΚ αρκετές ώρες τώρα.
guru_gr Δημοσ. 22 Σεπτεμβρίου 2010 Δημοσ. 22 Σεπτεμβρίου 2010 καλημερα, το Kaspersky Virus Removal Tool κανει κατι εξτρα απο το Kaspersky internet security ?
flik Δημοσ. 22 Σεπτεμβρίου 2010 Δημοσ. 22 Σεπτεμβρίου 2010 Όχι,δεν κάνει κάτι παραπάνω. Εδεχομένως κάποια πράγματα να μη μπορεί να τα καθαρίσει. Αναφέρομαι στο advanced disinfection technology του kaspersky. Συμπερασματικά αν εχεις το KIS δεν έχει νόημα να κατεβάσεις το removal tool. Sent from my HTC Magic using Tapatalk
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.