Πρόβλημα με ιό (;) go.google.com

[JCAP]

Αυτό μου είχε βγάλει. tdss***.dll

Πάτα Remove Selected. Και κάνε μια επανεκκίνηση.

[Skakinen]

Παρακάτω είναι τα αποτελέσματα από το SUPERAntiSpyware ,από το SpybotSD και από το Malwarebytes':

Τελικά απ'ότι βλέπετε κι εσείς δεν συμφωνούν στα αποτελέσματά τους.
Ακόμη δεν έχω προχωρήσει στις επιδιορθώσεις που προτείνουν τα προγράμματα.

Ερώτηση : αν δεν κάνω λάθος το svchost.exe είναι αρχείο των Windows.
Αν τα anti-spyware προγράμματα το επιδιορθώσουν σβήνοντάς το , υπάρχει περίπτωση να μην λειτουργούν τα Windows κανονικά;

SUPERAntiSpyware

SUPERAntiSpyware Scan Log
http://www.superantispyware.com
Generated 09/21/2008 at 02:12 PM
Application Version : 4.21.1004
Core Rules Database Version : 3575
Trace Rules Database Version: 1563
Scan type : Complete Scan
Total Scan Time : 00:28:10
Memory items scanned : 383
Memory threats detected : 1
Registry items scanned : 4139
Registry threats detected : 1
File items scanned : 25374
File threats detected : 6
Trojan.Dropper/SVCHost-Fake
C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE
[SVCHOST.EXE] C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE
C:\WINDOWS\Prefetch\SVCHOST.EXE-0EB47E31.pf
Trojan.Dropper/Gen
C:\DOCUMENTS AND SETTINGS\Σάκης\Τα έγγραφά μου\Α Τ Α Ξ Ι Ν Ο Μ Η Τ Α\BOXWORLD.EXE
D:\BACK UP από Έγγραφά μου 23-3-2008\Α Τ Α Ξ Ι Ν Ο Μ Η Τ Α\BOXWORLD.EXE
Unclassified.Unknown Origin
C:\DOCUMENTS AND SETTINGS\Σάκης\Τα έγγραφά μου\ΠΡΟΓΡΑΜΜΑΤΑ DESKTOP - LAPTOP\NERO 6.6.0.6\KEYGEN.EXE
D:\BACK UP από Έγγραφά μου 23-3-2008\ΠΡΟΓΡΑΜΜΑΤΑ DESKTOP - LAPTOP\NERO 6.6.0.6\KEYGEN.EXE


SpybotSD

CoolWWWSearch.Svchost32: [SBI $7C91BE16] Autorun settings (Registry value, nothing done)
HKEY_USERS\S-1-5-21-606747145-1547161642-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SVCHOST.EXE
CoolWWWSearch.Svchost32: [SBI $7C91BE16] Program file (File, nothing done)
C:\WINDOWS\system32\drivers\svchost.exe

Malwarebytes'
Malwarebytes' Anti-Malware 1.28
Database version: 1184
Windows 5.1.2600 Service Pack 2
21/9/2008 1:27:33 μμ
mbam-log-2008-09-21 (13-27-28).txt
Scan type: Full Scan (C:\|D:\|)
Objects scanned: 125213
Time elapsed: 41 minute(s), 3 second(s)
Memory Processes Infected: 1
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 4
Memory Processes Infected:
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> No action taken.
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
C:\Documents and Settings\Σάκης\Τα έγγραφά μου\ΠΡΟΓΡΑΜΜΑΤΑ desktop - laptop\Nero 6.6.0.6\Keygen.exe (Trojan.Agent) -> No action taken.
D:\Back up από Έγγραφά μου 23-3-2008\ΠΡΟΓΡΑΜΜΑΤΑ desktop - laptop\Nero 6.6.0.6\Keygen.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.

[psyxakias]

Έναρξή -> Εκτέλεση -> Πληκτρολογείς cmd και μετά ipconfig

Μια ωραία εναλλακτική: cmd /k ipconfig

Ελπίζω να ξεμπερδέψεις το συντομότερο, Skakinen

........Auto merged post: psyxakias πρόσθεσε 1 λεπτά και 57 δευτερόλεπτα αργότερα ........

Ερώτηση : αν δεν κάνω λάθος το svchost.exe είναι αρχείο των Windows.
Αν τα anti-spyware προγράμματα το επιδιορθώσουν σβήνοντάς το , υπάρχει περίπτωση να μην λειτουργούν τα Windows κανονικά;

Το θέμα είναι ότι κατά 99% δεν έχει αντικατασταθεί το κανονικό svchost.exe, αλλά έχει απλά δημιουργηθεί επιπλέον αρχείο σε άσχετο path με αυτό το όνομα για να μπερδεύει τον χρήστη και να νομίζει ότι είναι το κανονικό. Οπότε αν σβήσει το σωστό το anti-spyware, δε θα έχεις πρόβλημα. Αν σβήσει το κανονικό, θα έχεις.

Σε XP αυτά είναι τα path που βρήκα το SVCHOST.EXE:

Directory of C:\WINDOWS\$NtServicePackUninstall$
04/08/2004 02:56 14.336 svchost.exe

Directory of C:\WINDOWS\ServicePackFiles\i386
14/04/2008 05:42 14.336 svchost.exe

Directory of C:\WINDOWS\system32
14/04/2008 05:42 14.336 svchost.exe

Αν δεν κάνω λάθος, το 3ο είναι αυτό που χρησιμοποιούν τα Windows, το 2ο το κρατάνε για backup και το 1ο σε περίπτωση uninstall. Οπότε αυτό που έχεις στο WINDOWS/SYSTEM32/DRIVERS φαίνεται πολύ ύποπτο

[Skakinen]

Δεν ξέρω αν είναι σημαντικό αλλά μόλις παρατήρησα ότι:
στο laptop από το οποίο επικοινωνούμε (το Desktop έχει το πρόβλημα) το αρχείο svchost.exe βρίσκεται στο C:\WINDOWS\system32 και όχι στο C:\WINDOWS\system32\drivers.
Αντίθετα , στο desktop , το εν λόγω αρχείο βρίσκεται και στο C:\WINDOWS\system32 και στο C:\WINDOWS\system32\drivers.
Λέει κάτι αυτό;
(Τα δύο pc έχουν ακιβώς το ίδιο λειτουργικό και sp2.)

[psyxakias]

Ακριβώς αυτό μόλις έγραψα πιο πάνω, κάνοντας edit το post μου (δε σε πρόλαβα )

[manoulamou]

Οταν εχετε αμφιβολια περι του εαν ενα αρχειο ειναι βλαπτικο ή οχι
μπαινετε στο LiUtilities.com,
εδω ή εδω και διαβαζετε πολυ προσεκτικα τις οδηγιες!
Δεν τα σβηνουμε εαν δεν ειμαστε 100% σιγουροι ξεκινωντας απ το ακριβες ονομα!!!

[JCAP]

Μια ωραία εναλλακτική: cmd /k ipconfig

Ναι και αυτό δουλεύει.

Τελικά απ'ότι βλέπετε κι εσείς δεν συμφωνούν στα αποτελέσματά τους.
Ακόμη δεν έχω προχωρήσει στις επιδιορθώσεις που προτείνουν τα προγράμματα.

Δεν συμφωνούν τα αποτελέσματα τους γιατί πολύ απλά είναι διαφορετικά προγράμματα.

Γιατί δεν κάνεις αυτό που έγραψα παραπάνω; Στην εικόνα που πόσταρες, πάτησε στο Remove Selected.


Το πρόβλημα που έχεις προέρχεται από το tdssint.dll

Λογικά θα πρέπει να έχεις και κάποιο από τα παρακάτω αρχεία.

C:\WINDOWS\SYSTEM32\tdssadw.dll
C:\WINDOWS\SYSTEM32\tdssl.dll
C:\WINDOWS\SYSTEM32\tdssserf.dll
C:\WINDOWS\SYSTEM32\tdssmain.dll
C:\WINDOWS\SYSTEM32\tdssinit.dll
C:\WINDOWS\SYSTEM32\tdsslog.dll
C:\WINDOWS\SYSTEM32\tdssservers.dat
C:\WINDOWS\SYSTEM32\DRIVERS\tdssserv.sys

Και τέλος δες εδώ έναν με το ίδιο πρόβλημα.

[opener]

...
Τελικά απ'ότι βλέπετε κι εσείς δεν συμφωνούν στα αποτελέσματά τους.
Ακόμη δεν έχω προχωρήσει στις επιδιορθώσεις που προτείνουν τα προγράμματα.

Ερώτηση : αν δεν κάνω λάθος το svchost.exe είναι αρχείο των Windows....

Μπορει να το εχεις κανει ηδη, αν οχι, γιατι δεν ελεγχεις το υποπτο αρχειο στο Virustotal να δεις τι λεει;

http://www.virustotal.com/gr/

[Skakinen]

Τελικά λύθηκε το πρόβλημα αφού μου έφαγε τη μισή Κυριακή.
Μετά από 2-3 scan (και σε safe mode) και από το antivirus αλλά και από τα anti-spyware διαγράφηκαν όσα έπρεπε και τώρα είναι όλα όπως πριν.
Ακούστε και κάτι εντυπωσιακό που παρατήρησα από την αρχή και όσο διήρκεσε το πρόβλημα:
Προχθές βράδυ έψαχνα στο Google για ένα cd και έγραψα πάνω δεξιά στο παράθυρο του Int.Explorer, κάποια στοιχεία για το cd.
Μόλις έκανα κλικ στο πρώτο αποτέλεσμα της αναζήτησης το οποίο είναι αυτό στην εικόνα, με έστειλε στο'' go.google.com''

Χθες και πριν λυθεί το πρόβλημα δεν ξέρω πώς μου ήρθε και έκανα αντιγραφή συντόμευσης σε αυτό το πρώτο αποτέλεσμα (Amazon) και ιδού σε ποιά διεύθυνση (όλος αυτός ο σιδηρόδρομος) θα με πήγαινε ενώ φαινόταν να είναι Amazon.com :

Κώδικας:

''http://go.google.com/?u=A6uCANfB-KSUqlShAqVmT5YYKikQEZWGGlkCVabl-sI4pF_178mhx_iDLC_ioAkIIrEmcAW9nZWP2i600TJgig0e-Ts96jGWF8m38Dg8kD5It3rNOa8NnjrVUdCCbl_jwHjjwPGV11E8I8RqfSA5fh7xnCKTrf0dkcmB6sOWp3sEdK4KqZZ9MM1atwGGbxbgNA56XZJIwPqfWl8hx1JyY78aRtjEMDJ7py1O6KyuaWTDT1x13Dowh75C0wmrldj-emztIZsY61P5AX-leqhVazn7s1NftuzojCoHDRjPf1IuphDL8X3Kf6BqBeX-W6LN-ZLOPltnV9jNjiDekbVw17i2K0ok_sn2S55F_pyjrfDQ93K_nl17diI_r6nrmOn-Qgmn_KUd8V3brNcbW1hYcqvzQDbg6nP_7KfkxLNW98CRZDi3WC3QHfv-CAW-ZnjITDqiOejvvBjNr78qJN6XY5TUS8VsZtccnj2GP0pSehT6mwDmXohPQyD2TlRd5dHq6wgDi1mlfep4ho3BOoJ6tFw8HFW41BE5rntojZud9SFqE73pok3Jov4PfazBzCU6ssvQUcc2KGy1aNHbQNMSY1nnuu5a8ioTru8gmxzYSTjM9IEhRnTe8KQWjPjBjjcQk5Z_eWza_xe5VAz9weuInjzlJ7w8BAfJ0Oe3NhiaVvydLVDDwlyuN4vZfRHei16WCi1rvsf33Vlb4lH0eU4T5oYVjewnfZPTqvdZJWABxETDbaLRW8Z9Q8b63exYCEHHprPriKcTk-ZMqwNqQqfVICDRZRdyGAqii-4lUTObn-fr17Ras2Np2k6JLPsa4rdx630054UpnV8wWTSslnGoja6CeLXU7sLTshh9P9oQxzx5HbJ2wcZwAcrxxxXyg76rwvbY2udnwleKDnMH_uZf0PY0x70qqgKLHuxhlChLp9KH-eel2eGQ1zM4aoN0HRtUTuKWfZlv4cEr9Df_c2WZdNXPe7dXaFxF2o-epOq-q4jotSDpvV7OOY_W02LAlcj1EroBZcfhkEX7Tv9Xb5RBSYwSr-IjSRzlxwkv6iSgap2fRbBx4PEVcS12BE7P_lRhaNeYcS7XQM6m8OrKfEgzO-LmM2mQ-tgPwXe6jkkgfWNkFE_PJS3SXIOpZ3wx6q9KamroWa7c9kRavisfX1D92LE5JrS-f1df7w7MC3J-1KIdxodIOFmxa-KgUBxyyhk0FEccKT0UMicw-x4EYOhVgSUKDlCogEJiFUCEUE0SAVe288znYb6dMRjhyLM2bimh3P47SroTVli61IKriAKIKCAACf8PAAcA4tCzZ_hVVkGZMKUNFpo0EMvJlicvUc__HQA2TmAmwm2iNYADbXAjZBzYLiX9QDIV6I8DRQg0qumMl1oNe%3Ds%3Fphp.c%2F711.691.111.46''

Βλέπετε από την εικόνα ότι δεν πάει το μυαλό ότι αυτό το αποτέλεσμα του Google άλλο φαίνεται και άλλο είναι.


Ευχαριστώ θερμά για όλες τις απαντήσεις.