Проблем с вирус

[liliya.koleva]

имам "шпионин" в който ми се намърда в компютъра. наблюдава ме, размества ми десктопа, рестартира ми pc-то и ми пише от някакав чат, който не знам от каде се появява. Искам да ви помоля за компетентното ви мнение и ако може някой да ми каже как да го хвана или игнорирам? Защото антивирусната не го хваща а мисля че този използва някаква програма за дистанционно управление и наблюдение. моля ако някой знае какво да правя да пише тук или на e-mail: liliya.koleva@abv.bg благодаря

[Night_Raven]

Подред на номерата:

1) Ако си с WindowsXP, инсталирала ли си ъпдейти за него?

2) Компютърът ти част ли е от LAN мрежа?

3) С коя антивирусна си и сигурна ли си, че си я настроила добре?

4) Какво представлява този чат? Да не е просто прозорче със съобщение и бутон OK?

5) Сканирала ли си с програми като Ewido Anti-Malware, Ad-Aware, Spybot - Search & Destroy?

6) Имаш ли инсталирана защитна стена?

[liliya.koleva]

Подред на номерата:

1) Ако си с WindowsXP, инсталирала ли си ъпдейти за него?

2) Компютърът ти част ли е от LAN мрежа?

3) С коя антивирусна си и сигурна ли си, че си я настроила добре?

4) Какво представлява този чат? Да не е просто прозорче със съобщение и бутон OK?

5) Сканирала ли си с програми като Ewido Anti-Malware, Ad-Aware, Spybot - Search & Destroy?

6) Имаш ли инсталирана защитна стена?

 

 

дтговори подред; 1- да WindowsXP ми се ъпдейтва 2-не съм в мрежа 3- антивирусната ми е Avast и мисля че работи добре защото до сега ми е хващала много вируси. чата за който писах е с 2 прозореца и отгоре си пише със син надпис chat- в единия прозорец 4ета това което ми се пише а в другия уж аз мога да пиша но като се опитам и не става. опитах да сканирам с Ashampoo AntiSpyWare но ми писаха че никаква антивирусна нямало да ми помогне да не се мъча. незнам дали имам защитна стена и какво представлява. а от каде мога да изтегля и да пробвам някоя от програмите които си изредил? /.дхфод,с

[Night_Raven]

Ако ти се занимава, можеш да пробваш да сканираш с друга антивирусна или - по-добре - да направиш онлайн сканиране. Kaspersky (например) предлагат такова.

Ето линкове към програмите:

Ewido Anti-Malware 3.5 - 7.7MB; демо.

Ако функцията за ъпдейт не работи, ето ти линкове към ъпдейтите за ръчно изтегляне (само ги теглиш, стартираш и кликаш бутона Install):

Ewido Signatures - Full - тегли първо това...

Ewido Signatures - Current - ... и после това

 

Ad-Aware SE Personal 1.06 - 2.8MB, Freeware

 

Spybot - Search & Destroy 1.4 - 4.9MB, Freeware

 

Обновяваш си ги и сканираш. Ако не се реши проблема или ако искаш първо това да направиш, сканирай с HijackThis и копирай съдържанието на LOG файла във форума.

HijackThis 1.99.1 - 208KB, Freeware

Изтегляш, разархивираш, стартираш и натискаш бутона Do a system scan and save a log file. Програмата ще сканира системата и ще изведе накрая един текстов файл с доста текст. Копирай този текст във форума за да го разгледаме за евентуални проблеми.

[liliya.koleva]

благодаря за помоща! аз взех че си изключих нета и пуснах антивирусната да сканира и откри заразени фаилове които ги изтрих и след това си инсталирах защитна стена и мисля че реших проблема. Но за всеки случай ще сканирам и с HijackThis и ще публикувам LOG файла за да проверите има ли нещо нередно. Защото честно да си призная хич не ги разбирам тези неща

 

ето файла който получих:

 

 

Logfile of HijackThis v1.99.1

Scan saved at 12:36:35 AM, on 6/16/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\WINDOWS\VM_STI.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Datecs\FlexType 2K\FType2K.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Documents and Settings\1\Desktop\hijackthis\HijackThis.exe

 

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O1 - Hosts: 80.80.144.220 katana

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\Jccatch.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\INTERN~2\MEDIAKEY.EXE

O4 - HKLM\..\Run: [MW1HelperStartUp] C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE /partner MW1

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [iCQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: FlexType 2K.lnk = C:\Program Files\Datecs\FlexType 2K\FType2K.exe

O4 - Global Startup: TunesUp20.lnk = C:\Program Files\HLT\TunesUp20\TunesUp20.exe

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm

O8 - Extra context menu item: Е&кспортирай в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Сваляне на всички с FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Сваляне с FlashGet - C:\Program Files\FlashGet\jc_link.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Преведи - {60237576-b24c-4ba9-9740-c9f3ec9db557} - C:\PROGRA~1\SkyCode\WEBTRA~1\wt2ie.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{12EB234D-6798-44E8-BDF5-45BF60C16B26}: NameServer = 80.80.128.161,80.80.128.193

O17 - HKLM\System\CS1\Services\Tcpip\..\{12EB234D-6798-44E8-BDF5-45BF60C16B26}: NameServer = 80.80.128.161,80.80.128.193

O17 - HKLM\System\CS2\Services\Tcpip\..\{12EB234D-6798-44E8-BDF5-45BF60C16B26}: NameServer = 80.80.128.161,80.80.128.193

O18 - Protocol: skype-x - {DC964137-B8CF-4FE7-B9FE-4E04F7CA81DA} - C:\Program Files\HLT\TunesUp20\SkypeX.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

[Night_Raven]

В LOG файла не виждам нищо обезпокоително, но ще използвам случая да отбележя няколко процеса, които можеш да си спреш, защото са напълно излишни и няма нужда да ти бавят компютъра излишно:

 

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe (ако не го ползваш СЛУЧАЙНО)

C:\Program Files\iPod\bin\iPodService.exe (ако не го ползваш СЛУЧАЙНО)

 

За целта просто отвори MSconfig (Start Menu -> Run и пишеш msconfig).

Махаш отметките на:

- PDVDServ

- jusched

- PicasaMediaDetector (освен ако не я ползваш)

- iTunesHelper

- qttask

и потвърждаваш с OK.

Виждам, че имаш WgaTray активно, което може би значи, че ти се появяват подобни неща:

http://www.mydigitallife.info/wp-content/uploads/2006/04/wga-notification3.jpg

Ако е така и те дразни, можеш да си го махнеш ето така:

1. Пускаш Task Manager (CTRL+ALT+DEL)

2. Изключваш процеса wgatray.exe (End task)

3. Рестартираш компютъра в Safe Mode (преди да започне да зарежда операционната система натискаш F8 постоянно, докато ти се появят възможности за избор, от които си избираш Safe Mode.

4. Изтриваш WgaTray.exe от C:\WINDOWS\System32

5. Изтриваш WgaTray.exe от C:\WINDOWS\System32\dllcache

6. Пускаш RegEdit (Start Menu -> Run и пишеш regedit)

7. Достигаш/разклоняваш до следния адрес: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

8. Изтриваш папката WgaLogon заедно с цялото й съдържание

9. Рестартираш компютъра в нормален режим

[liliya.koleva]

много благодаря но това последното немога не6то да го направя когато стигна до рестарт на рс-то и трялва да избера safe mode не ми излиза такова колкото и да натискам F8 а незнам как да рестартирам във safe mode а просто си натискам рестарт

[Night_Raven]

Рестартираш си компютъра нормално. Трябва да натискаш F8 точно след като приключи с инициализацията на устройствата в началото и преди да започне да зарежда Windows (появата на логото на Windows). При постоянно натискане на бутона ще се пяви boot меню и ще имаш няколко възможни опции. Избираш Safe Mode като натискаш Enter. Ще те изведе в меню за избор на операционни системи, където ще имаш само Windows XP и отново си натискаш Enter.