Защо не спреш Касперски и да качиш quicktime.exe на VirusTotal http://www.virustotal.com/ за да видиш кой друг го лови.

Това iifgEuVM.dll ми прилича на следи от Vundo

Защо не разгледаш StartUp процесите с msconfig или нещо от този сорт. Изключи всичко, което ти е непознато или подозрително и рестартирай. После потърси по списъка кое къде е и проучи дали е свързано с някой инсталиран от теб пакет или е неканен гост и го изтрий. Ако искаш публикувай списъка тук да хвърлим 1 око. Може да ни дойде някоя идея...

Много съм ви благодарна за огромната помощ. сканирах излезнаха ми 3 вируса и сега това не ми се появявя, а да питам тази гадната антивирусна да я изтрия ли?

Според мене махни тези които са били досега на машината ти.Сложи си или Аваст или Авира

Питам за Antivir XP, иначе нали Нод-а била добра, понета останах с такова впечатление след коментарите в форума?

http://www.spywaredb.com/remove-trojan-win32-vb-x/ Поздрави

Питам за Antivir XP, иначе нали Нод-а била добра, понета останах с такова впечатление след коментарите в форума?

Махай я.Остава една.Две каквито и да са си пречат.Остави тази на която имаш доверие.Щом предпочиташ НОД си я остави.Според мене Antivir XP ти е вършела страхотна работа

Не мога да открия файла...Касперски го трие и след няма и минута отново го намира Ето log-а от Hijack:

Ето и скрийншот да видите

Сложи ли чавката долу вляво?Май не...

Мисля че има предвид Avira antivir xp , а не antivir xp2008\2009 , няма как колеги да и качат тази заблуда след преинсталация .

Ползвай си avira , една от най-добрите безплатни програмки е . Кракнатия нод не става за нищо .

Успех

Редактирано 26 ноември 200817 г. от thejoro (преглед на промените)

Махнах както ми каза Михнев Касперски и сложих най-новата му версия 2009 8.0.0.506. След като я ъпдейтнах пуснах да сканирва като веднага откри същият вирус + още два от същият вид Trojan.Win32.VB.gyh, само че единият се намираше в папката system под името NtLanSec.exe, а другият в System Volume Information. Изтрити са, но този който ме тормозише (quicktime.exe) продължава да се появява. Ще помоля някой да ми каже да си направя настройките на Касперски, че да не е всичко на default. Честно да ви кажа незнам от къде съм я лепнал тази зараза при положение, че не отварям всеки сайт, който ми хрумне. Съмнява ме само kavkiskey.com, защото от там вземам ключовете за Касперски... Също така ще продължа и да сканирвам с програмите които сте ми предложили и ще Ви пиша по-късно...

....Съмнява ме само kavkiskey.com, защото от там вземам ключовете за Касперски...

Правилно.Там освен фишинг има и други творения.Китайски...При толкова промоции е излишно натоварването

Сканирай в SAVE MODE,като първо спреш систем ресторето и почистиш дисковете.Сканирай на максимум евристика и всички файлове,в това число и архивните.

Щом взима оттам ключовете, нищо чудно да се тегли сам вируса

1. Не си преименувал HijackThis...Ако е VUNDO...той засича и крие процесите си от HijackThis.

Преименувай програмата на hellothere.exe и пусни нов лог от Hijackthis.

2. Процесa\файла може е да е със статус hidden. Отвори

 Start => Run => control folders => View => слагаш чавкa на:


*Show hidden files and folders


Махаш чавката на:


*Hide protecting operating system files (recommended).

Виж дали има такъв файл. 3. Изтегли си програмата OtMoveIt3 Постави тази информация в нея: [kill explorer] C:\WINDOWS\system32\quicktime.exe [start explorer] Избери бутона Moveit! Копирай лога от извършените процедури. 4. Ако това не помогне, ще ти дам скрипт за Combofix-a да го довършим. 5. Avira също го намира като:

C:\WINDOWS\system32\QuickTime.exe

[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen

Програмата можеш да изтеглиш оттук: http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe Настройки за нея има тук: http://www.kaldata.com/forums/index.php?s=...t&p=1017686 В HijackThis удари едни отмеки и на:

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

Избери Fix Checked !

Редактирано 27 ноември 200817 г. от B-boy[StyLe] (преглед на промените)

Ехеее, баси и схемите... Буутваш едно линукс лайв CD, монтираш дяла с ntfs-3g, пишеш:

rm -rf `find / | grep -i QuickTime.exe`

и си готов.

Аз едно не мога да разбера защо се качват кракнати антивирусни програми, те няма да ви предпазят освен това в ядрото си съдържат троянец, който ми е бедна фантазията да го опиша какво ще стане в определен момент с компютъра ви. Antivir e добра програма и освен това безплатна използвай нея и ще си по защитена от колкото с кракната. Задължително се използва само една антивирусна програма и се препоръчва сканирането в режим Safe mode както съм описал по горе в друг коментар на всеки две седмици, и мисля че няма да имаш проблеми.

kavkiskey.com - от там се "свалят" неусетно spyware имащи за цел кражба на данни за банкови карти. Чудя се какво прави там някой, който няма представа как да се предпази...Китайско творчество. Поздрави

Само едно не разбрах кракната ли е програмата, ако е така просто махая защото туковиш са ти изнесли информацията. Сложи си някоя безплатна и реши проблема. Другия вариант е да се те прихванали от Касперски и да те използват за тестова машина. Сериините номера се следят по IP и когато повече от един човек използва кода при тах им дава информация, че си пират. При панда се явяваше същия проблем, със серийния номер. Ако се опиташ да ги мамиш просто изгаряш.

Правиш следното сваляш скенера http://www.freedrweb.com/ дърпаш кабела на интернета, после изключваш System Restore от Start/All programs/accessories/System tools/System Restore/turn off. После влизаш в режим Safe mode и пускаш скенера да сканира. Ако има вирус той ще го излекува. Пиши ако имаш проблеми.

Сега видях темата...

C:\WINDOWS\system32\quicktime.exe се ликвидира успешно със SUPERAntispyware, ъпдейтната до дупка при изключен System Restore - правих това преди около месец. KIS .454 (тогава) с редовен ключ (kiskavkey.com няма нищо общо) под Vista го намираше, но не можа да го изтрие дори и при изключена опция System Restore.

Хора Нод-а се побърка имам отвратителен вирус, бях свалил преди два дена една програма за чистене на спайуеър, но не съм я инсталвал и ето сега почват да ми излзат прозорци за Threat detected и каквото и приложение да отворя казва, че е заразено. А самата програма, която бях изтеглил Нода казва, че не може да бъде изтрита... (ексето,както споменах, така и не го инсталнах) Ще трябва да преинсталвам май, нали? Ако има друг начин, моля кажете ми, защото Нода не може да се справи като гледам...

Редактирано 27 ноември 200817 г. от goshetoo (преглед на промените)

Ето това ще ти помогне:

http://www.kaldata.com/forums/index.php?sh...=antivirus+2008

И тук също:

http://www.kaldata.com/forums/index.php?showtopic=87744

А като гледам и самия нод ти позволява да истриеш файла.

Редактирано 27 ноември 200817 г. от Features (преглед на промените)

"""Пользуюсь Spyware Doctor и Касперским, которые хорошо друг друга дополняют.

Совместно с KAV2009 Spyware Doctor работать не будет. А временно запустить

и проверить систему SpDr-ом, вполне возможно.

Были серьёзные проблемы с троянами (Касперский рухнул от зловредов).

Сканирование на другой машине HDD, конечно, помогло чуть-чуть.

А Spyware Doctor быстро обнаружил и удалил остатки зловредов в реестре.

В SpDr хорошая поясниловка к обнаруженным вредителям на русском,

а также степень их опасности.

Spyware Doctor - Хороший сканер, дважды выручал уже. """ Копирах цитата от руски форум - китайското творчество не бива да се подценява. Поздрави

Така ли, къде точно да дам,за да го изтрия?

Правиш следното сваляш скенера http://www.freedrweb.com/ дърпаш кабела на интернета, после изключваш System Restore от Start/All programs/accessories/System tools/System Restore/turn off. После влизаш в режим Safe mode и пускаш скенера да сканира. Ако има вирус той ще го излекува. Пиши ако имаш проблеми.

Само едно не разбрах кракната ли е програмата, ако е така просто махая защото туковиш са ти изнесли информацията.

Сложи си някоя безплатна и реши проблема.

Кракната програма на касперски няма.Има други възможности,като ползването на пиратски ключове,както и модификации на регистрите.Но с тези неща самата програма се справя успешно.

Другия вариант е да се те прихванали от Касперски и да те използват за тестова машина.

Дали изобщо прочете написаното?

Сериините номера се следят по IP и когато повече от един човек използва кода при тах им дава информация, че си пират.

Ако е динамично,какво следва...

Серийните номера...няма такива.Има активационни кодове,както и обърнати такива под формата на лицензионен ключ.

Ако се ползва пиратски лиценз това се засича от програмата със сверяване на черният лист при ъпдейтите.Ако един лиценз се ползва по едно и също време,което се засича от обновяването ще се получи тази информация и ще бъде увентуално блокиран.Можеш да ползваш лиценза си и на повече от една ОС дори при едно и също IP.

Непознаването на програмата и принципите на работа не е оправдание за подобни мнения.

Колегата TNN доста точно се изказа.Споделям мнението чу.

"""Пользуюсь Spyware Doctor и Касперским, которые хорошо друг друга дополняют.

Совместно с KAV2009 Spyware Doctor работать не будет. А временно запустить

и проверить систему SpDr-ом, вполне возможно.

Были серьёзные проблемы с троянами (Касперский рухнул от зловредов).

Сканирование на другой машине HDD, конечно, помогло чуть-чуть.

А Spyware Doctor быстро обнаружил и удалил остатки зловредов в реестре.

В SpDr хорошая поясниловка к обнаруженным вредителям на русском,

а также степень их опасности.

Spyware Doctor - Хороший сканер, дважды выручал уже. """ Копирах цитата от руски форум - китайското творчество не бива да се подценява. Поздрави

Защо да са несъвместими с Касперски Антивирус?Работели са и двата при мене при ползването на версия КАВ 7

Ето лог-а след извършените процедури за които B-boy style ми писа:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:15:44, on 27.11.2008 г.

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20772)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.topnovini.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = irc.homeftp.net:3128

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Global Startup: Bluetooth.lnk = ?

O8 - Extra context menu item: &Download All with FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~2\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~2\KASPER~1\mzvkbd3.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 5844 bytes

Ще махам Касперски и ще слагам Авира, защото не ми се рови за лицензи през седмица две и да се набутвам с гадини Днес обаче от както съм включил компютъра от тази животинка не е пропищявал Каспереца...странно...а да щях да забравя...когато показах скритите системни файлове такъв нямаше в system32 (за quicktime.exe става на въпрос). Като премина на Авира и я настроя ще пусна да сканирва и отново може да пусна лог...това е за сега