anarven Публикувано Ноември 9, 2010 Report Share Публикувано Ноември 9, 2010 Здравейте, Авирата откри вирус TR/Dldr.Carberp.C.38 в посочената по-долу програма, но явно се е инсталирал вчера, тъй като самата chkntfs.exe' е инсталирана при инсталирането на компютъра. Авирата три пъти се пробва да изтрие файла при рестарт, но пише, че достъпът е отказан. Естествено, пробвах се да отворя chkntfs.exe', но ми дава, че нямам достъп и след като се опитах да променя Owner-а на файла, отново ми изписва, че трябва да съм администратор (а го отварям като администратор и пак не ми дава достъп). Моля ви, помогнете ми да отстраня вируса!Всеки път със стартирането явно файлът си прави нов регистър, понеже всеки път Авирата трие регистъра, но после отново го има.Благодаря предварително! Ето съобщенята от Авира: The file 'C:\Users\DINEVA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chkntfs.exe'contained a virus or unwanted program 'TR/Dldr.Carberp.C.38' [trojan]Action(s) taken:An error has occurred and the file was not deleted. ErrorID: 26004.The source file could not be found.Attempting to perform action using the ARK library.The file could not be copied to quarantine!An exception has been identified!The file could not be selected for deletion after the restart. Possible cause: Access is denied. The file 'C:\Users\DINEVA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chkntfs.exe'contained a virus or unwanted program 'TR/Dldr.Carberp.C.38' [trojan]Action(s) taken:The registration entry <HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup> was removed successfully.The file could not be copied to the quarantine directory.The source file could not be found.The file could not be renamed!Attempting to perform action using the ARK library.An ARK library instance is already running.The file could not be selected for deletion after the restart. Possible cause: Access is denied.. Цитирай Link to comment Сподели другаде More sharing options...
TechMaster Публикувано Ноември 9, 2010 Report Share Публикувано Ноември 9, 2010 Detailed analysisExample behaviors of Troj/Agent-OWG follow: Example 1File InformationSize75KSHA-1425c06f63dd3509c884367316dffa422e00d1bafMD509914f814562ec518267de8df660d3a8CRC-320b7f5c33File typeapplication/x-ms-dos-executableFirst seen2010-09-23Runtime AnalysisCopies Itself ToC:\Documents and Settings\support\Start Menu\Programs\Startup\chkntfs.exeDropped FilesC:\Documents and Settings\support\Application Data\chkntfs.datSize= 30KSHA-1= cae72d5fe36bfc63e7883e5c3e46a9bd85a50c1aMD5= 648bd04a3beaade7fcd97295b4d0358aCRC-32= 26e9abf9File type= application/octet-streamFirst seen= 2010-10-01Processes Createdc:\windows\explorer.exec:\windows\system32\svchost.exeHTTP Requestshttp://light.raystats.com/cfg/ebnkusdvhttp://light.raystats.com/cfg/miniav.plughttp://light.raystats.com/cfg/passw.plughttp://light.raystats.com/cfg/stopav.plugDNS Requestslight.raystats.comExample 2File InformationFile typeapplication/x-ms-dos-executableOther vendor detectionAviraTR/Dldr.Carberp.C.10Runtime AnalysisCopies Itself ToC:\Documents and Settings\support\Start Menu\Programs\Startup\chkntfs.exeDropped FilesC:\Documents and Settings\support\Application Data\chkntfs.datSize= 30KSHA-1= cae72d5fe36bfc63e7883e5c3e46a9bd85a50c1aMD5= 648bd04a3beaade7fcd97295b4d0358aCRC-32= 26e9abf9File type= application/octet-streamFirst seen= 2010-10-01Processes Createdc:\windows\explorer.exec:\windows\system32\svchost.exeHTTP Requestshttp://light.raystats.com/cfg/ebnkusodhttp://light.raystats.com/cfg/miniav.plughttp://light.raystats.com/cfg/passw.plughttp://light.raystats.com/cfg/stopav.plugDNS Requestslight.raystats.com Мразя модификации на съществуващи гадинки....Дай лог от сканиране с HijackThis, за да видя/им по по-подробно състоянието на системата ти.Надявам се имаш и някое LiveCD с Linux дистрибуция, може и да потрябва. Цитирай Link to comment Сподели другаде More sharing options...
anarven Публикувано Ноември 9, 2010 Author Report Share Публикувано Ноември 9, 2010 Мразя модификации на съществуващи гадинки....Дай лог от сканиране с HijackThis, за да видя/им по по-подробно състоянието на системата ти.Надявам се имаш и някое LiveCD с Linux дистрибуция, може и да потрябва. Привет, не, нямам нищо такова, за съжаление - не съм толкова наясно с компютрите. Имам си Windows 7, който си е с лаптопа. Ето това направих, но не зная дали е правилно: Logfile of Trend Micro HijackThis v2.0.4Scan saved at 11:34:46 ч., on 9.11.2010 г.Platform: Windows 7 (WinNT 6.00.3504)MSIE: Internet Explorer v8.00 (8.00.7600.16671)Boot mode: Normal Running processes:C:\windows\system32\taskhost.exeC:\windows\system32\Dwm.exeC:\windows\Explorer.EXEC:\Windows\System32\igfxtray.exeC:\Windows\System32\hkcmd.exeC:\Windows\System32\igfxpers.exeC:\windows\system32\igfxsrvc.exeC:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exeC:\Program Files\Toshiba\Power Saver\TPwrMain.exeC:\Program Files\Toshiba\SmoothView\SmoothView.exeC:\Program Files\Toshiba\FlashCards\TCrdMain.exeC:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exeC:\Program Files\Apoint2K\Apoint.exeC:\Program Files\Toshiba\TNROTATE\TNROTATE.exeC:\Program Files\Toshiba\TFPU\TFPUPWDBank.exeC:\Program Files\Toshiba\TFPU\TFPUTaskMonitor.exeC:\Program Files\Toshiba\TECO\Teco.exeC:\Windows\System32\ThpSrv.exeC:\Program Files\Toshiba\TOSHIBA Service Station\ToshibaServiceStation.exeC:\Program Files\Toshiba\ReelTime\TosReelTimeMonitor.exeC:\Program Files\Toshiba\BulletinBoard\TosNcCore.exeC:\Program Files\Toshiba TEMPRO\TemproTray.exeC:\Program Files\Avira\AntiVir Desktop\avgnt.exeC:\Program Files\Apoint2K\HidFind.exeC:\Program Files\Apoint2K\Apntex.exeC:\windows\system32\conhost.exeC:\Program Files\COMODO\COMODO Internet Security\cfp.exeC:\Program Files\Microsoft Office\Office12\GrooveMonitor.exeC:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exeC:\Program Files\Toshiba\Toshiba Online Product Information\TOPI.exeC:\windows\system32\igfxext.exeC:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exeC:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exeC:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exeC:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exeC:\windows\system32\taskeng.exeC:\Program Files\TOSHIBA\ConfigFree\NDSTray.exeC:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exeC:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSENotify.exeC:\Program Files\TOSHIBA\TPHM\TPCHWMsg.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\DINEVA\AppData\Local\Google\Chrome\Application\chrome.exeC:\Program Files\Trend Micro\HiJackThis\HiJackThis.exeC:\Program Files\Trend Micro\HiJackThis\horror.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: BHOHOOK - {030AC7B6-E7EC-40F1-8FB2-C0FD344DE0B9} - C:\Program Files\TOSHIBA\TFPU\TFPUPWDBankBHO.dllO2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dllO2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dllO2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dllO2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dllO2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dllO2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dllO3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dllO4 - HKLM\..\Run: [igfxTray] C:\windows\system32\igfxtray.exeO4 - HKLM\..\Run: [HotKeysCmds] C:\windows\system32\hkcmd.exeO4 - HKLM\..\Run: [Persistence] C:\windows\system32\igfxpers.exeO4 - HKLM\..\Run: [iAStorIcon] C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exeO4 - HKLM\..\Run: [TOSDCR] %ProgramFiles%\TOSHIBA\PasswordUtility\TOSDCR.exeO4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXEO4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exeO4 - HKLM\..\Run: [smoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exeO4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exeO4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -sO4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exeO4 - HKLM\..\Run: [TNRotate] %ProgramFiles%\TOSHIBA\TNRotate\TNRotate.exeO4 - HKLM\..\Run: [TFPUPWDBankService] C:\Program Files\TOSHIBA\TFPU\TFPUPWDBank.exe /startO4 - HKLM\..\Run: [TFPUService] C:\Program Files\TOSHIBA\TFPU\TFPUTaskMonitor.exe /startO4 - HKLM\..\Run: [TWebCamera] "C:\Program Files\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorunO4 - HKLM\..\Run: [smartFaceVWatcher] %ProgramFiles%\Toshiba\SmartFaceV\SmartFaceVWatcher.exeO4 - HKLM\..\Run: [iTSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /STARTO4 - HKLM\..\Run: [Teco] "%ProgramFiles%\TOSHIBA\TECO\Teco.exe" /rO4 - HKLM\..\Run: [TosSENotify] C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exeO4 - HKLM\..\Run: [ThpSrv] C:\windows\system32\thpsrv /logonO4 - HKLM\..\Run: [ToshibaServiceStation] "C:\Program Files\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe" /hide:60O4 - HKLM\..\Run: [TosWaitSrv] %ProgramFiles%\TOSHIBA\TPHM\TosWaitSrv.exeO4 - HKLM\..\Run: [TUSBSleepChargeSrv] %ProgramFiles%\TOSHIBA\TOSHIBA USB Sleep and Charge Utility\TUSBSleepChargeSrv.exeO4 - HKLM\..\Run: [TosReelTimeMonitor] %ProgramFiles%\TOSHIBA\ReelTime\TosReelTimeMonitor.exeO4 - HKLM\..\Run: [TosNC] %ProgramFiles%\Toshiba\BulletinBoard\TosNcCore.exeO4 - HKLM\..\Run: [TosVolRegulator] C:\Program Files\TOSHIBA\TosVolRegulator\TosVolRegulator.exeO4 - HKLM\..\Run: [Toshiba TEMPRO] C:\Program Files\Toshiba TEMPRO\TemproTray.exeO4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaReminder.exeO4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /minO4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -hO4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottimeO4 - HKCU\..\Run: [TOSHIBA Online Product Information] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exeO4 - HKCU\..\Run: [Google Update] "C:\Users\DINEVA\AppData\Local\Google\Update\GoogleUpdate.exe" /cO4 - HKUS\S-1-5-18\..\Run: [TOSHIBA Online Product Information] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [TOSHIBA Online Product Information] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe (User 'Default user')O4 - .DEFAULT User Startup: TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (User 'Default user')O4 - Startup: chkntfs.exeO4 - Global Startup: Bluetooth Manager.lnk = ?O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\windows\system32\GPhotos.scr/200O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.htmlO8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.htmlO8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.htmlO8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.htmlO8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.htmlO8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.htmlO9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dllO9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dllO9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dllO9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dllO9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dllO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLLO10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dllO10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dllO18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dllO18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLLO18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dllO20 - AppInit_DLLs: acaptuser32.dllO23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exeO23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exeO23 - Service: AuthenTec Fingerprint Service (ATService) - AuthenTec, Inc. - C:\Program Files\Fingerprint Sensor\AtService.exeO23 - Service: ConfigFree WiMAX Service (cfWiMAXService) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFIWmxSvcs.exeO23 - Service: COMODO livePCsupport Service (CLPSLS) - COMODO - C:\Program Files\COMODO\COMODO livePCsupport\CLPSLS.exeO23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exeO23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exeO23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exeO23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exeO23 - Service: Intel® Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exeO23 - Service: Intel® Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\Intel® Management Engine Components\LMS\LMS.exeO23 - Service: Notebook Performance Tuning Service (TEMPRO) (TemproMonitoringService) - Toshiba Europe GmbH - C:\Program Files\Toshiba TEMPRO\TemproSvc.exeO23 - Service: TOSHIBA HDD Protection (Thpsrv) - TOSHIBA Corporation - C:\windows\system32\ThpSrv.exeO23 - Service: TMachInfo - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA Service Station\TMachInfo.exeO23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\windows\system32\TODDSrv.exeO23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\Toshiba\Power Saver\TosCoSrv.exeO23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exeO23 - Service: TOSHIBA eco Utility Service - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TECO\TecoService.exeO23 - Service: TOSHIBA HDD SSD Alert Service - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exeO23 - Service: TPCH Service (TPCHSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TPHM\TPCHSrv.exeO23 - Service: Intel® Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files\Intel\Intel® Management Engine Components\UNS\UNS.exe --End of file - 15471 bytes Цитирай Link to comment Сподели другаде More sharing options...
TechMaster Публикувано Ноември 9, 2010 Report Share Публикувано Ноември 9, 2010 Добре...Изтеглете и запазете на десктопа ви FileASSASSINИскам да следвате инструкциите ми напълно точно, иначе не мога да отговарям за щети!Разархивирайте FileASSASSIN Portable, и пуснете изпълнимият му файл в режим на Администратор.След това в прозореца на програмата поставете местоположението на chkntfs.exeC:\Users\DINEVA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chkntfs.exe и давате на бутона Executeслед това искам от вас да изпълните същото, но въвеждайки в полето за местоположение на файла следнотоC:\Documents and Settings\support\Application Data\chkntfs.datи давате на бутона ExecuteEто какви настройки трябва да въведете на програматаhttp://bezplatno.info/upload/thumbs/bfi1289317788a.pngНастоятелно желая да въведете адреса на файла, копирайки това, което съм дал с Control+C и поставяйки в прозореца на програмата с Control+VНе се отклонявайте в никакъв случай от инструкциите ми.Това приложение би могло да нанесе сериозни поражения при неправилна употреба!Ако изтриването на двата файла е успешно, пишете за да продължим нататък. Цитирай Link to comment Сподели другаде More sharing options...
anarven Публикувано Ноември 9, 2010 Author Report Share Публикувано Ноември 9, 2010 Благодаря, следвах инструкциите съвсем точно, като се има предвид, че не смея сама да пипам. Но ми дава грешка и пише, че не може да изтрие файла на първата стъпка. Прикачвам картинка Цитирай Link to comment Сподели другаде More sharing options...
Гост tnn Публикувано Ноември 9, 2010 Report Share Публикувано Ноември 9, 2010 При Авира понякога са налице сложни сработвания и фалшиви тревоги - проверихтe ли първо това? chkntfs.exe' защо не го качите на http://www.virustotal.com/ и да умувате над резултатите. Поздрави. Цитирай Link to comment Сподели другаде More sharing options...
anarven Публикувано Ноември 9, 2010 Author Report Share Публикувано Ноември 9, 2010 При Авира понякога са налице сложни сработвания и фалшиви тревоги - проверихтe ли първо това? chkntfs.exe' защо не го качите на http://www.virustotal.com/ и да умувате над резултатите. Поздрави. Не ми разрешава да го кача. Пише да се свърша със собственика на файла или администратора (аз съм администратор). Когато се опитам да видя кой се води собственик на файла, ми пише "Unable to display current owner." Според мен, не е фалшива тревога, защото пише, че файлът е модифициран за последно юли (когато инсталирах компютъра), а Авирата за първи път ми дава този сигнал, освен това всеки път трие регистър, който явно се генерира сам. Кажете, моля ви, ако не успея да го премахна, ще трябва да преинсталирам ли? Цитирай Link to comment Сподели другаде More sharing options...
TechMaster Публикувано Ноември 9, 2010 Report Share Публикувано Ноември 9, 2010 При Авира понякога са налице сложни сработвания и фалшиви тревоги - проверихтe ли първо това? chkntfs.exe' защо не го качите на http://www.virustotal.com/ и да умувате над резултатите. Поздрави.Давай си неквалифицираните мнения другаде и не пречи на темата!Това е регистриран троянец и съм 100% сигурен в това.Ако познаваше поне малко системата MS Windows щеше да разбереш кое е нормално и кое очевадно не е така, както трябва.anarven, спокойно, ще се опитаме да поправим нещата Цитирай Link to comment Сподели другаде More sharing options...
anarven Публикувано Ноември 9, 2010 Author Report Share Публикувано Ноември 9, 2010 anarven, спокойно, ще се опитаме да поправим нещата Добре, благодаря за усилията! Няма да пипам нищо засега. Дали мога да си копирам информация от диска на външен диск или ще пренеса вируса? Цитирай Link to comment Сподели другаде More sharing options...
TechMaster Публикувано Ноември 9, 2010 Report Share Публикувано Ноември 9, 2010 Добре, благодаря за усилията! Няма да пипам нищо засега. Дали мога да си копирам информация от диска на външен диск или ще пренеса вируса?Това е Троянски кон, не вирус.За разлика от вирусите, той не заразява файлове.Но пък е трамлин за дистанционно манипулиране на системата ви и позволява на злонамерени лица да придобият контрол върху нея.Имате ли празен CD диск?Искам от вас да изтеглите Avira AntiVir Rescue SystemЗаписвате на диск, буутвате от него, както сте буутнали, когато сте преинсталирали вашият Windows.Избирате Start Avira Rescue System като въведете 1 и EnterСлед като системата страртира, от началният екран на Avira Antivir Rescue System изберете Scan mode и Scan all files.На Action at malware discovery искам да изберете Remove Infected filesИма и други начини, но съм сметнал този за най-лесен за вас. Цитирай Link to comment Сподели другаде More sharing options...
icotonev Публикувано Ноември 9, 2010 Report Share Публикувано Ноември 9, 2010 Здравейте!Първо да се извиня на колегата че се намесвам ....но малко да помогна..! 1.Стартирате HijackThis 2.Натиснете бутон "Do a system scan only" http://prikachi.com/files/1519372o.jpg 3.Поставете отметки на следните редове и натиснете "Fix сhecked". O4 - Startup: chkntfs.exe След това вариантите са малко....АВЗ или опит с Hitman...! Успех..! Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Ноември 9, 2010 Report Share Публикувано Ноември 9, 2010 Здравейте!Първо да се извиня на колегата че се намесвам ....но малко да помогна..!И си мислиш, че като се извиниш, това ти дава право вече да правиш каквото си поискаш? Хайде, да имаме по 1 "доктор", лекуващ даден компютър, че за заразените потребители е крайно объркващо и евентуално дори пагубно да изпълняват различни инструкции едновременно.Трябва да ти е повече от ясно това, си мисля аз. Цитирай Link to comment Сподели другаде More sharing options...
TechMaster Публикувано Ноември 9, 2010 Report Share Публикувано Ноември 9, 2010 ...То и Avira трие StartUp entry-то.... Цитирай Link to comment Сподели другаде More sharing options...
icotonev Публикувано Ноември 9, 2010 Report Share Публикувано Ноември 9, 2010 Напълно ми е ясно.....!Лека вечер...! То и Avira трие StartUp entry-то.... Както и да е...пожелавам ти успех....! Цитирай Link to comment Сподели другаде More sharing options...
anarven Публикувано Ноември 9, 2010 Author Report Share Публикувано Ноември 9, 2010 Записвате на диск, буутвате от него, както сте буутнали, когато сте преинсталирали вашият Windows. Нямам проблем, диск имам и сега свалям iso-то. Когато го записвам, като CD-ROM (boot) ли да го запиша или просто като CD-ROM (ISO)Извинявам се, но как точно да буутна от диска? Съжалявам за глупавия въпрос, но досега съм преинсталирала само прединсталиран софтуер от възстановяващи дискове с F12. (Извинявам се, че бъркам терминологията - троянският кон malware ли е? По принцип се опитвам да спазвам "хигиена" при ползването на Интернет, това ми е вторият троянец и единствен проблем за толкова години, ужасно просто.) Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.