vesilp

Благодаря за включването ! За съжаление, няма да стане с този диск - различен е по всички параметри. Поздрави !

Здравейте ! Имаме голям проблем - гръмна ни диск с изключително важна информация. Повредени магнитни глави ! Единственият шанс за спасяване на данните е да се намери точно същият модел и версия на диска, за да се прави опит за замяна... Та, търсим под дърво и камък: Seagate Barracuda 7200.9, 80 GB, IDE/ATA 100 % съвпадение е нужно на следните 3 параметъра: Модел - ST3802110A Firmaware - 3.AAE Site code - WU ЦЕНАТА Е БЕЗ ЗНАЧЕНИЕ !

Много благодаря за Flash_Disinfector.exe ! За съжаление, до този момент успях само да го изтегля, но не и да го изпробвам. Така ме награбиха други спешни задачи, че не можах да си вдигна главата... Но ще го пробвам обезателно, името му звучи много обещаващо. Благодаря ! Ще го пусна F-prot-a да си каже тежката дума. Все пак, откъде се нсмирст и кой ги генерира дефинициите, след като самата F-secure не поддържа продукта ?

Здравей ! Този вирус не беше открит от NOD32 - антивирусната на проблемния служебен компютър. А F-Prot години наред беше моята антивирусна програма, първоначално - именно ДОС версията. Сравнително отскоро реших да пробвам NOD32. Сега, обаче, разбрах, че F-secure вече не поддържа ДОС-версията. Съответно, не предлага вирусни дефинициии. Затова ще ти бъда благодарен, ако ми изпратиш твоите (а ти откъде си се сдобил с тях ?). Поздрави !

Може би тогава или аз нещо пропускам, или просто при мен се наблюдава друга картина. След стартиране на ComboFix той си отваря син ДОС-прозорец, в който започва сканирането си. След завършване на сканирането затваря ДОС-а и отваря Windows прозорец на Notepad, в който и се появява съдържанието на текстовия LOG-файл. При мен този файл не се Save-ва автоматично, ако аз не му дам File-Save. Именно за този файл говоря, че не съдържа никакви коментари и оценки за подозрения/зарази. Днес пуснах нов скан на ComboFix и дали защото го погледнах с други очи, дали наистина той беше по-различен от вчера, но ми привлякоха вниманието следните 2 файла: C:\Windows\afprj.dll C:\Windows\afire.dll Потърсих ги в Google и той ми върна trojan-квалификации... Започна се едно ново търсене/ровене, НО в рамките на ограничените ми възможности през работно време. В резултат на което така и не стигнах до еднозначни и категорични резултати, нито до някакво изчистване, така че проблемът още си виси, но все пак вече с някакви улики с имена. Здравей ! Благодаря за това ново включване и очаквам с нетърпение новите данни утре. Дано се окаже, че и при нас случаят е същият, за да може и ние да се отървем от тази досада (за която все още не знам доколко може да е зловредна, поне досега нямаме фатални поражения...)

Да, така е. Но мисля, че в \ComboFix.txt се записва точно това, което е на екрана. Т.е. нямаше докладвани някакви зарази или съмнения,

Днес изненадващо ме пратиха в командировка и не можах пълноценно да се ровя в проблема... Все пак - съгласен съм, че горният C:\WINDOWS\pchealth\services.exe е съмнителен, след като това му се оказа второ копие ! Едновременно с него си съществуваше и C:\WINDOWS\system32\services.exe При това двата бяха с различни размери и дати, като съмнителният не беше с "Windows"-ка дата (датата на инсталацията), а от преди месец ! Дадох на HijackThis да го изчисти. След което мушнах флаша. За малко да се зарадвам - не се появи червеният NOD32 прозорец, но вместо него се появи флаш-съобщение на Windows (онова в System Tray), че НЕ МОЖЕ ДА РАЗПОЗНАЕ "USB device" ! Re-insert-нах флаша ... и познатото проклето съобщение на NOD32 за "INF /Autorun virus" си се появи отново. Тогава установих, че съмнителният ЕХЕ продължава да си стои на мястото - C:\WINDOWS\pchealth\services.exe Изтрих го ръчно. Проблемът си остана ! Благодаря и за този нов съвет - за ComboFix (не го познавах досега). Изтеглих го и го стартирах (не съм сигурен, обаче, че не съм пипал мишката по време на сканирането). Във всеки случай, не ме обвини в някакви нарушения на работата му... Стартирани от мен програми нямаше. Но не съм пипал/изключвал, например, никакви Startup-процеси/програми... В крайна сметка ComboFix си изкара някакви списъци на файлове, но без никакъв съществен коментар. Т.е. не съобщи нищо за някакви открити проблеми. Така и след този пореден опит си оставам на изходната позиция...

Благодаря, Night_Raven, и за твоето включване ! Ето го log-a на HijackThis, генериран на (единия от няколко) компютъра под подозрение. Впрочем, аз още преди месец бях пускал HijackThis (друга версия, май 2.0.2, но тогава не бях прилагал трика с преименуване на ЕХЕ-то). Само че тогава не успях да стигна до еднозначни заключения за източник на зараза. Видях, че днешният log е малко по-голям от онзи, явно е по-богат на "впечатления". Очаквам с интерес резултата от анализа и предварително благодаря ! Logfile of HijackThis v1.99.1 Scan saved at 17:26:07, on 10.1.2008 г. Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Program Files\Eset\nod32krn.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Ahead\InCD\InCD.exe C:\WINDOWS\pchealth\services.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\Datecs\Flex2K.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe D:\Install\alabala-HijackThis1.99.1.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.bg/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.2:6588 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Adobe Reader 7.0.5\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [services] C:\WINDOWS\pchealth\services.exe O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Adobe Reader 7.0.5\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1 O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Adobe Reader 7.0.5\Reader\reader_sl.exe O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe O4 - Global Startup: FlexType 2K.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{25D2E2AC-AAEC-4F95-83DE-16112C4E31F8}: NameServer = 192.168.0.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: ANSYS FLEXlm license manager - Unknown owner - C:\Program Files\Ansys Inc\Shared Files\Licensing\Intel\lmgrd.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Благодаря за включването ! NOD32 НЕ дава съобщение за Win32/PSW.Agent.NDP trojan. NOD32 съобщава за "INF /Autorun virus" (аз нали съм сложил и прикачен файл). Направеното отделно сканиране с NOD32 също не открива присъствие на Kavo (и на никакъв, въобще) вирус. Все пак, ще проверя за цитираните зловредни файлове, утре , на работа (проблемът не е вкъщи, слава Богу). Ще (се опитам да) изтегля двата download-a (ако не послужат сега, могат да потрябват друг път). За последния update на NOD32 на въпросния служебен компютър не съм проверявал, ще го направя (на моя служебен се update-ва редовно, практически ежедневно, поне досега). Иначе версията е наистина от пачнатите, с нея разполагам, инсталирал съм я неколкократно.

Здравейте ! Предполагам, че има доста хора, на които проблемът е познат. Надявам се и някой да сподели за успешно решение. В нашата фирма имаме дузина РС, с инсталирани Windows XP. Практически всички колеги имаме на разположение флаш-памети, не всички от един тип и производител. От известно време ни се появи въпросният проблем, свързан с флашовете. При поставяне на флаша в USB-порта инсталираният NOD32 вади съобщение за Threat: INF /Autorun virus и пояснения File: <flash_drive_letter>:\Autorun.inf "Event occured at an attempt to access the file by the application (например, ВАРИРА за различни наблюдавани случаи) C:\Windows\System32\svchost.exe ... (в друг случай - C:\Windows\System32\services.exe )" (прилагам и картинка на съобщението на NOD32) Дори и след форматиране на флаша ситуацията не се променя, проблемът си остава. На един от засегнатите РС се вижда, че на току що форматираният флаш след секунди се появява, едновременно със съощението на NOD32, някякъв файл "setup.exe", със следните "Properties: Size: 208896 bytes Company: SunSoft Version: 1.0.0.177 Секунди след ръчно изтриване на този setup.exe (File - Delete) той се "възражда", съпроводен, разбира се, с "Alert"-a на NOD32. И това се повтаря, докато флаша не бъде изваден от USB-порта. Пускам веднага "virus scan" с NOD32 - НЕ открива нищо, асоцииращо се с "autorun". С изваждане на флаша от USB-порта проблемът приключва. Същият флаш на друг РС не предизвиква никакви проблеми и на него не се вижда никакъв "setup.exe" файл ! Обобщено, картината в момента изглежда така - някои флашове, на някои компютри, предизвикват проблема; на други компютри, със същите или други флашове, проблем няма. Предварително благодаря на всеки, който може да предложи решение на проблема. Поздрави Любо