Благодаря за бързите и компетентни отговори. SUPERAntispyware го намери и изчисти. Относно Nod32 ще прочета темата ви за него да се образовам малко.

Всичко изглежда наред освен това...

c:\windows\system32\302.exe

Пробвайте да го изтриете ръчно. Ако не става използвайте отново ComboFix:

Killall::


File::

c:\windows\system32\302.exe


sysrst::

И повторете процедурата (запазете файла като CFScript и го провлачете в иконата на Combofix).

Ако не ви е проблем, архивирайте папката C:\Qoobox и я качете на произволно за вас място (като http://www.4storing.com например).

След това деинсталирайте Combofix с командата:

Start => Run => combofix /u

Накрая остава само да почистим:

Спрете и пусни System Restore:

Почистете временните файлове с ATF-CLEANER

И за финал...направете правилните настройки на Avira и сканирайте системата си:

http://www.kaldata.com/forums/index.php?s=...t&p=1017686

всичко е ОК!

Благодарности! Бройте ме към почитателите на форума.

http://vms.drweb.com/search/?q=Win32.Virut...=1#aliasestable Бих пробвал и с Dr.Web CureIt!. Поздрави

Не намерих правилния раздел, но искам да попитам как да оправя следния проблем:

http://img10.imageshack.us/img10/9417/pooo.png

Изписва ми го през 1 минута даже и по-малко... ;( Моля ако някой знае нека да ми помогне.

Редактирано 22 февруари 200917 г. от stanley56 (преглед на промените)

Това може да ти помагне!Успех!

Това може да ти помагне!Успех!

Превдох си всичко, но не разбрах само как да го оправя.

....ами намираш го къде естартираш в сейф моуд и го триеш!После сканирай с антивирусната и дано да се оправи....

....ами намираш го къде естартираш в сейф моуд и го триеш!После сканирай с антивирусната и дано да се оправи....

Извинявам се за въпроса, но още съм нов в тези неща. Как да го стартирам в "сейф моуд" ?

....ами първо го намери това ехе къде е...след това рестартираш компютъра и започваш да "помпиш" F8...появява се надпис да стартираш в сейф мод...ентер...изчакваш да зареди...излиза едно предложение....надисни Да...и после трий...ама внимавай...изтрий само заразата....т.е. ехе-то!

....ами първо го намери това ехе къде е...след това рестартираш компютъра и започваш да "помпиш" F8...появява се надпис да стартираш в сейф мод...ентер...изчакваш да зареди...излиза едно предложение....надисни Да...и после трий...ама внимавай...изтрий само заразата....т.е. ехе-то!

Има само 1 проблем. В по-горния линк пише, че ехе-то трябва да се намира в C:\Windows или C:\Windows\System32.

Проверих много внимателно и двете папки, но го няма. След това написах в търсачката на My Computer - system.exe

и го намери в следната директория: C:\Windows\Prefetech. Това ли трябва да изтрия?

за да си сигурен че можеш да видиш всички файлове отиваш в

Control Panel

търсиш Folder Options

от там View

избираш Show hidden files and folders

и махаш отметката на Hide protected operating system files (Recommended)

махаш отметката и на Hide extensions for known file types

сега като търсиш файлове би трябвало да ти показва и файловете с атрибут скрит и системен

ако ползваш CCleaner там има опция за почистване на C:\Windows\Prefetech така че можеш да изтреиш всичко ако искаш

файлове които windonws не ти дава да триеш можеш да пробваш да ги изтриеш с Unlocker

При всички положения е буба. От снимката виждам, че Нода ти е с изключена защита или е със стари дефиниции.

Опитай с Malwarebytes Anti-Malware 1.34

http://store3.data.bg/kal/Programs/Malware...aldata.com).exe

Щом си го намерил може да го сканираш тук http://www.virustotal.com и да видиш кои програми го ловят

Редактирано 22 февруари 200917 г. от vanio (преглед на промените)

treo, благодаря. Открих ехе-то в директорията C:\WINDOWS\system32

Значи сега искам да обобщя всичко, за да не сгреша в разрешаването на проблема

Трябва да рестартирам компютара да натискам много пъти F8 след това да намеря къде се пуска на Save Mode и да изтрия ехе-то. После рестартирам компютъра сканирам всичко с антивирусната програма и да се надявам да е оправен? Някой, който разбира да на пише Да, ако съм разбрал ясно.

vanio, на нода е така, защото незнам името и паролата си ^^

Редактирано 22 февруари 200917 г. от XateR (преглед на промените)

значи трябва да ти излезе нещо като това за safe mode

дано да е само една гадинка защото последно време се нанизават по няколко

добре е да погледнеш с Hijackthis или Autoruns какво се стартира при зареждане

Редактирано 22 февруари 200917 г. от treo (преглед на промените)

Значи влязох в Сейф мод-а, но неможа да се изтрие. Опитах с Unlocker и пак не стана.. изписа някаква грешка. Немога да го изтрия. Някакви идеи?

пробвай да му смениш името например system1.exe или нещо такова след това рестарт и пак виж дали може да се изтрие

При всички положения е буба. От снимката виждам, че Нода ти е с изключена защита или е със стари дефиниции.

Опитай с Malwarebytes Anti-Malware 1.34

http://store3.data.bg/kal/Programs/Malware...aldata.com).exe

Щом си го намерил може да го сканираш тук http://www.virustotal.com и да видиш кои програми го ловят

Това чудо virustotal.com не ми зарежда, а колко до смяната на името - неможе. Абсолютно нищо немога да направя с този файл...

Сканира ли с Malwarebytes ? Ако не си го направи и с SUPERAntispyware

Това чудо virustotal.com не ми зарежда, а колко до смяната на името - неможе. Абсолютно нищо немога да направя с този файл...

Инсталира ли програмата, която ти посочих или само пълним форума с празни приказки?

Опитай и това CureIt! v5.0

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Сваляш и стартираш

Инсталира ли програмата, която ти посочих или само пълним форума с празни приказки?

Опитай и това CureIt! v5.0

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

Сваляш и стартираш

На програмата ти ми дава някакъв еррор 0 а след това друг еррор 404...

изгледа че е пипано по "C:\WINDOWS\system32\drivers\etc\hosts"

опитай да го отвориш и виж дали изглжда като това

# Copyright (c) 1993-1999 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

#	  102.54.94.97	 rhino.acme.com		  # source server

#	   38.25.63.10	 x.acme.com			  # x client host


127.0.0.1	   localhost

ако има друго освен

127.0.0.1 localhost

което не започва с #

изтрй го и остави само 127.0.0.1 localhost

след това пробвай линковете на vanio

Редактирано 22 февруари 200917 г. от treo (преглед на промените)

Нестава.. изписва, че се използва от друга програма.

Ваньо, неможе да зареди този линк "ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe"

Редактирано 22 февруари 200917 г. от XateR (преглед на промените)

пробвай това http://download.norman.no/public/Norman_Malware_Cleaner.exe

Ако имаш инсталационен диск на Windows, може да заредиш от него, да влезеш в Recovery console. Оттам ще получиш достъп до системния диск, но трябва да знаеш администраторската парола. След като вече имаш достъп до системния диск изпълни :

del [буквата на системния диск]:\windows\system32\system.exe

или

ren [буквата на системния диск]:\windows\system32\system.exe system.exe.tmp