ερωτηση για το msconfig

[@X@]

Χαίρεται...πρόβλημα με το laptop , στην αρχή είχε κολλήσει αυτό με τις "paysafe" και την δίωξη ,του έκανα επανεκίνηση με safe mode και μετά restore και λύθηκε.. τώρα όμως εμφανίζεται μια σελίδα στο mozilla σαν αρχική και δεν αλλάζει με τίποτα ,κάτι "pvp4games.com" και αναφέρει κάτω ότι η σελίδα είναι κακόβουλη και κάτι τέτοια , κάνω αλλαγή αρχικής σελίδας αλλα δεν αλλάζει τίποτα, ξανά ο mozilla ανοίγει μ'αυτήν την @@ria...τέλος κοιτάω στο msconfig έχει 4 περίεργα εκτελέσιμα που τρέχουν στην εκκίνηση κάθε φορα (με περίεργα ονόματα "xyggrskj" κάτι τέτοια ) τα απενεργοποιώ , επανεκκίνηση , ξανά αυτά μέσα ... τα βρίσκω πάω να τα διαγράψω , δεν γίνετε διαγραφή, δεν μ'αφήνει .. τώρα με το malwarebytes αν το εγκαταστήσω θα κάνει tpt ? και να το ξεκινήσω με safe mode ? η κανονικά?... ααα και antivirus εχει το eset αλλά ληγμένο νομίζω,χωρίς updates χωρίς τίποτα).. υπάρχει λύση ? ή μόνο με format?

[iniohos]

Ξεκινας το μηχανημα σε safe mode ή αν γνωριζεις σε dos mode(γραμμη εντολων), πας βρισκεις τα αρχεια, τα διαγραφεις, μετα τα αφαιρεις και απο το msconfig.

Kανεις μια επανεκινηση, παλι σε safe mode, επιβεβαιωνεις πως δεν υπαρχουν τα αρχεια(γιατι πολυ πιθανον, να υπαρχουν και αλλου "κρυμμενα" και να αντιγραφονται κατα την εκινηση του υπολογιστη), κανεις αναζητηση στη registry με τα ονοματα των αρχειων και διαγραφεις ολα τα entries και κανεις επανεκινηση ταυτοχρονα με τον σταυρο σου και μπαινεις κανονικα.

Ελεγχεις και βλεπεις τι γινετε.

Διαφορετικα με μια αναζητηση με τα ονοματα αυτα στο google θα βρεις πιστευω καποια ετοιμα εργαλιακια για να τα αφαιρεσεις.

[flik]

Φίλε μου κατέβασε το malwarebytes κάνε update και scan. Αν σε κάποια φάση σε ρωτήσει για να μπεις σε περίοδο trial για την pro έκδοση πάτησε όχι, να συνεχίσεις με την free.

Αφού καθαρίσεις ότι βρεις, ενδεχομένως να έχει μείνει μέσα η αρχική σελίδα, κατέβασε και κάνε ένα scan και save log με το hijackthis.

Το αρχείο .txt που έχει μέσα το log ανέβασέ το εδώ να σου πούμε τι θα διορθώσεις απο αυτό.

 

Με αυτά τα 2 λογικά θα έχεις καθαρίσει σε πολύ γρήγορο χρόνο. Αυτό που μπορείς να κάνεις παραπάνω είναι ένα σκανάρισμα με το kaspersky virus removal tool 2011.

[@X@]

Χαίρεται παιδιά σας ευχαριστώ για τις συμβουλές, άργησα λίγο αλλα έκανα και τα 2 , στην αρχή μπήκα με safe mode έσβησα τα αρχεία ,τα "βγαλα" απτό msconfig, επανεκκίνηση τα "βγαλα" και από το registry, μετά το malwarebytes μου εντόπισε 7 περίεργα , μετά και το hijackthis.. σας δείχνω και τα 2 τα αρχεία και από malwarebytes και από hijackthis να μου πείτε αν φαίνεται tpt..να κάνω τίποτα άλλο? η υποτίθεται το καθάρισα τώρα? ευχαριστώ εκ προτερων

 

Hijacksthis

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 4:38:37 μμ, on 24/4/2012

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Synaptics\SynTP\SynTPStart.exe

C:\Program Files\Launch Manager\LManager.exe

C:\Windows\vsnpstd3.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Windows\system32\igfxext.exe

C:\Windows\system32\igfxsrvc.exe

C:\Windows\system32\conime.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\admin\Desktop\antiVir\aNTIVIrus\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://pvp5games.com/?q=NDIxODA0Mq20vu1tVKLSUkZIZVNFYXhGVXpvak9vV05Hc0RRRmhDUU54MTIzMWRmMDM1NDlkYzA3OTcxOTQyZDljNjU0MTg2N2Q3Y2I3YjYyNGM1NWJjNmFjMzQzMjg3YjE1N2Q0YzQ3ZDI5MDRhZTBhZGIzN2FiOThZQ1hGc2F0dUZHcW5ESGxwQmwxMzM0MDQ2MjU3TmFqaEhqS0lmYzc=

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://el.intl.acer.yahoo.com'>http://el.intl.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://el.intl.acer.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Ροσςνθκ@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll

F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\apppatch\exilal.exe,

O1 - Hosts: ::1 localhost

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll

O2 - BHO: [email protected] - {8984B388-A5BB-4DF7-B274-77B879E179DB} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll

O3 - Toolbar: Ροσςνθκ@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - c:\program files\mail.ru\sputnik\MailRuSputnik.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [synTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [snpstd3] C:\Windows\vsnpstd3.exe

O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')

O8 - Extra context menu item: Ε&ξαγωγή στο Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Οξθρκ@Mail.Ru - res://c:\program files\mail.ru\sputnik\MailRuSputnik.dll/282

O8 - Extra context menu item: Ρλξβΰπθ@Mail.Ru - res://c:\program files\mail.ru\sputnik\MailRuSputnik.dll/283

O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe

O9 - Extra button: Mail.Ru ????? - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra 'Tools' menuitem: Mail.Ru ????? - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files\Mail.Ru\Agent\magent.exe

O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O9 - Extra button: Έρευνα - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4627C148-87AD-4103-B375-BF6A171C2F57}: NameServer = 8.26.56.26,156.154.70.22

O17 - HKLM\System\CCS\Services\Tcpip\..\{E98A2E38-1D7C-4070-8CF5-711D6E3A8BB6}: NameServer = 8.26.56.26,156.154.70.22

O17 - HKLM\System\CS1\Services\Tcpip\..\{4627C148-87AD-4103-B375-BF6A171C2F57}: NameServer = 8.26.56.26,156.154.70.22

O17 - HKLM\System\CS2\Services\Tcpip\..\{4627C148-87AD-4103-B375-BF6A171C2F57}: NameServer = 8.26.56.26,156.154.70.22

O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll

O20 - AppInit_DLLs:

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll

O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe

O23 - Service: eLock Service (eLockService) - Acer Inc. - C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe

O23 - Service: eNet Service - Acer Inc. - C:\Acer\Empowering Technology\eNet\eNet Service.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe

O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe

O23 - Service: ePower Service (WMIService) - acer - C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 8666 bytes

 

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org

 

Έκδοση βάσης δεδομένων: v2012.04.24.03

 

Windows Vista Service Pack 1 x86 NTFS

Internet Explorer 7.0.6001.18000

admin :: ADMIN-PC [διαχειριστής]

 

24/4/2012 4:40:28 μμ

mbam-log-2012-04-24 (17-20-18).txt

 

Τύπος σάρωσης: Πλήρης σάρωση

Ενεργοποιημένες επιλογές σάρωσης: Μνήμη | Εκκίνηση | Μητρώο | Σύστημα αρχείων | Ευρετική μέθοδος/Extra | Ευρετική μέθοδος/Shuriken | PUP | PUM

Απενεργοποιημένες επιλογές σάρωσης: P2P

Αντικείμενα που σαρώθηκαν: 246552

Χρόνος που έχει διανυθεί: 37 λεπτό(ά), 41 δευτερόλεπτο(α)

 

Εντοπίστηκαν διεργασίες στη μνήμη: 0

(Δεν εντοπίστηκαν επιβλαβή αντικείμενα)

 

Εντοπίστηκαν στοιχεία στη μνήμη: 0

(Δεν εντοπίστηκαν επιβλαβή αντικείμενα)

 

Εντοπίστηκαν κλειδιά στο μητρώο: 0

(Δεν εντοπίστηκαν επιβλαβή αντικείμενα)

 

Εντοπίστηκαν τιμές στο μητρώο: 1

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Δεδομένα: C:\Windows\system32\regedit.exe -> Καμία δράση.

 

Εντοπίστηκαν αντικείμενα δεδομένων στο μητρώο: 1

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Κακό: (C:\Windows\system32\userinit.exe,C:\Windows\apppatch\exilal.exe,) Καλό: (userinit.exe) -> Καμία δράση.

 

Εντοπίστηκαν φάκελοι: 0

(Δεν εντοπίστηκαν επιβλαβή αντικείμενα)

 

Εντοπίστηκαν αρχεία: 5

C:\Users\admin\zgtsysgh3a.exe (Trojan.Agent) -> Καμία δράση.

C:\Users\admin\Desktop\antiVir\aNTIVIrus\CleanMyRegistry\CleanMyPC Registry Cleaner 4.43 - Final (x86 - x64)\Keygen\keygen.exe (Trojan.Downloader) -> Καμία δράση.

C:\Windows\AppPatch\cbpkyl.exe (Spyware.Passwords.XGen) -> Καμία δράση.

C:\Windows\AppPatch\fehndqm.exe (Spyware.Passwords.XGen) -> Καμία δράση.

C:\Windows\AppPatch\pbouci.exe (Spyware.Passwords.XGen) -> Καμία δράση.

 

(τέλος)

[flik]

Τρέξε ξανά το hijackthis και κάνε τσεκ αυτά και πάτα fix:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

 

Επίσης όλα αυτά τα Ο17 μου φαίνονται ύποπτα, στη θέση σου θα τα έκανα και αυτά fix.

 

Σβήσε και το regedit.exe απο το system32 είναι μολυσμένο και δεν το βρίσκει το malwarebytes απο ότι βλέπω.

 

Τρέξε ξανά το malwarebytes και ότι βρει κάνε remove. Σε όλα.

 

Επειδή έχεις σίγουρα μόλυνση, συμπλήρωσε το με norton power eraser ή kaspersky virsu removal tool.

Και τα 2 δωρεάν εργαλεία.

 

Edit: τα 017 μπορέι να έχουν σχέση με comodo, αν έχεις τίποτα απο την εταιρεία μη τα σβήνεις. Κάνε τα άλλα όμως.

[micos000]

Εγώ θα ρωτήσω για τις πολλαπλές καταχωρήσεις του mail.ru. Χρησιμοποιείς κάποιο client τους;

 

Επίσης κάνε ένα fix και αυτό:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://pvp5games.com...mFqaEhqS0lmYzc=

 

Στο log του malwarebytes δείχνει ότι εντόπισε αλλά δεν καθάρισε τις απειλές. Γιατί αυτό; Παρέκαμψες το βήμα του καθαρισμού;