Имам проблем, майче е троянец, като ми се стартира системата ми се вкл media плаъера, четох че може най вероятно да е троянец. Аз преди бях само с анти-вир (kaspersky) и от време на време ми засичаше вируси или троянци,но ги махаше. След това сложих зоне alarm и ад-aware и всичко спря, не ми засичаше нищо, може би зоне аварма спираше всичко, но ми остана това че ми се стартира media player-а. Погледнах с регедит и изтрих регистрите за

run и рунонце на вмплаъер, но като презареди системата и те пак се появяват,

не знам какво да правя. Качих Троян Ремовер -нищо не откри. Троян Гуардер Gold -пак нищо, още няква такава и тя. Махнах ги всички версии на програмите са ми последни и касперския и зоне аларма и ад aware-то

как да се оправя. Гледам процесите и не знам кой за какво е че да видя кое ексе е троянеца изобщо не знам.

моля за помощ

Пробвай да правиш тия процедури по сканирането е Safe mode и с изключен System restore. Изключи си и нета от кабелчето за всеки случай...Провери дали дефинициите на сканиращите програми са последните.

Пробвай и кажи какво е станало.

Също така можеш да погледнеш в msconfig-а дали няма отметка на медиа плеъра за начално стартиране. Това става като от Start бутона->Run... пишеш msconfig->Enter ; гледаш в последия таб - Startup

обикновенно повечето програми с начално стартиране имат отметка там.

ако не става така - пиши пак

също така може6 да погледне6 в мсконфига дали няма отметка на медиа плеъра за на4ално стартиране. това става като от Start бутона->Run... пи6е6 msconfig->Enter ; гледа6 в последия таб - Startup

обикновенно пове4ето програми с на4ално стартиране имат отметка там.

ако не става така - пиши пак

<{POST_SNAPBACK}>

това го пробвах,да има мплаъер и то 2 пъти и му махам отметката, даже от

Run и Рунонце трия регистрите но като рестартна в регистрите пак го има и в мсцонфи-га също, а в Save mode не мога да стартирам касперския и просто не знам

кажете ми коя програма да сваля и да пробвам с нея в save mode

кажете ми коя програма да сваля и да пробвам с нея в save mode

<{POST_SNAPBACK}>

Пробва ли с AVG Anti-Virus?

Пробвай със Panda_Titanium_Antivirus_2005_v4.00.00_multilanguage.

то си има програми точно за тая работа - Trojan Remover 6.4.0 - ще я намериш лесно в най-сваляни.

то си има програми точно за тая работа - Trojan Remover 6.4.0 - ще я намериш лесно в най-сваляни.

<{POST_SNAPBACK}>

дръпнах я пробвах, нищо не направи махнах я, trojan gard също ;o(

Няколко уточняващи въпроса и съвета:

1. За кой Media Player става на въпрос - Windows Media Player или Media Player Classic?

2. Да си правил(а) скоро настройки по Media Player-а?

3. Напиши точно какво ти пише в msconfig.

4. Пробвай с Ad-aware SE (има я на сайта)

5. Напиши все пак каква ти е системата

6. Това ли е единственото проявление на предполагаемия "вирус" или има и други странни неща?

Пиши ти, после ние ще пишем

Няколко уточняващи въпроса и съвета:

1. За кой Media Player става на въпрос - Windows Media Player или Media Player Classic?

2. Да си правил(а) скоро настройки по Media Player-а?

3. Напиши точно какво ти пише в msconfig.

4. Пробвай с Ad-aware SE (има я на сайта)

5. Напиши все пак каква ти е системата

6. Това ли е единственото проявление на предполагаемия "вирус" или има и други странни неща?

Пиши ти, после ние ще пишем 

<{POST_SNAPBACK}>

1)Windows Media Player 10

2)Не съм правил никанви настройки,

3)

[x] wmplayer wmplayer.exe HKML\SOFTEARE\Microsoft\Windows\CurrentVersion\Run

..........................най отдоло пак, но uncheck

[ ] wmplayer wmplayer.exe HKML\SOFTEARE\Microsoft\Windows\CurrentVersion\Run

btw в msconfig пише 4е има saap

(Process File: saap or saap.exe

Process Name: 180 Solutions Spyware

Description:

saap.exe is an advertising program by 180 Solutions. This process monitors your browsing habits and distributes the data back to the author's servers for analysis. This also prompts advertising popups. This program is a registered security risk and should be removed immediately. Please see additional details regarding this process )

[x] saap c:\program files\zango\saap.exe SOFTEARE\Microsoft\Windows\CurrentVersion\Run

[ ] saap c:\program files\zango\saap.exe SOFTEARE\Microsoft\Windows\CurrentVersion\Run

Видях го с Trojan Remover но пише 4е хе открива файла и наистина нямам

c:\program files\zango\saap.exe

4)Имам Ad-aware SE 1.05, сканирах с нея и нормално и в Save Mode - нищо

сканирах с Trojan Remover нормално и в Save Mode - нищо

сканирах с Kaspersky Personal, последни дефиниции нормално и в Save Mode - нищо,

изтрих от регистрите

wmplayer

saap от

SOFTEARE\Microsoft\Windows\CurrentVersion\Run и RunOnce,

махам им отметките в msconfig

рестартвам и пак ги има в регистрите и в msconfig и пак се стартира Media Playera

5)Windows XP SP1

6)да това е, стартира ми се и като влеза с Administrator, в Save Mode не се стартира

pls help

Пробвай с XoftSpy

saap.exe - process information

spyware remove="180Solutions"

слажих го , стартирах го, откри гадинката, премахна я, по4истих регистрите, после пак се промениха , влезнах в Save Mode с изваден кабел за нета, стартирах пак XoftSpy, този път откри само регистара, из4исти го, ръ4но изтрих в Run и поддиректориите вси4ко свързано с saap и media player, рестартирах с изваден кабел за нета, не се стартира Media Player-a, изключих компа, свързах кабела за нета, стартирах, пак се появява Media player-a, в регистрите пак има saap.exe и media player

Провери да не си инсталирал нещо напоследък. Виж в Add/Remove Programs. Кажи там дали всичко е ОК. Махни всички съмнителни програми, които не ти говорят нищо или според теб имат рекламна цел (туулбарове, рекламни игрички и др.).

Свали си HijackThis 1.99.1 и пробвай с него. Аз лично слагам отметки на всичко без антивирусната и DNS сърверите. Изпълнявам я първо в нормален режим и след това и в SaveMode. Трябва да зачитиш и всички файлове от Temp директориите (Всички възможни, за всички потребители).

http://www.merijn.org/index.html

не съм, това се получи когато инсталирах media player-a

и е от тогава

а saap.exe-то не се маха

в регистрите и msconfig-a пише 4е е в

c:/program files/zango/saap.exe

но такава папка няма прегледах и скритите и системните

възможно ли е да съм изтрил вируса с kasperskiq и да е останало нещо от него което прави проблема, но не може да се засе4е

ето ми лога на HijackThis, но не знам какво да отметна

Logfile of HijackThis v1.99.1

Scan saved at 08:54:33 AM, on 13.6.2005 г.

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\System32\G-VGA.exe

C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\CursorXP\CursorXP.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\system32\crypserv.exe

C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\Program Files\ICQLite\ICQLite.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe

C:\Documents and Settings\Milen Donev\My Documents\My Downloads\HijackThis 1.99.1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - d:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - d:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [VGAUtil] C:\WINDOWS\System32\G-VGA.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [LogonStudio] "C:\Program Files\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM

O4 - HKLM\..\Run: [bootSkin Startup Jobs] "C:\Program Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs

O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\K-Lite Codec Pack\real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sTARTRIGHT] "C:\Documents and Settings\Milen Donev\My Documents\My Downloads\srv125\StartRight.exe" -go

O4 - HKLM\..\Run: [Media Player] wmplayer.exe

O4 - HKLM\..\Run: [saap] c:\program files\zango\saap.exe

O4 - HKLM\..\RunServices: [Media Player] wmplayer.exe

O4 - HKCU\..\Run: [NetWriter] C:\Program Files\NetWriter\NetWriter.exe

O4 - HKCU\..\Run: [CursorXP] C:\Program Files\CursorXP\CursorXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = D:\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: Convert link target to Adobe PDF - res://d:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://d:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://d:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://d:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://d:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://d:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://d:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert to existing PDF - res://d:\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Сваляне на всички с FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Сваляне с FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{C3EAE5D2-AABD-413F-87DA-13E0911E5571}: NameServer = 193.200.15.129,193.200.15.130

O20 - Winlogon Notify: WB - C:\PROGRA~1\STARDOCK\OBJECT~2\WINDOW~1\fastload.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Adobe Version Cue CS2 - Unknown owner - d:\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Tова ти е някаква advertise програма, махни този ред от лог-а:

O4 - HKLM\..\Run: [saap] c:\program files\zango\saap.exe

Освен това може да тестваш за всеки случай с Ad-Aware. Успех :bye:

Tова ти е някаква advertise програма, махни този ред от лог-а:

O4 - HKLM\..\Run: [saap] c:\program files\zango\saap.exe

Освен това може да тестваш за всеки случай с Ad-Aware. Успех  :bye:

<{POST_SNAPBACK}>

Познал съм значи, само че виж дали я няма в списъка с инсталирани програми (Add/Remove Programs) и направо я махни първо оттам, и след това пусни отново HijackThis и ако съществува този ред го затрий тогава.

ок аз сега съм на работа и дове4ера ще пробвам

значи няма го в Add/Remove и изобщо нямам папка

c:\program files\zango\saap.exe

но ще пробвам,

зна4и махам

O4 - HKLM\..\Run: [saap] c:\program files\zango\saap.exe

а тези да махна ли

O4 - HKLM\..\Run: [Media Player] wmplayer.exe

O4 - HKLM\..\RunServices: [Media Player] wmplayer.exe

и един ? за инфо каква е раликата като ги махам с тази програма

и като ги трия ръ4но от регистрите, т.к. като ги трия ръчно се появяват пак

Правилно предполагаш, че програмата трие от регистрите, но не можеш да бъдеш сигурен, че си изтрил всичко, което е сложила тази рекламна програмка. Т.е. може името на самия запис в регистрите, да не съдържа името на програмата. Пробвай да изтриеш и трите неща с HijackThis и пак ще го мъдрим ако не стане.

дамммм, не стана пак пробван вси4ко -нормално,save modeqизкл кавел за нета и т.н.

намира ги, маха ги , рестартвам и пак си ги има

дамммм, не стана пак пробван вси4ко -нормално,save modeqизкл кавел за нета и т.н.

намира ги, маха ги , рестартвам и пак си ги има 

<{POST_SNAPBACK}>

Мисля че това ще ти помогне.

а може ли някой да ми каже от каде да намеря крак за spyhunter

намерих - [email protected] pass:bug7373

ще пробвам

откри ми освен saap и CrypKey.ini i CrypKey.exe да ги махам ли, а колкото до saap пак същото трие и то после пак се появява

Step by step