Проблеми с нещо като вирус

[Dementor]

Здравейте

Днес , докъто чатех по скайп случайно цукнах на един линк , пратен ми от приятел . Излезе ми една картинка и след време антивирусната ми изписа ,че е намерила вирус . Използвам AVG .Мислех ,че е поредното малко вирусче ,но уви . След 30 мин при процесите в диспечера на задачите се появи проес който товари процесори ми на 100 % и започва страхот сеч и трябва рестарт на пц-то .АВГ не ми помогна , затова реших да си инсталирам НОД 32 .Свалих я от тук http://www.eset.bg/main.php?id=50 ,но след инсталването програмата отказва да се отвори . Някой да ми помогне , какво да правя ?! Ако ми дадете някой друг линк и малко помощ за настройките на нод ,може и да се справя ,защото този процес се включва ан секи 30-тина мин.

[Aquarius]

Здравей!

За начало актуализирай AVG и пусни пълно сканиране в режим Safe Mode. В допълнение към това може да погледнеш и тази тема.

След това свали AutoRuns и направи следното:

1. Избери Options -> Hide Microsoft Entries.

2. Избери File -> Refresh.

3. Избери File -> Save as.

Запази файла някъде и след това, използвайки Copy/Paste, постави този log файл в темата.

Относно настройките на NOD виж тук.

Добавено: Много е важно преди да инсталираш NOD32 да деинсталираш AVG.

[Sir William]

Досега разбрах, че си използвал линк за изтегляне от www.eset.bg.

Ето точния линк от този сайт, ако имаш Windows NT/2000/2003/XP/Vista 32/64-bit: ESET NOD32 2.7.

 

Иначе може да опиташ теглене на пробна версия след регистрация от сайта на Еset: Free 30-Day Trial of NOD32 Antivirus Software

[crio]

Ето малко информация за червея ... цък

[Sir William]

Ето малко информация за червея ... цък

Хм, това червейче отваря това интересно изображение:

http://images.kaspersky.com/en/pictures/virus/21778449.png

Това е %Temp%\sandra.jpg.

 

Може ли да потвърдиш това, Dementor?

[Dementor]

при мен беше някакви капки ,но големината в пикселите е същата 10х на всички .

Сега имам друг проблем , AVG Free Edition неможе да се ъпдейтва , стой си сива ,а преди да я изтрия нямах такъв проблем .Ето скрийн : http://i48.photobucket.com/albums/f204/mitoncheto/avg.jpg

благодаря предварително

[Sir William]

Значи картинката е тази:

http://i10.tinypic.com/66wavmb.png

 

Ако е така, може да пробваш следното решение: IM-Worm.Win32.Pykse.a removal instructions@www.viruslist.com.

[Dementor]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ AVG7_CC AVG Control Center GRISOFT, s.r.o. c:\program files\grisoft\avg7\avgcc.exe

+ DAEMON Tools-1033 Virtual DAEMON Manager DAEMON'S HOME c:\program files\d-tools\daemon.exe

+ NeroFilterCheck NeroCheck Ahead Software Gmbh c:\windows\system32\nerocheck.exe

+ NvCplDaemon NVIDIA Display Properties Extension NVIDIA Corporation c:\windows\system32\nvcpl.dll

+ NvMediaCenter NVIDIA Media Center Library NVIDIA Corporation c:\windows\system32\nvmctray.dll

+ nwiz NVIDIA nView Wizard, Version 110.38 NVIDIA Corporation c:\windows\system32\nwiz.exe

+ QuickTime Task Apple Computer, Inc. c:\program files\quicktime\qttask.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

+ Services Start2 c:\windows\system32\mshtmlsh32.exe

+ System Services c:\windows\system32\rdatasys2.exe

C:\Documents and Settings\All Users\Start Menu\Programs\Startup

+ FlexType 2K.lnk c:\windows\datecs\flex2k.exe

C:\Documents and Settings\1\Start Menu\Programs\Startup

+ Adobe Gamma.lnk Adobe Gamma Loader Adobe Systems, Inc. c:\program files\common files\adobe\calibration\adobe gamma loader.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

+ Options c:\windows\system32\rdatasys2.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

+ BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} File not found: C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

HKLM\SOFTWARE\Classes\Protocols\Handler

+ skype4com Skype for COM API Skype Technologies c:\program files\common files\skype\skype4com.dll

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

+ 0 File not found: About:Home

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ AVG7 Find Extension AVG Shell Extension GRISOFT, s.r.o. c:\program files\grisoft\avg7\avgse.dll

+ AVG7 Shell Extension AVG Shell Extension GRISOFT, s.r.o. c:\program files\grisoft\avg7\avgse.dll

+ Desktop Explorer NVIDIA Desktop Explorer, Version 110.38 NVIDIA Corporation c:\windows\system32\nvshell.dll

+ Desktop Explorer Menu NVIDIA Desktop Explorer, Version 110.38 NVIDIA Corporation c:\windows\system32\nvshell.dll

+ Display Panning CPL Extension File not found: deskpan.dll

+ HyperTerminal Icon Ext HyperTerminal Applet Library Hilgraeve, Inc. c:\windows\system32\hticons.dll

+ ICQ Lite Shell Extension ICQLiteShell Module d:\elly\icqlite5.1\icqliteshell.dll

+ NvCpl DesktopContext Class NVIDIA Display Properties Extension NVIDIA Corporation c:\windows\system32\nvcpl.dll

+ nView Desktop Context Menu NVIDIA Desktop Explorer, Version 110.38 NVIDIA Corporation c:\windows\system32\nvshell.dll

+ Play on my TV helper NVIDIA Display Properties Extension NVIDIA Corporation c:\windows\system32\nvcpl.dll

+ PowerConverter Power MP3 WMA Converter Shell Extension. CooolSoft d:\elly\power mp3 wma converter\shellext.dll

+ WinRAR shell extension c:\program files\winrar\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ Easy Gif Animator Toolbar Helper Easy Gif Animator Toolbar c:\program files\easy gif animator extension\v3.2.0.0\easygifanimator_toolbar.dll

+ Nemesis Xtreme Toolbar Conduit Toolbar Conduit Ltd. c:\program files\nemesis_xtreme\tbneme.dll

+ Skype add-on (mastermind) Skype add-on for IE Skype Technologies S.A. c:\program files\skype\phone\ieplugin\skypeieplugin.dll

HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks

+ tbneme.dll Conduit Toolbar Conduit Ltd. c:\program files\nemesis_xtreme\tbneme.dll

HKLM\Software\Microsoft\Internet Explorer\Toolbar

+ Easy Gif Animator Toolbar Easy Gif Animator Toolbar c:\program files\easy gif animator extension\v3.2.0.0\easygifanimator_toolbar.dll

+ Nemesis Xtreme Toolbar Conduit Toolbar Conduit Ltd. c:\program files\nemesis_xtreme\tbneme.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions

+ ICQ Lite File not found: D:\Elly\ICQLite5.1\ICQLite.exe

+ ICQ6 ICQ Library ICQ, Inc. d:\elly\icq6\icq.exe

HKLM\System\CurrentControlSet\Services

+ Avg7Alrt AVG Alert Manager GRISOFT, s.r.o. c:\program files\grisoft\avg7\avgamsvr.exe

+ Avg7UpdSvc AVG Update Service GRISOFT, s.r.o. c:\program files\grisoft\avg7\avgupsvc.exe

+ NVSvc Provides system and desktop level support to the NVIDIA display driver NVIDIA Corporation c:\windows\system32\nvsvc32.exe

HKLM\System\CurrentControlSet\Services

+ Avg7Core AVG Scanning Engine GRISOFT, s.r.o. c:\windows\system32\drivers\avg7core.sys

+ Avg7RsW AVG Resident Shield Unload Helper GRISOFT, s.r.o. c:\windows\system32\drivers\avg7rsw.sys

+ Avg7RsXP AVG Resident Anti-Virus Shield GRISOFT, s.r.o. c:\windows\system32\drivers\avg7rsxp.sys

+ AvgClean AVG7 Clean Driver GRISOFT, s.r.o. c:\windows\system32\drivers\avgclean.sys

+ Changer File not found: C:\WINDOWS\System32\Drivers\Changer.sys

+ d347bus PnP BIOS Extension c:\windows\system32\drivers\d347bus.sys

+ d347prt SCSI miniport c:\windows\system32\drivers\d347prt.sys

+ FETNDIS NDIS 5.0 miniport driver VIA Technologies, Inc. c:\windows\system32\drivers\fetnd5.sys

+ i2omgmt File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys

+ lbrtfdc File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys

+ nv NVIDIA Compatible Windows 2000 Miniport Driver, Version 91.31 NVIDIA Corporation c:\windows\system32\drivers\nv4_mini.sys

+ PCIDump File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys

+ PDCOMP File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys

+ PDFRAME File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys

+ PDRELI File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys

+ PDRFRAME File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys

+ Ptilink Direct Parallel Link Driver Parallel Technologies, Inc. c:\windows\system32\drivers\ptilink.sys

+ PxHelp20 Px Engine Device Driver for Windows 2000/XP Sonic Solutions c:\windows\system32\drivers\pxhelp20.sys

+ rtl8139 Realtek RTL8139 NDIS 5.0 Driver Realtek Semiconductor Corporation c:\windows\system32\drivers\rtl8139.sys

+ Secdrv SafeDisc driver Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. c:\windows\system32\drivers\secdrv.sys

+ VIAudio VIA AC'97 Enhanced Audio WDM Driver VIA Technologies, Inc. c:\windows\system32\drivers\viaudios.sys

+ WDICA File not found: C:\WINDOWS\System32\Drivers\WDICA.sys

 

 

 

 

 

-----------------------------------------------------

Това е текстовия документ от AutoRuns

[crio]

Ето един vbscript който написах набързо. Премахва така наречения "червей" .. или поне файловете и ключовете които той създава (за които пише в viruslist).

 

Pykse.Kill.zip

[Aquarius]

От log файла на Autoruns се вижда зловреден код, който се е вмъкнал в системата. Преди да преминеме към премахването бих искал да споделите дали, когато отворите Task Manager на листа с процесите има процес с име "wndrivsd32.exe"?

[Dementor]

да , точно това е , направо нз как ги разбирате толкос тези неща .

п.п. сори за тъпия въпрос , но как да изпозвам vbscript на Crio

благодаря предварително

[Aquarius]

Добре.

Сега ще се опитаме да премахнем вируса "по-лесния начин" - отвори пак Autoruns и селектирай "Services Start2 c:\windows\system32\mshtmlsh32.exe", кликни с дясното копче на мишката и избери Delete. Когато се визуализира прозорец, който да запитва дали да премахнеш записа потвърди с YES.

Сега опитай да изтриеш следните файлове:

"C:\Windows\System32\mshtmlsh32.exe"

"C:\Windows\System32\wndrivsd32.exe"

Преди това kill-ни процеса wndrivsd32.exe.

Ако имаш проблеми при изтриването, пиши пак в темата.

[IVAN]

От официалния блог на Skype, предлагат този вариант за премахването на вируса -> http://heartbeat.skype.com/2007/09/the_wor...s_skype_fo.html

[miro_fit]

Здрасти пичове аз съм със същия проблем същото ексе в system32 и от скайпи дойде напоравох написаното по горе тоест да отворя системната папка да го намеря и да се опитам да го истрия с десен бутони изтрий но ми пише че се използва от друга програма и неможе да бъде изтрито а преди това го килнах от мениджъра и пак не мога да го изтрия помогнете ако можете благодаря предварително

[Sir William]

Ако пробваш да отстраниш червея ръчно, пробвай варианта от мнението на IVAN. Ето нещо като превод на варианта от Skype :

1. Рестартираш компютъра в Safe Mode (рестарт + F8)

2. Пускаш Start->Run->regedit. Отиваш на HKLM/software/microsoft/windows/currentversion/runonce и триеш mshtmldat32.exe. Затваряш regedit.

3. После отваряш папката Windows\System32 и триеш: wndrivs32.exe, mshtmldat32.exe, winlgcvers.exe и sdrivew32.exe.

4. Във windows/system32/drivers/etc намираш file hosts. Отваряш file hosts с notepad, маркираш всичко (ctrl+a) и триеш всичко. После записваш с notepad (save) и го затваряш.

5. Рестартираш компютъра.

 

Добавка от мен: мисля, че няма да има проблем с ъпдейта на антивируса, който е блокиран от червея. После може да се сканира за всеки случай.

 

Малко съвети:

*Не използвaйате антивирусни програми без активиран скенер в реално време!

*Забравете за половинчати антивирусни програми от сорта: AVGFree, Clamwin, BitDefender Free и прочее. Те стават само за сканиране. Не пазят!

*Вижте дали антивирусните програми се обновяват (update).

При някакви съмнения за обновяване на антивируните програми потърсете помощ!