Πρόβλημα με virus/worm

Εδω κ τρεις μερες τo microsoft security essentials μου εντοπιζει εναν ιο ο οποιος ειναι αυτος Worm:win32/Ainslot.A ! Ton τον καθαριζει κ μετα οταν τον ξαναανοιγει μ τον ξαναβγαζει για καθαρισμα ! τι συμβαινει?

Ξεκινα τον υπολογιστη σου σε Ασφαλη Λειτουργια. Αυτο γινεται αν πατησεις F8 οταν ξεκιναει ο υπολογιστης σου πριν σου βγαλει το loading των Windows σου και να επιλεξεις την αντιστοιχη επιλογη απο το μενου.

Απο εκει κανε τον καθαρισμο σου παλι με το Essentials και λογικα θα καθαρισει για τα καλα. Αν συνεχισει θα παρουμε πιο δραστικα μεσα

παταω f8 αλλα συνεχιζει κανονικα χωρις να γινει τπτ

Πατα το διαδοχικα απο την στιγμη που θα δεις την οθονη του BIOS σου και μεχρι την στιγμη που κανονικα θα φορτωναν τα Windows, θα σου φορτωσει σιγουρα. Ο μονος λογος για να μην σου παιζει το F8 ειναι αν εχεις καποιο περιεργο πληκτρολογιο που σου αντιστρεφει την λειτουργια των function keys, οποτε πατας το κουμπι που την επαναφερει και πατας μετα το F8.

με το που ξεκιναει λιγο πριν βγαλει την φορτοση των windows παταω εφ8 κ απλα αναβοσβηνη η μαυρη η οθονη

Περιεργα πραγματα...

Ευτυχως υπαρχει τροπος να ξεκινησεις τα Windows σε Safe Mode μεσα απο τα Windows σου. Κατεβασε το παρακατω προγραμμα:
www.superadblocker.com/bootsafe.html

Και επελεξε του να κανει boot σε safe mode minimal ή networking για να εχεις υποστηριξη δικτυου. Πατας reboot και θα σε παει στο πολυποθητο Safe Mode

Αν μετα τον ελεγχο δεις οτι παλι εχεις προβλημα, τρεξε το Hijackthis που μπορεις να βρεις εδω:
free.antivirus.com/hijackthis/

Κανε scan and save log και κανε επικολληση εδω τα αποτελεσματα που θα σου βγαλει να δουμε τι φταιει.

το εβαλα σε safe mode (μαλλον)επειδη το κανω πρωτη φορα κ δν τα ξερω κλ επρεπε δν εγινε καμια διαφορα απο πριν απλα ξαναεκανε ρεσταρτ κ ειναι το ιδιο με πριν κ μ ξαναβγαλε κ παλι τον ιο για καθαρισμα!Ετρεξα με τα το hijack μ εβγαλε στα hosts δν μπορουσε να μπει και μ ελεγε να φτιαξω καινουργιο, τελοςπαντων μ εβγαλε τωρα τα αποτελεσματα αλλα δν μ τα εκανε save για τον απο πανω λογο τι κανω τωρα ](*,)

Αν σε εβαλε σε safe mode επρεπε να το εβλεπες στις γωνιες της οθονης σου να το λεει ως κειμενο αν δε στο εβγαλε τοτε δε μπηκε σωστα εκει για καποιο λογο... Τι Windows εχεις 7 ή Vista?

Για το HijackThis κανε δεξι κλικ στο προγραμμα πριν το τρεξεις και επελεξε εκτελεση ως διαχειριστης για να μην σου βγαζει αυτο το μηνυμα και να για μπορεσουμε να καθαρισουμε αυτα που πρεπει.

Κανονικα πατωντας scan and save log επρεπε να σου ανοιξει ενα notepad με τα αποτελεσματα του ελεγχου, αυτα κανε επικολληση εδω

ναι δν μπηκε σε safe mod το λεει κ το hijack windows 7
εχω κ να τα αποτελεσματα

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Program Files\Real\RealPlayer\Update\realsched.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Users\user\AppData\Local\MediaGet2\mediaget.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\GIGABYTE\ET6\GUI.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = nmd.msn.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.facebook.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTor.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll
O2 - BHO: uTorrentBar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTor.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files\uTorrentBar\prxtbuTor.dll (file missing)
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [NUSB3MON] "C:\Program Files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
O4 - HKLM\..\Run: [EasyTuneVI] C:\Program Files\GIGABYTE\ET6\ETcall.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"
O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
O4 - HKLM\..\Run: [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Real\RealPlayer\update\realsched.exe" -osboot
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [blank] C:\Users\user\AppData\Roaming\update.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [MediaGet2] C:\Users\user\AppData\Local\MediaGet2\mediaget.exe --minimized
O4 - HKCU\..\Run: [FaceSoft] "C:\Program Files\Face Software\FaceSoft.exe" /as
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [blank] C:\Users\user\AppData\Roaming\update.exe
O4 - HKCU\..\Run: [ISUSPM Startup] c:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKCU\..\Run: [winhost] C:\Users\user\AppData\Local\Temp\winhost .exe
O4 - HKLM\..\Policies\Explorer\Run: [blank] C:\Users\user\AppData\Roaming\update.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: winhost .exe
O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {C8BC46C7-921C-4102-B67D-F1F7E65FB0BE} (Battlefield Play4Free Updater) - battlefield.play4free.com/stati ... 0.53.2.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{53DC314A-D9B8-46D5-825F-8EF3F1A97D01}: NameServer = 156.154.70.22,156.154.71.22
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: AppleChargerSrv - Unknown owner - C:\Windows\system32\AppleChargerSrv.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: DES2 Service for Energy Saving. (DES2 Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver2\des2svr.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: JMB36X - Unknown owner - C:\Windows\System32\XSrvSetup.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Smart TimeLock Service (Smart TimeLock) - Gigabyte Technology CO., LTD. - C:\Program Files\GIGABYTE\Smart6\Timelock\TimeMgmtDaemon.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

--
End of file - 9787 bytes

Λοιπον επελεξε για καθαριστο στο HijackThis τα παρακατω:


O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll

O4 - HKLM\..\Run: [blank] C:\Users\user\AppData\Roaming\update.exe

O4 - HKCU\..\Run: [MediaGet2] C:\Users\user\AppData\Local\MediaGet2\mediaget.exe --minimized

O4 - HKCU\..\Run: [FaceSoft] "C:\Program Files\Face Software\FaceSoft.exe" /as

O4 - HKCU\..\Run: [blank] C:\Users\user\AppData\Roaming\update.exe

O4 - HKCU\..\Run: [winhost] C:\Users\user\AppData\Local\Temp\winhost .exe

O4 - HKLM\..\Policies\Explorer\Run: [blank] C:\Users\user\AppData\Roaming\update.exe

O4 - Startup: winhost .exe

Το καλυτερο θα ηταν να τρεξει σε safe mode, αλλα αφου δε μπορεις τρεξε το ετσι και δοκιμασε μετα να το ξανακανεις σε safe mode...