vazelo Δημοσ. 2 Φεβρουαρίου 2006 Δημοσ. 2 Φεβρουαρίου 2006 Παρακαλω λιγο την προσοχη σας... Μετα την εγκατασταση ενος p2p ονοματι AppleJuice(μπορει να μην φταιει αυτο!) ο υπολογιστης αντιδρα καπως περιεργα. Δυσκολευεται να μπει msn,αργει βασανιστικα να μπει σε σελιδες και συνεχως ανεβαζει-κατεβαζει καμποσα kbytes. Ολα αυτα με dsl 384... Το mcaffe δεν βρισκει τιποτα Το spybot s&d επισης To spyware doctor τα ιδια Moνο το SpySweeper βρισκει ενα trojan με βαθμο επικινδυνοτητας 4/5 ονοματι "trojan-downloader-ranky" το οποιο βρισκεται στη θεση HKLM\microsoft\window\currentversion\run\\ ||printer Να σημειωσω επισης οτι καθε φορα που το σβηνω μου πεταει μηνυμα το SpySweeper. Startup Shield-->Αν θελω να ξεκιναει το προγραμμα printer(??) καθε φορα που ανοιγω το pc. Επισης οταν κανω disconnect βγαινει το μηνυμα οτι το irc.debelizombie.com ζητα συνδεση με το ιντερνετ. Σβηνοντας το δεν αλλαζει απολυτως τπτ... Τι αλλο μπορω να κανω?? Οποια βοηθεια 8α με υποχρεωσει...
blueviper Δημοσ. 2 Φεβρουαρίου 2006 Δημοσ. 2 Φεβρουαρίου 2006 Ακολούθησε τις οδηγίες σε αυτό το thread και δώσε το log τόσο εδώ, όσο και στο site που προτείνεται να δούμε τι ακριβώς έχει εγκατασταθεί που μπορεί να σου δημιουργεί πρόβλημα.
vazelo Δημοσ. 2 Φεβρουαρίου 2006 Μέλος Δημοσ. 2 Φεβρουαρίου 2006 Ιδου το logfile Logfile of HijackThis v1.99.1 Scan saved at 3:11:40 πμ, on 2/2/2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\LEXBCES.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\LEXPPS.EXE D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe d:\progra~1\mcafee\mcafee antispyware\massrv.exe d:\program files\mcafee.com\agent\mcdetect.exe d:\PROGRA~1\mcafee.com\vso\mcshield.exe d:\PROGRA~1\mcafee.com\agent\mctskshd.exe D:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe D:\WINDOWS\System32\nvsvc32.exe D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe D:\WINDOWS\Explorer.EXE D:\PROGRA~1\mcafee.com\agent\mcagent.exe D:\Program Files\SlySoft\CloneCD\CloneCDTray.exe D:\WINDOWS\system32\svchost.exe D:\Program Files\McAfee.com\VSO\mcvsshld.exe D:\Program Files\McAfee.com\VSO\oasclnt.exe D:\progra~1\mcafee\MCAFEE~2\masalert.exe d:\progra~1\mcafee.com\vso\mcvsescn.exe D:\WINDOWS\System32\RUNDLL32.EXE D:\Program Files\Anti-Blaxx\Anti-Blaxx.exe D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe D:\WINDOWS\System32\pctspk.exe D:\WINDOWS\System32\PV92Tray.exe D:\Program Files\Crypto\AccessRunner ADSL\CnxDslTb.exe D:\Program Files\Common Files\Real\Update_OB\realsched.exe D:\Program Files\DAEMON Tools\daemon.exe D:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe D:\Program Files\Lexmark 3100 Series\lxbrbmon.exe D:\Program Files\Messenger\msmsgs.exe D:\Program Files\MSN Messenger\MsnMsgr.Exe D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe D:\WINDOWS\System32\ctfmon.exe D:\WINDOWS\System32\auditchk.exe D:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe d:\progra~1\mcafee.com\vso\mcvsftsn.exe D:\Program Files\AVerTV\QuickTV.exe D:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe F:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Συνδέσεις O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - d:\progra~1\mcafee.com\vso\mcvsshl.dll O3 - Toolbar: &Ραδιόφωνο - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [MCUpdateExe] d:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [MCAgentExe] d:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [VSOCheckTask] "D:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] D:\Program Files\McAfee.com\VSO\mcvsshld.exe O4 - HKLM\..\Run: [OASClnt] D:\Program Files\McAfee.com\VSO\oasclnt.exe O4 - HKLM\..\Run: [_AntiSpyware] d:\progra~1\mcafee\MCAFEE~2\masalert.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Anti-Blaxx Manager] D:\Program Files\Anti-Blaxx\Anti-Blaxx.exe O4 - HKLM\..\Run: [spySweeper] "D:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [PV92TRAY] PV92Tray.exe O4 - HKLM\..\Run: [CnxDslTaskBar] "D:\Program Files\Crypto\AccessRunner ADSL\CnxDslTb.exe" O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [DAEMON Tools] "D:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [LXBRKsk] D:\PROGRA~1\LEXMAR~1\LXBRKsk.exe O4 - HKLM\..\Run: [Lexmark 3100 Series] "D:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Printer] D:\WINDOWS\System32\auditchk.exe O4 - HKLM\..\RunServices: [Printer] D:\WINDOWS\System32\auditchk.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Printer] D:\WINDOWS\System32\auditchk.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: QuickTV.lnk = D:\Program Files\AVerTV\QuickTV.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126517934233 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,20/mcgdmgr.cab O16 - DPF: {BDEE1959-AB6B-4745-A29B-F492861102CC} - O16 - DPF: {D79B6F43-F214-4E7A-9ECB-CCC8771F2416} (LauncherV1 Class) - http://irc.tapuz.co.il/chat_new/launcher.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: RegCompact - D:\WINDOWS\SYSTEM32\RegCompact.dll O20 - Winlogon Notify: WRNotifier - D:\WINDOWS\SYSTEM32\WRLogonNTF.dll O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE O23 - Service: McAfee AntiSpyware Service - McAfee, Inc. - d:\progra~1\mcafee\mcafee antispyware\massrv.exe O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - d:\program files\mcafee.com\agent\mcdetect.exe O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - d:\PROGRA~1\mcafee.com\vso\mcshield.exe O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - d:\PROGRA~1\mcafee.com\agent\mctskshd.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - D:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - D:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe ΠΟυ αλλου πρεπει να το στειλω??
blueviper Δημοσ. 2 Φεβρουαρίου 2006 Δημοσ. 2 Φεβρουαρίου 2006 Εδώ το στέλνεις. Το έκανα ήδη αντί για σένα και τσέκαρα 2-3 πράγματα, αλλά κάν' το κι ο ίδιος copy/paste (από το "R0 - HKCU\Software... και κάτω) για να δεις τη διαδικασία. Υπάρχει ζουμί από πίσω όπως θα δεις και στη σχετική σελίδα και ύποπτα πραγματάκια. Αρχικώς: * Αυτό το "O4 - HKLM\..\Run: [Printer] D:\WINDOWS\System32\auditchk.exe" και γενικότερα το auditchk.exe (υπάρχει κι αλλού) δε μου έκατσε καλά κι αποδείχτηκε πως καλώς το βλέπω με καχυποψία. Πρόκειται για worm. Η διαδικασία που προτείνεται για την αντιμετώπισή του είναι η γνωστή: Kill auditchk.exe process and remove auditchk.exe from Windows startup. Μέσα από τη σελίδα που προανέφερα της Sophos αναφέρει και ποια κλειδιά της registry πρέπει να απομακρύνεις. Πήγαινε σε safe mode και ακολούθησε τις οδηγίες... * Ούτε αυτό "O16 - DPF: {BDEE1959-AB6B-4745-A29B-F492861102CC} –" μου φαίνεται χρήσιμο...δε νομίζω πως έχει να κάνει με το πρόβλημά σου (τα ουσιώδη βρίσκονται από πάνω), αλλά στη θέση σου θα το αφαιρούσα μέσα από το HijackThis. Τικάρεις και μετά fix.
vazelo Δημοσ. 2 Φεβρουαρίου 2006 Μέλος Δημοσ. 2 Φεβρουαρίου 2006 Χιλια ευχαριστω ρε φιλε που τετοια ωρα ασχολεισαι με κατι τετοιο... Εκανα σχεδον ολα οσα ειπες(με τη διαδικασια του sophos κατι βρηκε) κ εχω καποιες παρατηρησεις να κανω. Στην σελιδα αυτη http://www.sophos.com/virusinfo/analyses/w32rbotbpe.html στα advanced να σβησω ολες αυτες τις registry entries που αναφερει?? Επισης σε αυτα τι πρεπει να αλλαξω?? W32/Rbot-BPE sets the following registry entries: HKLM\SOFTWARE\Microsoft\Ole\ EnableDCOM N HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ restrictanonymous 1 Οταν αναφερεις kill auditck.exe process τι ακριβως εννοεις?? Κ παλι ευχαριστω για το χρονο σου
blueviper Δημοσ. 2 Φεβρουαρίου 2006 Δημοσ. 2 Φεβρουαρίου 2006 Χιλια ευχαριστω ρε φιλε που τετοια ωρα ασχολεισαι με κατι τετοιο...Εκανα σχεδον ολα οσα ειπες(με τη διαδικασια του sophos κατι βρηκε) κ εχω καποιες παρατηρησεις να κανω. Στην σελιδα αυτη http://www.sophos.com/virusinfo/analyses/w32rbotbpe.html στα advanced να σβησω ολες αυτες τις registry entries που αναφερει?? Θα πας σε κάθε κλειδί (μέσα από το regedit): "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Printer<System>\auditchk.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Printer<System>\auditchk.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Printer<System>\auditchk.exe" Και θα σβήσεις όχι τα πάντα' date=' αλλά τα "\Printer<System>\auditchk.exe" (τα υπόλοιπα φυσικά και χρειάζονται για τα άλλα κανονικά αρχεία που τρέχουν με την έναρξη του υπολογιστή). Μπες σε safe mode γιατί δεν αποκλείεται να μη σου επιτρέψει να τα σβήσεις. Επισης σε αυτα τι πρεπει να αλλαξω??W32/Rbot-BPE sets the following registry entries: HKLM\SOFTWARE\Microsoft\Ole\ EnableDCOM N HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ restrictanonymous 1 Το "HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM=N" κάνε το "HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM=Υ" και το "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous=1" κάν' το "HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous=2". Αυτά είναι (αν δεν κάνω κι ο ίδιος λάθος) τα default settings για xp. Οταν αναφερεις kill auditck.exe process τι ακριβως εννοεις?? CTRL+ALT+DEL κι από τα processes του task manager δεξί κλικ στο auditchk.exe και "End Process". Κ παλι ευχαριστω για το χρονο σου Δεν κάνει τίποτα. Δυστυχώς η διαδικασία δεν είναι αυτοματοποιημένη και πρέπει κι ο ίδιος να καταπιαστείς με λίγη "βρώμικη" δουλειά και registry.
vazelo Δημοσ. 2 Φεβρουαρίου 2006 Μέλος Δημοσ. 2 Φεβρουαρίου 2006 Να σαι καλά!! Τι θα εκανα χωρις τη βοηθεια σου! Κερναω καφε
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.