עזרה בפענוח לוג נוסף של hijackthis

עטלף · Tech Fan הודעות: 231 מין:

שוב שלום, בצעתי את הסריקה במחשב נוסף בו המצב גרוע בהרבה, אשמח לקבלת עזרה ותמיכה נפשית... הלוג...

ושוב אני מתנצלת על כך שכל הלוג כאן אין לי מושג איך להעלות קובץ לשרת....

נערך ב-‎03:53 ‎31/‎08/‎2004 ‏ע"י Rany.

Rany · Techno Team הודעות: 7421

לא נורא אני כבר אטפל בזה

משהו פה קצת מוזר לי, שימי לב לכניסות:

עטלף · Tech Fan הודעות: 231 מין:

זה לא שגוי זו סמטוכה שנוצרה עקב התקנה לקויה, לא משהו שצריך להדאיג...

נראה לי שגורל המחשב הוא פרמוט בעתיד הקרוב, אבל בינתיים אשמח למחוק כל רעה חולה שהסתננה אליו...

Rany · Techno Team הודעות: 7421

Well, זו לא הסמטוכה היחידה ממנה סובלת המערכת האומללה הזו

רק שוב מדגיש:

1. Internet Explorer וכל תכנית אחרת שאינה חיונית צריכים להיות סגורים כשמריצים את HJT, אחרת אנחנו מבזבזים את הזמן.
2. את HJT יש להריץ מספריה ייעודית שלה, C:\HJT הוא מיקום טוב. התכנית שומרת גיבויים של השינויים שערכה בספריה שממנה הורצה, הרצה של התכנית ממיקום רנדומלי כלשהו, כמו ספריית ה-download, רק תסבך את הענינים כשיגיע הרגע בו יעלה הצורך לשחזר משהו או להבין מה מתכולת ספריה כלשהי אפשר לזרוק לפח ומה לא.

כלל אצבע - לפני שמסירים משהו עם HJT מומלץ בחום לעבור ב-Add/Remove Programs ולסרוק את הרשימה למציאות כניסת Uninstall מסודרת שמזכירה במשהו את הדבר שמתכוונים להסיר, אם נמצאה לנסות אותה תחילה. דבר נוסף שצריך לזכור, תכניות "על" כמו קאזה למשל, בנויות לפעול כשורה רק אם מתלווה אליהן איזה spyware או adware מצחין, הסרתו עשויה לפגום בפעולת התכנית התקינה - הפתרון הוא הסרה של מכלול הזבל, התכנית על ה-spy/adware שלה.

כלל אצבע נוסף - MSConfig אינה כלי לניהול התכניות שרצות ב-Startup, כל שינוי קונפיגורציה שנעשה באמצעותה מתווסף להסטוריית ה-undo שלה, כדי לנקות את ההיסטוריה הזו צריך להכנס ל-Registry ולכן עדיף לנקוט בכל דרך אחרת חוץ מאשר MSConfig, ואם הדרך היחידה להסיר פקודה כלשהי היא באמצעות כניסה ל-Registry אז להכנס ולהסיר את הכניסה הספציפית במקום ליצור היסטוריה מיותרת של שינויים שקשה להפטר ממנה אח"כ.

סוף הרצאה

בקשר ללוג, הכניסות שנראות רע הן:

C:\C\WINDOWS\System32\rqyflnh.exe
C:\C\WINDOWS\ejbvy.exe
C:\C\WINDOWS\kwusw.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://crackspider.net/ie/sbar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://crackspider.net/ie/assist.php

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\C\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - C:\C\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll (file missing)
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\C\WINDOWS\System32\bridge.dll

O3 - Toolbar: Anquiro Toolbar - {A4F64D63-3576-4754-8DD5-4D0A49345FD5} - C:\Program Files\aniquro\anquiro.dll

O4 - HKLM\..\Run: [gwqvxmlnm] C:\C\WINDOWS\System32\rqyflnh.exe
O4 - HKLM\..\Run: [bjsyy] C:\C\WINDOWS\ejbvy.exe
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\C\WINDOWS\System32\bridge.dll",Load
O4 - HKLM\..\Run: [msbb] c:\c\windows\msbb.exe
O4 - HKLM\..\Run: [ixgvsh] C:\ixgvsh.exe
O4 - HKLM\..\Run: [alchem] C:\C\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [czkmgavv] C:\C\WINDOWS\kwusw.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1015.dll,InstantAccess
O4 - Global Startup: hpoddt01.exe.lnk = ?

O9 - Extra button: Anquiro Toolbar (HKLM)
O9 - Extra 'Tools' menuitem: Anquiro Toolbar (HKLM)

O9 - Extra button: Search cracks at CrackSpider.NET (HKCU)
O9 - Extra 'Tools' menuitem: Search cracks at CrackSpider.NET (HKCU)

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1015_EN_XP.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p= [snipped, Firefox users around ]
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/serialzip.cab

לפני שאת מנסה להסיר את הפריטים הבאים בעזרתה של HJT, נסי קודם את ההוראות באתרים הבאים:

- twaintec‏
- mslagent‏

ודי להתקין כל דבר שאתרי הקרעקים האלה מבקשים

המחיר יקר מדי.

בקשר להמשך the usual procedure, ניקוי, אתחול, לוג חדש. בהצלחה!

Rany.