Антивирусната ми даде, че това е заразено и аз дадох Remove, реснах компа и като показа dekstopa ми изписа няква грешка, че не може да намери work.exe? Сиа като моето беше с вирус, нали треа го изтрием? Ще може ли някой да ми прати неговото work.exe , което да е без вирус , за да си го копна при мен, да няма проблеми. Говориме за windows xp.

Антивирусната ми даде, че това е заразено и аз дадох Remove, реснах компа и като показа dekstopa ми изписа няква грешка, че не може да намери work.exe? Сиа като моето беше с вирус, нали треа го изтрием? Ще може ли някой да ми прати неговото work.exe , което да е без вирус , за да си го копна при мен, да няма проблеми. Говориме за windows xp.

В инсталационния диск на Уиндоуса трябва да има опция за поправка /repair/, пробвай така.

Антивирусната ми даде, че това е заразено и аз дадох Remove, реснах компа и като показа dekstopa ми изписа няква грешка, че не може да намери work.exe? Сиа като моето беше с вирус, нали треа го изтрием? Ще може ли някой да ми прати неговото work.exe , което да е без вирус , за да си го копна при мен, да няма проблеми. Говориме за windows xp.

Ами да. Вируса си търси другарчето.

Защо мислиш, че ти трябва това work.exe ? И аз го нямам, а нямам и грешка.

Твоята каква е, но съвсем точно дай съобщението.

Антивирусната ми даде, че това е заразено и аз дадох Remove, реснах компа и като показа dekstopa ми изписа няква грешка, че не може да намери work.exe? Сиа като моето беше с вирус, нали треа го изтрием? Ще може ли някой да ми прати неговото work.exe , което да е без вирус , за да си го копна при мен, да няма проблеми. Говориме за windows xp.

Моят съвет е, да си свалиш AutoRuns for Windows v9.35, да я стартираш, да отмаркираш записа, в който е посочено стартирането на Work.exe със стратирането на операционната система и да запазиш промените във файл, който ще ти предложи програмката. Последната няма нужда от инсталация и е изключително полезен freeware.

Download: http://download.sysinternals.com/Files/Autoruns.zip

Редактирано 26 януари 200917 г. от proletsearch (преглед на промените)

Моят съвет е, да си свалиш AutoRuns for Windows v9.35, да я стартираш, да отмаркираш записа, в който е посочено стартирането на Work.exe със стратирането на операционната система и да запазиш промените във файл, който ще ти предложи програмката. Последната няма нужда от инсталация и е изключително полезен freeware.

Download: http://download.sysinternals.com/Files/Autoruns.zip

Work.exe си е точно вирус.

Премахва се с помощта на HijackThis => Като се премахне реда:

F2 - REG:system.ini: Shell=Explorer.exe work.exe

Или с програмата от подписа ми. Засичат го от доста време. Пратих им го още преди няколко месеца.

Докато направя нещо от това дето казахте, ще мине цял ден.. можел и някой да ми го прати, койго го има? Да го качи някъде и да си го дръпна.

Докато направя нещо от това дето казахте, ще мине цял ден.. можел и някой да ми го прати, койго го има? Да го качи някъде и да си го дръпна.

За какво ти е да си дърпаш вирус ?

Изтегли програмата => HijackThis

1.Стартирай я и избери Do a scan and save a log file

2.Копирай съдържанието му в следващия си пост

Изтегли и сканирай с Malwarebytes' Anti-Malware

Избери Remove на намерените неща.

Редактирано 26 януари 200917 г. от B-boy[StyLe] (преглед на промените)

Докато направя нещо от това дето казахте, ще мине цял ден.. можел и някой да ми го прати, койго го има? Да го качи някъде и да си го дръпна.

ами влез някъде по astalavista има куп подобни щом толкова ти трябва вирус

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:31:21, on 26.1.2009 г.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Program Files\PrevxCSI\prevxcsi.exe

C:\Program Files\Winamp\winampa.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\Program Files\PrevxCSI\prevxcsi.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Vladi\Radio\Server\sc_serv.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/default

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

F2 - REG:system.ini: Shell=Explorer.exe work.exe

O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL

O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL

O3 - Toolbar: BS.Player ControlBar - {2C688203-7EB3-4327-9995-1CB417BA23F9} - C:\Program Files\BS.Player ControlBar\BSToolbar.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [mswindws] mssql.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\daemon.exe -autorun

O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{D7D3C911-775A-4F04-AA9B-33F19A47356E}: NameServer = 213.240.244.3 213.240.244.2

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: CSIScanner - Prevx - C:\Program Files\PrevxCSI\prevxcsi.exe

--

End of file - 4129 bytes

Ми това всеки път като си пусна компа ми изписва грешка, че не може да намери work.exe на мястото си, пък и сиа имам проблем с записването на дадени програми...

Feature: MainApp

Component: App Executables

File:

Error: Catastrophic Failure

Често я виждам вече.

Забелязвам, че когато инсталирва .ink файлове от дадена програма , ми ги дава с грешка 0x99... и тем подобни.

Редактирано 26 януари 200917 г. от Not1c3 (преглед на промените)

Стартирай отново HijackThis и избери => Do a system scan only.

Сложи отметки пред:

F2 - REG:system.ini: Shell=Explorer.exe work.exe


O4 - HKCU\..\Run: [mswindws] mssql.exe

И избери Fix Checked.

Рестартирай и проблема трябва да е изчезнал...

Все пак провери и с Malwarebytes' Anti-Malware.

Фикснах ги уш, провери с другата, нищо не откри...

F2 - REG:system.ini: Shell=Explorer.exe work.exe

Вместо да инсталира куп програми, можеше да пусне: Start->Run->sysedit

И после от system.ini да махне Shell реда...

Вместо да инсталира куп програми, можеше да пусне: Start->Run->sysedit

И после от system.ini да махне Shell реда...

Айде малко по-сериозно а ?

HijackThis не се инсталира...а с msconfig не може да се изтрие ред от startup менюто...Какво да го карам да рови из регистрите ли... и да омаже нещо...

Отделно HijackTHis дава доста полезна информация за това, какво и къде се е загнездило...Особено полезно при инфектирани машини. (не беше сигурно, че е имал проблеми само с mssql и work.exe...лично аз очаквах да има ctfmons.exe, printer.exe и т.н.).

Това, че HijackThis добавя ред в Control Panel-a (Add/remove programs) не означава, че се инсталира...Изтрива се *.exe-то и Windows казва, че програмата вече не съществува и предлага да го изтрие.

Malwarebytes' Anti-Malware не беше предложена само за този проблем. Добре е всеки да си я има инсталирана...Доста по-добра е от PrevxCSI, която той е инсталирал...

Редактирано 26 януари 200917 г. от B-boy[StyLe] (преглед на промените)

Чудя се за к'во ми изтриха другата тема при положение, че сега след всичко това, си остава да си преинстал компа пак. Поне да я бяха оставили да видим дали може се оправят нещата без преинстал.

Айде малко по-сериозно а ?

HijackThis не се инсталира...а с msconfig не може да се изтрие ред от startup менюто...Какво да го карам да рови из регистрите ли... и да омаже нещо...

Ми хайде сериозно де! Изобщо пробва ли да видиш командата или пишеш преди да осмислиш прочетеното?

Sysedit е нищо повече от "MDI" версия на Notepad, която отваря въпросните .ini файлове сама, и съвсем сериозно си върви към всяка Windows инсталация, и още по-сериозно - редът който му трябва е във ФАЙЛА system.ini и може да го изтрие, напълно сериозно без последствия...

Чудя се за к'во ми изтриха другата тема при положение, че сега след всичко това, си остава да си преинстал компа пак. Поне да я бяха оставили да видим дали може се оправят нещата без преинстал.

Няма нуджа да преинсталираш. Пробвай моят вариант - махни реда съдържащ Shell=... от ФАЙЛА C:\WINDOWS\SYSTEM\system.ini

...

А ти видя ли и това, което съм написал и аз ?

Много добре знам какво прави въпросната команда...но като му гледам компютърната грамотност не е много удачно да го карам да я използва...

O4 - HKCU\..\Run: [mswindws] mssql.exe => това е от същия вирус (предаван, чрез USB)...Без HijackThis нямаше да видим и този остатък в регистрите...

Нито не е удачно да му предлагам да рови из регистрите, тъй като MSconfig умее само да премахва отметки, но не и да трие редове.

Отделно не се знаеше какво друго има в компютъра. Както казах => аз лично очаквах да има и файл ctfmons.exe или printer.exe.

Какъе е проблема...HijackThis не се инсталира, а другата си е една от най-добрите програми в борбата с по-специфичните зарази...

Потребителя незнам какво е правил, но определено маркираните и поправените неща не водят до преинсталация на О.С.

Редактирано 26 януари 200917 г. от B-boy[StyLe] (преглед на промените)

...а с msconfig не може да се изтрие ред от startup менюто...

От Start Menu-то триенето става с десен бутон и Delete

Сега погледнах - с msconfig щеше да свърши всичкото - да отмаркира Shell реда (таб system.ini) и mssql.exe (таб Startup).

И да изтрие двата файла (work.exe и mssql.exe) от файловата система.

Not1c3 - msconfig програмата се пуска през: Start->Run->msconfig и е налична във всички Windows инсталации...

Edit: за по-сигурно изпълни следните команди (от Start->Run) преди да почнеш да триеш файловете:

cmd /c taskkill /IM mssql.exe

cmd /c taskkill /IM work.exe

Това трябва да спре процесите и да ги освободи за триене.

Редактирано 26 януари 200917 г. от Q-tech (преглед на промените)

Говориш глупости...Този файл не се зарежда от папката Startup...там става с десен бутон...

Зарежда се от HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run

От msconfig няма как да използваш Delete !

А как щеше да видиш, че има нещо и там без HijackThis ?

Да не говорим, че незнам какво и е лошото и на MBAM...

Не ми се спори с дървени филосови...Поздрави !

И подрължаваш с глупостите...Твоите команди са излишни...Аз не видях да има стартирани процеси на mssql и на work.exe

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:31:21, on 26.1.2009 г.

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Program Files\PrevxCSI\prevxcsi.exe

C:\Program Files\Winamp\winampa.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\Program Files\PrevxCSI\prevxcsi.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Vladi\Radio\Server\sc_serv.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

Редактирано 26 януари 200917 г. от B-boy[StyLe] (преглед на промените)

От msconfig няма как да използваш Delete

Не говоря глупости, а ти пишеш с недомлъвки. Като говориш за Start Menu (startup) - 99% от хората разбират START менюто на Windows, а не Run групата в регистрите (edit: или таба в msconfig)...

Да, няма как да използваш delete, но като спре процеса (с taskkill), размаркира реда на mssql.exe (с msconfig) и изтрие файла (с Windows Explorer) - ще изтрие вирусния файл. Hijackthis! e удобен за засичане на вируси, НО е в състояние да изтрие много повече от нужното и да съсипе настройките, ако нацъка всичко. Също така, пиша (постфактум) след като вече веднъж е минал с нея и ни е посочил въпросните проблеми, а не казвам че е лоша програма...

Edit: и не си мисли, че за един вирус е проблем да си скрие процеса, но дори да е спрян не пречи да се подсигури, особено след като може да е рестартирал междувременно (след дъмпа на лога)...

Редактирано 26 януари 200917 г. от Q-tech (преглед на промените)

Ще съсипе някой нещо с нея само ако не е запознат с нейните възможности...То това се отнася и за всяка програма от този сорт...

Второ пак казвам, че това, което съм му маркирал в HijackThis няма как да е повлияло отрицателно върху работата и стабиността на О.С.

Пиша пробвани неша...в работата е гнездо на подобни паразити и понеже са монтажни машини не е позволено да се инсталират антивирусни приложения...

Сложил съм обаче USB Disk Security и ги спирам с нея => Autorun.inf, printer.exe, svfhost.exe, mswindws, mssql.exe, work.exe, CFTMONS.EXE и т.н...

Оттам ги ресторвам на флашката и ги разпращах наляво-надясно.

Всички негови сомптоми са ми добре известни. Дори да са изтрити самите файлове...пак остават излишни остатъци в О.С. и с Hjt проверявам и доизчиствам.

Ако нещо се е объркало си е виновно задклавиатурното устройство !

Специално този => не си го крие процеса...Срещал съм го неведнъж...Ти вече май говориш за rootkits...само че забравяш, че в повечето случаи там се използва специален драйвер-филтър, който се маскира от API на Windows. Ако имах съмнения за това щях да му предложа - GMER !

Тези грешки се дължат на всичко друго, но не и на HijackTHIS!

B-boy е прав.