liletka Публикувано Декември 5, 2007 Report Share Публикувано Декември 5, 2007 Оффф,писна ми вече.Сега пък това ми се появи trojan IRC/SdBot found in operating memory. The file can be deleted. It is strongly recommended that you back up any crucial data before you proceed. No action can be taken while the file is in memory. Click "Leave" to continue and subsequently run the cleaning of all local disks. System memory infection originated from file C:\WINDOWS\system\msnrav.exe. Моля пак за помощ. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Декември 5, 2007 Report Share Публикувано Декември 5, 2007 Сканирай с HijackThis 1.99.1 (208KB) - Do a system scan and save a logfile, чието съдържание, копирай тук.Обнови антивирусната си програма и сканирай всички дялове. Цитирай Link to comment Сподели другаде More sharing options...
liletka Публикувано Декември 5, 2007 Author Report Share Публикувано Декември 5, 2007 Ето това излезе C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exeC:\WINDOWS\system\msnrav.exeC:\Program Files\Eset\nod32krn.exeC:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exeC:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exeC:\WINDOWS\System32\nvsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exeC:\Program Files\Skype\Plugin Manager\skypePM.exeC:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXEC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Administrator\Desktop\hijackthis\HijackThis.exeC:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.bg/O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [skyTel] SkyTel.EXEO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXEO4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\wianmpa.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICEO4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" bootO4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quietO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: FlexType 2K.lnk = C:\WINDOWS\Datecs\Flex2K.exeO9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dllO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{C8511228-34C1-486B-B87C-F52A7E8AF7FF}: NameServer = 195.34.110.1O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLLO23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exeO23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exeO23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exeO23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Но след сканирането НОД32 показа това The file can be deleted. It is strongly recommended that you back up any crucial data before you proceed. Event occurred at an attempt to access the file by the application: C:\Documents and Settings\Administrator\Desktop\hijackthis\HijackThis.exe. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Декември 5, 2007 Report Share Публикувано Декември 5, 2007 Натисни CTRL+ALT+DEL на клавиатурата, за да изведеш Task Manager. Иди на страница Processes. Маркирай msnrav.exe, кликни бутон End Process и потвърди с Yes. Затвори Task Manager.Стартирай отново HijackThis и сканирай - Do a system scan only. След като приключи сканирането, сложи отметка на:O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exeКликни Fix Checked и потвърди с Yes. Ако поиска рестарт, кликни No.Кликни бутон Config... долу вдясно и после бутон Misc Tools. Кликни Delete a file on reboot..., посочи файла C:\WINDOWS\system\msnrav.exe и на въпроса за рестартиране кликни No.Кликни бутон Delete an NT service..., в полето напиши "MSN RAV" (без кавичките) и кликни OK. Трябва да се появи прозорец с Yes и No, в който кликаш Yes. Ще ти бъде поискан рестарт на системата, където вече можеш да кликнеш Yes и компютърът ще се рестартира.След като зареди, стартирай отново HijackThis, сканирай отново и качи съдържанието на новия log файл тук. Цитирай Link to comment Сподели другаде More sharing options...
liletka Публикувано Декември 5, 2007 Author Report Share Публикувано Декември 5, 2007 Logfile of HijackThis v1.99.1Scan saved at 10:42:31 PM, on 12/5/2007Platform: Windows XP SP1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\WINDOWS\RTHDCPL.EXEC:\WINDOWS\System32\LVCOMSX.EXEC:\Program Files\Logitech\Video\LogiTray.exeC:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exeC:\Program Files\Eset\nod32kui.exeC:\Program Files\Skype\Phone\Skype.exeC:\WINDOWS\Datecs\Flex2K.exeC:\Program Files\Logitech\Video\FxSvr2.exeC:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exeC:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exeC:\Program Files\Eset\nod32krn.exeC:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exeC:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exeC:\WINDOWS\System32\nvsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exeC:\Program Files\Skype\Plugin Manager\skypePM.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Documents and Settings\Administrator\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.bg/O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [skyTel] SkyTel.EXEO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXEO4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exeO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\wianmpa.exeO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICEO4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" bootO4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quietO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - Global Startup: FlexType 2K.lnk = C:\WINDOWS\Datecs\Flex2K.exeO9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dllO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{C8511228-34C1-486B-B87C-F52A7E8AF7FF}: NameServer = 195.34.110.1O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLLO23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exeO23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exeO23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Декември 5, 2007 Report Share Публикувано Декември 5, 2007 LOG файлът вече е чист. Гадината е отстранена. И все пак е хубаво да сканираш всичките си дялове с антивирусната, настроена за максимална сигурност, ако вече не си го направила. Тук можеш да намериш ръководство за настройка на NOD32, а конкретно в този коментар съм описал как може да се настрои програмата, за да не занимава потребителя.Добре е и да сканираш компютъра и за adware и spyware. Добри и безплатни програми за целта са Spybot - Search & Destroy, AVG Anti-Spyware Free и a-squared Free, но не забравяй да ги обновиш (ъпдейтнеш), преди да сканираш. Цитирай Link to comment Сподели другаде More sharing options...
liletka Публикувано Декември 5, 2007 Author Report Share Публикувано Декември 5, 2007 Благодаря много. А преди да сканирам с Spybot - Search & Destroy, AVG Anti-Spyware Free и a-squared Free,трябва ли да махна НОД-а? Цитирай Link to comment Сподели другаде More sharing options...
Slammer Публикувано Декември 5, 2007 Report Share Публикувано Декември 5, 2007 Не! Цитирай Link to comment Сподели другаде More sharing options...
liletka Публикувано Декември 6, 2007 Author Report Share Публикувано Декември 6, 2007 О,НЕ.Тая гадина пак се появи Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Декември 6, 2007 Report Share Публикувано Декември 6, 2007 Настрои ли NOD32 по описания начин и обновена ли е? Сканира ли с другите програми? Цитирай Link to comment Сподели другаде More sharing options...
liletka Публикувано Декември 6, 2007 Author Report Share Публикувано Декември 6, 2007 Сканирах с AVG Anti-Spyware Free .Сега чета наръчника за НОД32.Трябва да деинсталирам моят Нод,нали?Сорри за тъпите въпроси,но се опитвам да се науча на нещо и да си оправя проблема. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Декември 6, 2007 Report Share Публикувано Декември 6, 2007 Не е нужно да деинсталираш NOD32. Кое те кара да мислиш, че трябва? Цитирай Link to comment Сподели другаде More sharing options...
liletka Публикувано Декември 6, 2007 Author Report Share Публикувано Декември 6, 2007 Ами подведох се в началото от обясненията за инсталацията.Иначе прочетох и НАПРАВИХ всичко,както си описал.Нод-а е настроен.Благодаря ти.След малко ще го пусна да сканира. Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.