http://www.kaldata.com/forums/index.php?s=...t&p=1367710

WinPC Defender е анти-шпионска програма мошеник, клонинг на XP Police Antivirus и IE Security (също програми мошеници). Подобно на своите предшественици, тя се инсталира и рекламира чрез използване на троянски коне, които показват фалшиви сигнали за засечени вируси/заплахи. Тези сигнали съобщават, че компютърът Ви е защитен и че е нужно да кликнете върху тях, за да изтеглите специален софтуер, който ще Ви защити. След като кликнете, троянските коне автоматично ще изтеглят и инсталират програмата на вашия компютър.

ОК, благодаря за информацията! А как мога да го махна, защото през 2 мин ми излизат по 123... прозореца уж, че имам вирус. В момента чистя с NOD32, но вече е на 91% и все още нищо не е засякъл.

ОК, благодаря за информацията! А как мога да го махна, защото през 2 мин ми излизат по 123... прозореца уж, че имам вирус. В момента чистя с NOD32, но вече е на 91% и все още нищо не е засякъл.

Деинсталирай я по нормалния начин от add/remove programs и почести от остатъци!

Edit: Направи и едно сканиране с програмите които ти посочи B-boy[styLe]

Редактирано 23 април 200917 г. от mihnev_sz (преглед на промените)

Името му наподобява Avira AntiVir, като се подвизава под имена: AntiVir 08 / AntiVir / Anti Vir XP и подобни.

След инсталация изглежда така:

AntiVirXP08 , also known as Anti Vir XP 08, is one of the latest counterfeit antispyware that devastates the wolrd wide web. AntiVirXP08 is a variant of XP Antivirus or WinAntivirusPro. AntiVirXP08 usually come up after you installed a video codec that come with Trojan, malware and virus. AntiVirXP08 normally generates fake and misleading system popup error messages so end-users will be tricked into purchase AntiVirXP08.

It is very important to remove all the components of of the AntiVirXP08 and all the malware and trojans that it might have come bundle with (such as zlob.trojan, trojan.vundo and Trojan.Downloader). To effectively remove AntiVirXP08, we have created a manual removal instructions which is easy to understand.

Manual AntiVirXP08 Removal Instructions:

Unregister AntiVirXP08 DLL Files:

(Learn how to do this)

%ProgramFiles%\[RANDOM NAME]\MFC71.dll

%ProgramFiles%\[RANDOM NAME]\MFC71ENU.DLL

%ProgramFiles%\[RANDOM NAME]\msvcp71.dll

%ProgramFiles%\[RANDOM NAME]\msvcr71.dll

%ProgramFiles%\[RANDOM NAME]\shlwapi.dll

%ProgramFiles%\[RANDOM NAME]\wininet.dll

Stop AntiVirXP08 Processes:

(Learn how to do this)

Antvrs.exe

AntiVirXP08.exe

Find and Delete these AntiVirXP08:

AntiVirXP08.exe

Uninstall AntiVirXP08.lnk

%ProgramFiles%\[RANDOM NAME]\MFC71.dll

%ProgramFiles%\[RANDOM NAME]\MFC71ENU.DLL

%ProgramFiles%\[RANDOM NAME]\msvcp71.dll

%ProgramFiles%\[RANDOM NAME]\msvcr71.dll

%ProgramFiles%\[RANDOM NAME]\shlwapi.dll

%ProgramFiles%\[RANDOM NAME]\wininet.dll

%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk

C:\Documents and Settings\All Users\Desktop\Antivirus XP 2008.lnk

C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\Antivirus XP 2008.lnk

C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk

C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\License Agreement.lnk

C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\Register Antivirus XP 2008.lnk

C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008\Uninstall.lnk

C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008.lnk %ProgramFiles%\[RANDOM NAME]\database.dat

Remove AntiVirXP08 Registry Values:

HKEY_CURRENT_USER\Software\Antivirus

HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”Antivirus” = “%ProgramFiles%\AntiVirXP08\Antvrs.exe”

Може и да имаш rogue програма и пак системата да работи нормално.Подобен вид rogue в големия си процент са създадени с рекламна и шпионска цел.Уж сканира и ти открива заплахи,а същевременно те кара да си платиш за да ги изчисти или пък те карат да преведеш пари по еди коя си сметка или пък те препраща към сайт с цел реклама на сайта и шпиониране чрез/от браузъра.Реално 95% от тях не представляват реална заплаха за системата.Повечето даже се деинсталират по нормален начин без никакви остатъци.Друг е въпроса,че има и доста коварни в стил TrojanHorse ,изчакват просто момента за сваляне от потребителя и стартиране на зловредния код от подвеждащите съобщения изскачащи на дектопа и предоставящите връзки към опасен файл.

Благодаря за списъка.

От днес постоянно ми се появява тази таблица llk.bmp Как да не ми се появява?

Изпълни препоръките от тази тема и след това пусни лог от HijackThis в нея:

http://www.kaldata.com/forums/index.php?showtopic=102469

Въпросната програма май е вирус която показва че имам виръс а самата тя е Бях изчистил всичко но като рестартирах пак се появи

Кажете какво да прая и как да изключа system restore ако може по подробно.

с windows xp съм.

Въпросната програма май е вирус която показва че имам виръс а самата тя е Бях изчистил всичко но като рестартирах пак се появи

Кажете какво да прая и как да изключа system restore ако може по подробно.

с windows xp съм.

http://www.bleepingcomputer.com/virus-remo...system-security

Въпросната програма май е вирус която показва че имам виръс а самата тя е Бях изчистил всичко но като рестартирах пак се появи

Кажете какво да прая и как да изключа system restore ако може по подробно.

с windows xp съм.

Ако ще изключваш System restoreq отиваш от MyComputer десен бутон,пропърти, System restore, turn off. Махането на подобни програми най-лесно с Hijack This™. Инсталираш програмата и сканираш. После задаваш чавка на програмата, която искаш да махнеш.

не ми позволява да инсталирам програми

не ми позволява да инсталирам програми

1. Спри временно защитата в реално време на антивирусната си програма (ако имаш такава).

2. Изтегли ComboFix и я запази на десктопа.

3. Сега Start Menu => Run => въведи командата:

"%userprofile%\desktop\combofix.exe" /killall

4. Публикувай съдържанието на лог файла в следващия си пост.

1. Спри временно защитата в реално време на антивирусната си програма (ако имаш такава).

2. Изтегли ComboFix и я запази на десктопа.

3. Сега Start Menu => Run => въведи командата:

"%userprofile%\desktop\combofix.exe" /killall

4. Публикувай съдържанието на лог файла в следващия си пост.

не става нищо като въведа комндата в Run

твя е голяма гад не ми позволява нищо даже и "System Restore"да изключа

не става нищо като въведа комндата в Run

твя е голяма гад не ми позволява нищо даже и "System Restore"да изключа

Добре...изтегли го оттук и просто го стартирай с двукратен клик и публикувай лога който ще се отвори след рестартра на компютъра.

http://4storing.com/xna622/fa1f312555c95ab...1e9fae1096.html

не става нищо като въведа комндата в Run

твя е голяма гад не ми позволява нищо даже и "System Restore"да изключа

Влез с администраторски права.

Отвори task manager и спри процеса :

1632575944.exe или подобен с цифри.

Намери и изтрии тези неща :

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387\Languages

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387\1632575944.exe

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387\config.udb

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387\init.udb

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387\Languages\English.lng

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387\Languages\German.lng

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387\Languages\Spanish.lng

%UserProfile%%UserProfile%\Desktop\System Security.lnk

%UserProfile%%UserProfile%\Start Menu\Programs\System Security

%UserProfile%%UserProfile%\Start Menu\Programs\System Security\System Security.lnk

В Registry изтрии :

%UserProfile%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "1632575944"

Ако има направен имидж на диска, който е заразен, не е по-лесно, по-бързо и по-безболезнено да си възстанови дяла от там. Аз вече така си решавам проблемите при упорити "животни"....много по-малко нерви ми отнема, отколкото да си играя със всевъзможни чистачи, къде и вероятността нещо да объркаш е доста голяма!

Ако има направен имидж на диска, който е заразен, не е по-лесно, по-бързо и по-безболезнено да си възстанови дяла от там.

Това има нужда от разясняване.

Влез с администраторски права.

Отвори task manager и спри процеса :

1632575944.exe или подобен с цифри.

Намери и изтрии тези неща :

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387\Languages

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387\1632575944.exe

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387\config.udb

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387\init.udb

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387\Languages\English.lng

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387\Languages\German.lng

%UserProfile%c:\Documents and Settings\All Users\Application Data\538654387\Languages\Spanish.lng

%UserProfile%%UserProfile%\Desktop\System Security.lnk

%UserProfile%%UserProfile%\Start Menu\Programs\System Security

%UserProfile%%UserProfile%\Start Menu\Programs\System Security\System Security.lnk

В Registry изтрии :

%UserProfile%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "1632575944"

Препоръчвам ти да не слушаш, Ken. Явно наистина е необходимо да учиш в някое community, за да почистиш система от зловреден софтуер. Най-лесно пък е да направиш copy/paste... Избягваш няколко възможности:

1) Не знаеш с какъв антивирусен продукт е. Може неговия антивирусен продукт чрез дефиниции/евристики/проактивно засичане да е открил и почистил някой от файловете. Не знаеш дали има и други програми за защита, като например MBAM, който да е почистил пък някой ключ в регистратурата.

2) Информацията взета от BC със сигурност не е актуална, защото System Security не е от вчера, не е и от миналия ден. Както може би знаеш, програмите мошеници биват променяни всеки ден => (следователно, както по геометрия) едва ли ще му помогне, ако не всичко, то част, като тази част може да се окаже ключова. И във връзка с това, както отново може би знаеш, не е препоръчително да се бара по Windows Registry от неопитни потребители, не знаеш колко добре е запознат с регистрите и дали може да се ориентира по него.

Поради тази причина се използва, например HiJackThis, за да се добие обща представа за състоянието на системата и евентуално (подчертавам го, защото не е сигурно, че ще излезе нещо) може да се открие част от зловредния софтуер и тогава да се използва ComboFix/The Avenger и др. за премахването му.

В конкретния случай, колегата е решил да използва ComboFix не е нужно да объркваш пострадалия с излишна информация, която в най-добрия случай ще му загуби времето.

Ако има направен имидж на диска, който е заразен, не е по-лесно, по-бързо и по-безболезнено да си възстанови дяла от там. Аз вече така си решавам проблемите при упорити "животни"....много по-малко нерви ми отнема, отколкото да си играя със всевъзможни чистачи, къде и вероятността нещо да объркаш е доста голяма!

дай малко повече инфо и яснота

http://www.google.bg/search?hl=bg&q=re...mp;aq=f&oq= С търсене и четене обикновено се намират решения. Успех!

Препоръчвам ти да не слушаш, Ken. Явно наистина е необходимо да учиш в някое community, за да почистиш система от зловреден софтуер. Най-лесно пък е да направиш copy/paste... Избягваш няколко възможности:

1) Не знаеш с какъв антивирусен продукт е. Може неговия антивирусен продукт чрез дефиниции/евристики/проактивно засичане да е открил и почистил някой от файловете. Не знаеш дали има и други програми за защита, като например MBAM, който да е почистил пък някой ключ в регистратурата.

2) Информацията взета от BC със сигурност не е актуална, защото System Security не е от вчера, не е и от миналия ден. Както може би знаеш, програмите мошеници биват променяни всеки ден => (следователно, както по геометрия) едва ли ще му помогне, ако не всичко, то част, като тази част може да се окаже ключова. И във връзка с това, както отново може би знаеш, не е препоръчително да се бара по Windows Registry от неопитни потребители, не знаеш колко добре е запознат с регистрите и дали може да се ориентира по него.

Поради тази причина се използва, например HiJackThis, за да се добие обща представа за състоянието на системата и евентуално (подчертавам го, защото не е сигурно, че ще излезе нещо) може да се открие част от зловредния софтуер и тогава да се използва ComboFix/The Avenger и др. за премахването му.

В конкретния случай, колегата е решил да използва ComboFix не е нужно да объркваш пострадалия с излишна информация, която в най-добрия случай ще му загуби времето.

Fixer е прав. Не уча в нито едно community за чистене на вируси.

Не прави това, което съм копирал.

Ако вече си ги направил, се извинявам за повредите, който може да съм предизвикал.

Изчакай компетентни съвети !

Редактирано 15 юни 200916 г. от Ken (преглед на промените)

дай малко повече инфо и яснота

Ако не можеш да стартираш Combofix, както си ми писал на Л.С. (не се знае дали си опитал да стартираш преименувания файл в пост № 7), явно ще се наложи друга стратегия.

1. Изтегли rootrepeal

2. Разархивирай го в някоя папка (например C:\RootRepeal)

3. Стартирай RootRepeal.exe с двукратен клик на мишнака. (за Windows Vista десен бутон и Run as Administrator)

4. Натисни File => Scan => маркирай дял C:\

5. Когато приключи натисни "Save Report". (запази го в папка по избор).

6. В следващия си пост публикувай съдържанието на документа (RootRepeal file scan log).

дай малко повече инфо и яснота

В твоя случай не е приложимо, защото явно нямаш имидж.

Има няколко програми за възстновяване на информацията от компютъра, включително възстановяване на цели дялове. Най-известната е Acronis True Image. Ако след нова чиста инсталация на Уиндоуса и след като си си инсталирал програмите с които работиш на диск С, чрез тази програма може да си направиш резервно копие на целия диск С. Това копие се записва или на друг дял- D, E и т.н...или направо на друг външен носител. От това копие може по всяко време да си възстановиш дял С, или който исскаш друг дял /стига да си му направил копие/, като получаваш отново чист Ундоус. Тук имаше едно момче, мисля, че Coolmen му беше ника, който беше давал линкове към безплатна 10-а версия на Acronis-a. Попитай го....

Ако не можеш да стартираш Combofix, както си ми писал на Л.С. (не се знае дали си опитал да стартираш преименувания файл в пост № 7), явно ще се наложи друга стратегия.

1. Изтегли rootrepeal

2. Разархивирай го в някоя папка (например C:\RootRepeal)

3. Стартирай RootRepeal.exe с двукратен клик на мишнака. (за Windows Vista десен бутон и Run as Administrator)

4. Натисни File => Scan => маркирай дял C:\

5. Когато приключи натисни "Save Report". (запази го в папка по избор).

6. В следващия си пост публикувай съдържанието на документа (RootRepeal file scan log).

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Time: 2009/06/15 16:27

Program Version: Version 1.3.0.0

Windows Version: Windows XP SP2

==================================================

Hidden/Locked Files

-------------------

Path: C:\hiberfil.sys

Status: Locked to the Windows API!

Path: C:\sccfg.sys

Status: Invisible to the Windows API!

Path: C:\Documents and Settings\PC\Local Settings\Temp\Temporary Internet Files\Content.IE5\6YK902E9\activity;src=804171;met=1;v=1;pid=28475463;aid=205984225;ko=0;cid=27512993;

rid=27530872;rv=1;&timestamp=1218035565142;eid1=2;ecn1=1;etm1=10;eid2=1124;ecn2=1;etm2=7;eid3=1

122;e[1].gif

Status: Locked to the Windows API!

Path: C:\Documents and Settings\PC\Local Settings\Temp\Temporary Internet Files\Content.IE5\CUM8E1T4\activity;src=804171;met=1;v=1;pid=28475463;aid=205984225;ko=0;cid=27512993;

rid=27530872;rv=1;&timestamp=1218035605140;eid1=2;ecn1=0;etm1=30;eid3=1122;ecn3=0;etm3=30;[1].g

if

Status: Locked to the Windows API!

Path: C:\Documents and Settings\PC\Local Settings\Temp\Temporary Internet Files\Content.IE5\X3VP6H9E\activity;src=804171;met=1;v=1;pid=28475463;aid=205984225;ko=0;cid=27512993;

rid=27530872;rv=1;&timestamp=1218035575147;eid1=2;ecn1=0;etm1=10;eid3=1122;ecn3=0;etm3=10;[1].g

if

Status: Locked to the Windows API!

това излиза

Сега изчезна тая мизеря и ми позволява да стартирам/ инсталирам програми сега какво да прая ? ако рестартирам пак ще се появи сигорно тоя боклук