BongoFury Δημοσ. 27 Ιανουαρίου 2006 Δημοσ. 27 Ιανουαρίου 2006 Μετά από full scan με το Ad-Aware, ακόμα και σε safe mode, προκύπτει το εξής μοναδικό αποτέλεσμα: Name:Windows Category:Vulnerability Object Type:RegData Size:15 Bytes Location:regfile\shell\open\command "" (notepad.exe %1) Last Activity:19-1-2006 Relevance:Low TAC index:3 Comment:Possible virus infection, REG file extension compromised Description:General Windows Security Issue. Your system security may be compromised. The specifics of the possible compromised item are listed in the comments section. Παρότι δίνω εντολή για remove, το πρόγραμμα συνεχίζει να δίνει το ίδιο αποτέλεσμα σε κάθε scan. Η εφαρμογή τόσο του αντιβιωτικού, όσο και των υπόλοιπων Anti-spyware (Spybot, Microsoft AntiSpyware), δε δείχνει τίποτα. Κάθε βοήθειά σας είναι ευπρόσδεκτη.
pli20022 Δημοσ. 28 Ιανουαρίου 2006 Δημοσ. 28 Ιανουαρίου 2006 Ρίξε μιά ματιά εδώ: http://securityresponse.symantec.com/avcenter/venc/data/backdoor.way.html Πρώτα βεβαιώσου ότι είναι πράγματι αυτό που ψάχνεις , κάνε ένα back up την registry και μετά διεγραψέ το χειροκίνητα Οι οδηγίες είναι προς το τέλος της ιστιοσελίδας Καλή τύχη
BongoFury Δημοσ. 28 Ιανουαρίου 2006 Μέλος Δημοσ. 28 Ιανουαρίου 2006 Ευχαριστώ για την απάντηση, θα δοκιμάσω και βλέπουμε...
BongoFury Δημοσ. 28 Ιανουαρίου 2006 Μέλος Δημοσ. 28 Ιανουαρίου 2006 Δε γίνεται τίποτα, ούτε βρέθηκε κάποια λύση από το διαδίκτυο...
blueviper Δημοσ. 29 Ιανουαρίου 2006 Δημοσ. 29 Ιανουαρίου 2006 BongoFury...κατέβασε το HijackThis, σκάναρε το υπολογιστή και κάνε ένα copy/paste το log, ώστε να τσεκάρουμε που ακριβώς μπορεί να έχει κρυφτεί και τι είναι. Αν γλυτώσει κι από το HijackThis (scanner είναι κι απλώς διαγράφει με τη σύμφωνη γνώμη σου...δε σε ειδοποιεί όμως για το τι συγκεκριμένα είναι αυτό που βρήκε), τότε μάλλον πας για format (αν ανησυχείς γενικότερα). Δεν μπορούμε πάντως να αποκλείσουμε πως δεν είναι και τίποτα...άλλωστε και το Ad-Aware για πιθανότητα μιλάει.
BongoFury Δημοσ. 29 Ιανουαρίου 2006 Μέλος Δημοσ. 29 Ιανουαρίου 2006 Εδώ έχω και το log του HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 10:46:37 μμ, on 28/1/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe C:\Program Files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe C:\Program Files\F-Secure\Anti-Virus\fssm32.exe C:\Program Files\F-Secure\Common\FSMA32.EXE C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\F-Secure\Common\FSMB32.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\F-Secure\Common\FCH32.EXE C:\WINDOWS\System32\ups.exe C:\WINDOWS\system32\RunDll32.exe C:\Program Files\Mouse\Amoumain.exe C:\Program Files\F-Secure\Common\FSM32.EXE C:\Program Files\F-Secure\Common\FAMEH32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\StopDialers\StopDialer.exe C:\Program Files\F-Secure\Common\FNRB32.EXE C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe C:\Program Files\F-Secure\Common\FIH32.EXE C:\Program Files\F-Secure\Anti-Virus\fsav32.exe C:\Program Files\F-Secure\FSGUI\fsguiexe.exe C:\Program Files\Winamp\winamp.exe C:\Program Files\RAM Idle\RAM_XP.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Administrator\Τα έγγραφά μου\Applications\_FREEWARE\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Συνδέσεις O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O2 - BHO: (no name) - {5F50A50A-0A0F-4F58-8B1C-62BC60F9B05A} - (no file) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.dll,CMICtrlWnd O4 - HKLM\..\Run: [WheelMouse] Amoumain.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Stop Dialers.lnk = C:\Program Files\StopDialers\StopDialer.exe O8 - Extra context menu item: Do&wnload by ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm O8 - Extra context menu item: Download A&ll by ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm O8 - Extra context menu item: Open Selected URL - C:\Program Files\RightClickGoogleSearchOpenSelectedURL\openselectedurl.htm O8 - Extra context menu item: Save Flash - res://C:\Program Files\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210 O8 - Extra context menu item: Search &Google - C:\Program Files\RightClickGoogleSearchOpenSelectedURL\google.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Program Files\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU) O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3E834B2B-37E7-40F7-953A-444D8FD69AE0}: NameServer = 213.249.17.10 213.249.17.11 O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe Δε βλέπω τίποτα... ή κάνω λάθος;
blueviper Δημοσ. 29 Ιανουαρίου 2006 Δημοσ. 29 Ιανουαρίου 2006 Ούτε εγώ βλέπω κάτι πραγματικά επιλήψιμο...για καλό και για κακό μπήκα στη διαδικασία να κάνω copy/paste, από το "R0..." και κάτω, εδώ για επιπλέον ανάλυση (σου προτείνω να το κάνεις κι ο ίδιος και γενικώς να το έχεις υπόψη σου). Δε βρήκε επίσης τίποτα σπουδαίο. Στη θέση σου δε θα ανησυχούσα...άλλωστε, όπως προείπα, και το Ad-Aware για πιθανότητα και μόνο μιλάει. ΝΑ είχαμε καμιά βεβαιότητα, να το ψάχναμε και περαιτέρω, αλλά δε νομίζω να βγάζαμε κι άκρη από τη στιγμή που δεν υπάρχουν και διαδικτυακές πηγές. Edit: Μονάχα αυτό το StopDialer.exe δε μου έκατσε πολύ καλά, αλλά αν είναι ηθελημένη η παρουσία του τότε πάω πάσο.
BongoFury Δημοσ. 29 Ιανουαρίου 2006 Μέλος Δημοσ. 29 Ιανουαρίου 2006 blueviper, ευχαριστώ φίλε, έριξα μια ματιά και στην ανάλυση που πρότεινες - εξαιρετική! Και γω δεν ανησυχώ ιδαίτερα, αφού δεν υπάρχει κανένα πρόβλημα γενικότερα, απλά και μόνο για το ότι δε λέει να φύγει ασχολούμαι τόσο. Το StopDialer είναι ένα προγραμματάκι που προλαμβάνει τις "κακές" κλήσεις, καθ'όλα νόμιμο και αποτελεσματικό έως τώρα. Ευχαριστώ ξανά!
blueviper Δημοσ. 29 Ιανουαρίου 2006 Δημοσ. 29 Ιανουαρίου 2006 Να 'σαι καλά! Το HijackThis με έχει σώσει σε πολλές περιπτώσεις που τα κλασικά malware προγράμματα σήκωναν τα χέρια ψηλά. Από τότε κάνω απλώς το ηθικό μου καθήκον να το συστήσω και σε άλλους. Τα ευχαριστώ λοιπόν στους δημιουργούς του, που τα αξίζουν κι όλας!
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.