locked
האנטי וירוס שלי (Avira Antivir Personal) מדווח בסריקות המתוזמנות כי הקובץ User32.DLL במחשב שלי (Windows 7 Ultimate) מכיל תבנית חשודה/זדונית RRS feed

  • שאלה

  • האנטי וירוס שלי מדווח כי הקובץ User32.DLL של מערכת ההפעלה שלי (Windows 7 Ultimate) הוא "Not signed" וטוען כי הוא מכיל שינויים חשודים שבוצעו ע"י נוזקה.

    הנה החלק בדוח שנוצר כשהאנטי וירוס סרק את קבצי המערכת:

    Initiating scan of system files:
    Signed -> 'C:\Windows\system32\svchost.exe'
    Signed -> 'C:\Windows\system32\winlogon.exe'
    Signed -> 'C:\Windows\system32\smss.exe'
    Signed -> 'C:\Windows\system32\wininet.DLL'
    Signed -> 'C:\Windows\system32\wsock32.DLL'
    Signed -> 'C:\Windows\system32\ws2_32.DLL'
    Signed -> 'C:\Windows\system32\services.exe'
    Signed -> 'C:\Windows\system32\lsass.exe'
    Signed -> 'C:\Windows\system32\csrss.exe'
    Signed -> 'C:\Windows\system32\drivers\kbdclass.sys'
    Signed -> 'C:\Windows\system32\spoolsv.exe'
    Signed -> 'C:\Windows\system32\alg.exe'
    Signed -> 'C:\Windows\system32\wuauclt.exe'
    Signed -> 'C:\Windows\system32\advapi32.DLL'
    NOT signed -> 'C:\Windows\system32\user32.DLL'
        [DETECTION] Contains HEUR/Modified.SystemFile suspicious code
        [NOTE]      A backup was created as '4f7beb3a.qua'  ( QUARANTINE )
    Signed -> 'C:\Windows\system32\gdi32.DLL'
    Signed -> 'C:\Windows\system32\kernel32.DLL'
    Signed -> 'C:\Windows\system32\ntdll.DLL'
    Signed -> 'C:\Windows\system32\ntoskrnl.exe'
    Signed -> 'C:\Windows\system32\ctfmon.exe'
    The system files were scanned ('20' files)

    לאחר שניסיתי להחליף את הקובץ הקיים עם קובץ User32.DLL חילופי שהורדתי מהאתר www.dll-files.com והפעלתי את המחשב מחדש, הופיע מסך המוות הכחול, עם הודעת שגיאה בנוגע לקובץ, הן בהפעלה רגילה והן במצב בטוח, כך שנאלצתי להפעיל שחזור מערכת מתפריט האתחול.

    איך אפשר לפתור את הבעייה עם הקובץ? (שחזור מערכת לא יעזור כיוון שזה התחיל זמן קצר אחרי שהתקינו לי את מערכת ההפעלה, לפני כמה חודשים)

    יום שלישי 11 ינואר 2011 14:16

תשובות

  • שלום,

    כנראה בגלל שהwindows זיהה שחסר לו את הקובץ והוא לא מצליח להשלים אותו.

    מה שאני ממליץ זה לבצע התקנת תיקון, פשוט להכניס את הדיסק של הwindows ובחלון שנפתח לבחור בהתקנה ואז בשדרוג.

    אנא עדכן אותנו.


    אנא המשך לקרוא, במידה ועזרתי אשמח אם תלחץ על "הצבע כמועיל" בצדה השמאלי של ההודעה, תודה רבה. -- בברכה, קובי המידע הכלול בהודעה זו ניתן "כפי שהוא" ללא חיוב, מצג או אחריות מכל סוג (מפורש או משתמע) --- בקרו בבלוג קבוצות הדיון לעדכונים ויצירת קשר http://blogs.microsoft.co.il/blogs/newsgroups/
    • סומן כתשובה על-ידי קובי אדלר יום שלישי 28 יוני 2011 11:36
    יום ראשון 16 ינואר 2011 10:30

כל התגובות

  • אם תשים לב האנטי וירוס ביצע פעולה שנקראת quaranite שזה בעצם אי שימוש בקובץ.

    ואם אין בעיות במחשב אתה יכול להשאיר את זה ככה.

    בכל מקרה מה שאני ממליץ זה ביצוע פעולת סריקה של מערכת הפעלה

    לכן תלחץ על התחל -> תרשום בחיפוש CMD בתוצאה תלחץ כפתור ימני הפעל כמנהל ותרשום

    sfc /scannow

    ואז Enter


    אנא המשך לקרוא, במידה ועזרתי אשמח אם תלחץ על "הצבע כמועיל" בצדה השמאלי של ההודעה, תודה רבה. -- בברכה, קובי המידע הכלול בהודעה זו ניתן "כפי שהוא" ללא חיוב, מצג או אחריות מכל סוג (מפורש או משתמע) --- בקרו בבלוג קבוצות הדיון לעדכונים ויצירת קשר http://blogs.microsoft.co.il/blogs/newsgroups/
    יום רביעי 12 ינואר 2011 05:45
  • הנה הרישום מהסריקה של מערכת ההפעלה דרך ה-CMD:

    Microsoft Windows [Version 6.1.7600]
    Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

    C:\Windows\system32>sfc /scannow

    Beginning system scan.  This process will take some time.

    Beginning verification phase of system scan.
    Verification 100% complete.
    Windows Resource Protection found corrupt files but was unable to fix some of th
    em.
    Details are included in the CBS.Log windir\Logs\CBS\CBS.log. For example
    C:\Windows\Logs\CBS\CBS.log

    The system file repair changes will take effect after the next reboot.

    C:\Windows\system32>

    הקובץ User32.DLL לא מופיע בדוח.

    מה זה אומר?

    עידכון: לאחר שהפעלתי מחדש את המחשב, הופיעה בתחתית החלק הימני של שולחן העבודה הודעה המתריעה על כך שה-Windows שלי אינו חוקי.

    יום רביעי 12 ינואר 2011 08:27
  • שלום,

    כנראה בגלל שהwindows זיהה שחסר לו את הקובץ והוא לא מצליח להשלים אותו.

    מה שאני ממליץ זה לבצע התקנת תיקון, פשוט להכניס את הדיסק של הwindows ובחלון שנפתח לבחור בהתקנה ואז בשדרוג.

    אנא עדכן אותנו.


    אנא המשך לקרוא, במידה ועזרתי אשמח אם תלחץ על "הצבע כמועיל" בצדה השמאלי של ההודעה, תודה רבה. -- בברכה, קובי המידע הכלול בהודעה זו ניתן "כפי שהוא" ללא חיוב, מצג או אחריות מכל סוג (מפורש או משתמע) --- בקרו בבלוג קבוצות הדיון לעדכונים ויצירת קשר http://blogs.microsoft.co.il/blogs/newsgroups/
    • סומן כתשובה על-ידי קובי אדלר יום שלישי 28 יוני 2011 11:36
    יום ראשון 16 ינואר 2011 10:30
  • הבנתי את העניין: הוא מצא כמה קבצים פגומים ומביניהם גם את ה-User32.DLL. והוא לא מציג את הקבצים בדוח.

    אולם איני יכול לעשות דבר בנידון.

    הוא יכול לתקן את הקבצים האלה בעצמו לאחר האתחול. אולם מכיוון שהמערכת שלי אינה חוקית, ועקב התקנה אוטומטית ללא ידיעתי של עדכון ה-WAT KB971033 בעבר, התיקון גורם לכך שמופיעה ההודעה לגבי הדבר הנ"ל על שולחן העבודה, ולמרות שכבר הסרתי אותו מהמחשב והסתרתי אותו, ההודעה על מערכת לא חוקית עדיין יכולה להופיע, כי המערכת זוכרת באמצעות הקובץ User32.DLL שהרישיון אינו חוקי.

    יום ראשון 16 ינואר 2011 17:53
  • יום שישי 21 ינואר 2011 14:51
  • הורדתי מהאתר את הקובץ והחלפתי את הקובץ הישן בחדש.

    במהלך האתחול, הופיע מסך המוות הכחול, עם הודעה הקשורה לקובץ Kernel32.dll.

    לא נותרה לי ברירה אלא לבצע שחזור מערכת למצב שהיה לפני החלפת הקבצים.

    שבת 22 ינואר 2011 15:40
  • שלום אנא עדכן אותנו אם השיחזור הצליח.

    כמו כן האם ניסת את האופציה של התקנת תיקון שרשמתי לך מקודם?


    אנא המשך לקרוא, במידה ועזרתי אשמח אם תלחץ על "הצבע כמועיל" בצדה השמאלי של ההודעה, תודה רבה. -- בברכה, קובי המידע הכלול בהודעה זו ניתן "כפי שהוא" ללא חיוב, מצג או אחריות מכל סוג (מפורש או משתמע) --- בקרו בבלוג קבוצות הדיון לעדכונים ויצירת קשר http://blogs.microsoft.co.il/blogs/newsgroups/
    יום ראשון 23 ינואר 2011 10:41
  • השחזור הצליח.

    כבר ביצעתי סריקה של מערכת ההפעלה עם הפקודה sfc /scannow והיא תיקנה קבצים פגומים אך לא הציגה פרטים על המסך אלא אחסנה אותם בקובץ CBS.log. אולם מכיוון שלאחר האיתחול הופיעה לי על שלוחן העבודה, הודעה שאומרת לי שהמערכת שלי אינה חוקית הייתי צריך לבטל את התיקון ע"י שחזור מערכת.

    אין לי את הדיסק של windows.

    הדרך היחידה שאני רואה אפשרות לתקן את הבעייה היא להביא את המחשב לטכנאי.

    יום שני 24 ינואר 2011 08:25