proxy.small

[itaifrenkel]

proxy.small

שלום, יש כאן בעיה מעניינת שתקועה בעמוד שלוש. ניסיתי להקפיץ ללא הצלחה http://www.tapuz.co.il/tapuzforum/main/Viewmsg.asp?forum=170&msgid=97604283 בברכה, איתי

 

[Y. Welis]

לפני הכל הפעל פיירוול, לחסום כל נסיון האזנה

ותיקשורת בין הטרויאני לאינטרנט. צריך גם לברר איזו וריאציה של הטרויאני יש לך כדי לחפש את חלקיו. דוגמא לאחת - http://www.avira.com/en/threats/section/fulldetails/id_vir/2563/tr_proxy.small.du.8.html העלה לוג של hijackthis לבדיקה.

 

[lmmax]

מציע לך לבדוק את המערכת בצורה מסודרת

ע"י ביצוע התהליך מקישור זה. - שים לב, בחלקו מתבצע ב Safe Mode . נא להקפיד על סדר הפעולות, כולל שמירת לוגים. בשלב הראשון, עם סיום התהליך, נא להעלות *רק* את הלוג של HJT . אם יהיה צורך, אבקש גם את היתר (השמורים במערכת). נ.ב. תיקון: גירסת ה CCleaner המעודכנת צ"ל CCleaner v1.39.502 - Slim . לפני תחילת התהליך יש לרוקן את תוכן הבידוד של האנטיוירוס (אם יש). - אחזור מאוחר יותר ואבדוק תוצאות.

 

[freeman123]

תגובה

itaifrenkel תודה על ההתיחסות והקפצת השרשור. אני יעשה בדיוק כמו שרשום במדריך, ואחרי זה יעלה לוג. תודה.

 

[freeman123]

הנה הלוג של hijackthis

עשיתי את כל הבדיקות לפי המדריך ואכן היו וירוסים וטרויינים במערכת. חלקם בהסגר חלקם נמחקו ויש גם כאלה שלא ניתן היה "לגעת" בהם -חסומים.

 

[NLO]

ניתוח הלוג

ע"י http://www.hijackthis.de/index.php Internet Explorer v6.00 SP1 -------לעדכן בווינדוס אפדייט לגירסה עדכנית O1 - Hosts: 66.98.148.65 auto.search.msn.com O1 - Hosts: 66.98.148.65 auto.search.msn.es O4 - HKLM\..\Run: [Windows Services] "C:\Program Files\svchosts.exe" ..........................................................עד כאן אלו הסיכון גבוה...צריך לתקן (עי HJTHIS) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) .................................................עד כאן סיכון בינוני....מומלץ לתקן.... O16 - DPF: {99D090A6-EA84-466E-8F21-834B36F57E77} (PeerFactor_DL Control) - http://peerfactor.fr/PeerFactor_DL.cab ..........................................את זה אם אתה לא מכיר ..אז לתקן... בהצלחה!

 

[lmmax]

פעולות שעליך לבצע ..

- להגיע ל C:\WINDOWS\system32\drivers\etc ולפתוח את HOSTS בעזרת Notepad . למחוק כל השורות שאחרי

127.0.0.1 localhost​

ולבצע שמירה. *או* להוריד HostsXpert , לפתוח וללחוץ על Restore Microsoft's hosts file . - להתנתק מהאינטרנט, להריץ CCleaner ואח"כ לסרוק עם HJT ולסמן V למחיקה ליד השורות (אם קיימות):

O1 - Hosts: 66.98.148.65 auto.search.msn.com O1 - Hosts: 66.98.148.65 auto.search.msn.es O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [Windows Services] "C:\Program Files\svchosts.exe" O16 - DPF: {99D090A6-EA84-466E-8F21-834B36F57E77} (PeerFactor_DL Control) - http://peerfactor.fr/PeerFactor_DL.cab​

הערה לגבי השורה O16 : מחק אם אינך משתמש באפליקציה. סגור חלונות, כולל דפדפן, ולחץ Fix Checked . - טפל בקבצים מוסתרים (באופן זמני):

Open My Computer. Select the Tools menu and click Folder Options. Select the View Tab. Under the Hidden files and folders heading select Show hidden files and folders. Uncheck the Hide protected operating system files (recommended) option. Click Yes to confirm. Click OK.​

- עבור ל"מצב בטוח", חפש ומחק קובץ C:\Program Files\svchosts.exe . - עדיין ב"מצב בטוח", הרץ לפי הסדר:

AVG AS ~> SAS ~> CCleaner​

עם ההגדרות כפי שרשמתי ב"תהליך הניקוי". מחק ממצאים, שמור לוגים. בצע Reboot וב"מצב רגיל" הרץ HJT והעלה לפורום יחד עם הלוג של AVGAS ו- SAS . **לפני תחילת התהליך וודא עדכון התוכנות.

 

[freeman123]

hijackthis

 

[freeman123]

AVGAS

 

[freeman123]

sas log

SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 05/01/2007 at 07:19 PM Application Version : 3.7.1018 Core Rules Database Version : 3228 Trace Rules Database Version: 1239 Scan type : Complete Scan Total Scan Time : 00:46:12 Memory items scanned : 177 Memory threats detected : 0 Registry items scanned : 5356 Registry threats detected : 0 File items scanned : 30744 File threats detected : 9 Adware.Tracking Cookie C:\Documents and Settings\Slava\Cookies\slava@yadro[1].txt C:\Documents and Settings\Slava\Cookies\slava@spylog[1].txt C:\Documents and Settings\Slava\Cookies\slava@cgi-bin[2].txt C:\Documents and Settings\Slava\Cookies\slava@list[1].txt C:\Documents and Settings\Slava\Cookies\[email protected][1].txt C:\Documents and Settings\Slava\Cookies\slava@rambler[1].txt C:\Documents and Settings\Slava\Cookies\[email protected][1].txt C:\Documents and Settings\Slava\Cookies\slava@zedo[1].txt C:\Documents and Settings\Slava\Cookies\[email protected][1].txt

 

[lmmax]

אוקיי, שלשת הלוגים נקיים.

ומה כרגע הבעייה ?

 

[freeman123]

תגובה

א. תודה רבה על העזרה! ב.אני מניח שזה הסיר לי את הטרויינים \וירוסים , אז כרגע לא נראה לי שיש בעיה. אולי רק ספאם בדוא"ל ..

 

[lmmax]

בצע סריקה עם NOD32

הרי מזה התחלנו.. ואם הכל תקין, בצע כיבוי שחזור המערכת, איתחול ויצירת נקודת שחזור חדשה.

 

[freeman123]

אני ביטלתי את אפשרות השחזור מערכת.

אבל את הסריקה עם הנוד 32 אני אכן יעשה .

 

[lmmax]

../images/Emo45.gif לא לשכוח

לבטל את כיבוי המערכת וליצור נק שחזור חדשה כאשר תחליט שהמע נקייה.

 

[lmmax]

צ"ל "כיבוי שחזור המערכת"

 

[lmmax]

הערה: ב AVGAS ישנה אפשרות

להוסיף לסריקה גם "עוגיות מעקב" ( ראה ב Settings ~> Tracking Cookies ) , אם תרצה - ראיתי שאתה גולש בין אתרים רוסיים המשתמשים ב spylog .

 

[freeman123]

OK

איזה מהתוכנות עדיף "שתרוץ ברקע" sas או avg ?

 

[lmmax]

רק לגירסה הלא חינמית

של SAS או AVGAS יש אפשרות ל real time protection .

 

[freeman123]

OK תודה.