Iv_ka Публикувано Май 22, 2008 Report Share Публикувано Май 22, 2008 Зравейте от известно време NOD32 все ми съобщава че имам вирус и изписва[C:\WINDOWS\system32\btpanuiv.dll.bak - Win32/TrojanClicker.Delf.NDG trojan - error while deleting - file is locked up] или C:\Documents and Settings\My\Local Settings\Temp\PxCpyA64b.exe - probably a variant of Win32/Zapchast trojan какво да правя.Когато му задам "delete" не разрешава защото файлът е заключен това ми съобщава.Какво да правя.Знаете ли нещо за самия вирус. Моля помогнете. Цитирай Link to comment Сподели другаде More sharing options...
Aquarius Публикувано Май 22, 2008 Report Share Публикувано Май 22, 2008 NOD32 не може да премахне заплахата, защото файлът се използва от някои процес (има отворен манипулатор на обект например). Направи сканиране на системата в режим Safe Mode. Влизането в режим Safe Mode става с натискането на клавиша F8 веднага след POST - т.е. след като се визуализира информацията за процесора, оперативната памет, инсталираните твърди дискове и оптични устройства и тн. Ще се визуализира менюто Windows Advanced Options, в него избираш Safe Mode и натискаш Enter.След като направиш проверката, рестартирай системата в нормален режим и пусни лог-файлове от Autoruns и HiJackthis v2.0.2.Стартирай файла Autoruns.exe и направи следното: а) Избери Options -> Hide Microsoft Entries и Verify Code Signatures. б) Избери File -> Refresh или натисни F5. в) Избери File -> Save. Запази файла някъде на твърдия диск и го прикачи към темата. а) Инсталирай HijackThis и преименувай HiJackThis.exe (.exe файла, а не shortcut-a на работния плот) на нещо друго по твой избор. б) Стартирай го.в) Избери Do a system scan and save a logfile.Запази файла и копирай съдържанието му в темата. Цитирай Link to comment Сподели другаде More sharing options...
Iv_ka Публикувано Май 25, 2008 Author Report Share Публикувано Май 25, 2008 Но това е много сложно,а аз изобщо не съм наясно с тези действия. Страхувам се да го направя- какво ще стане с троянеца ако не го премахна? Ще има ли трайни повреди върху файловете.За сега компа добре работи не прави проблеми. Цитирай Link to comment Сподели другаде More sharing options...
Aquarius Публикувано Май 25, 2008 Report Share Публикувано Май 25, 2008 Но това е много сложно,а аз изобщо не съм наясно с тези действия. Щом сканирането в режим Safe Mode ти се вижда сложно, пусни само Log-файлове от Autoruns и Hijackthis (стъпките съм ги написал по-горе). Така ще може да проверим състоянието на системата. Страхувам се да го направя- какво ще стане с троянеца ако не го премахна? Ще има ли трайни повреди върху файловете.За сега компа добре работи не прави проблеми. Зависи от самата заплаха до колко ще пречи на нормалната работа на компютъра, но в никакъв случай не е добре на системата да има зловреден код. Цитирай Link to comment Сподели другаде More sharing options...
IvanD Публикувано Май 25, 2008 Report Share Публикувано Май 25, 2008 Щом тези неща ти се виждат сложни, тогава ти остава да опиташ някой он-лайн скенер, който да изчисти троянецо от машината ти, примерно цъкни . Отволи линка с Internet Explorer!!! Цитирай Link to comment Сподели другаде More sharing options...
Iv_ka Публикувано Май 28, 2008 Author Report Share Публикувано Май 28, 2008 NOD32 не може да премахне заплахата, защото файлът се използва от някои процес (има отворен манипулатор на обект например). Направи сканиране на системата в режим Safe Mode. Влизането в режим Safe Mode става с натискането на клавиша F8 веднага след POST - т.е. след като се визуализира информацията за процесора, оперативната памет, инсталираните твърди дискове и оптични устройства и тн. Ще се визуализира менюто Windows Advanced Options, в него избираш Safe Mode и натискаш Enter.След като направиш проверката, рестартирай системата в нормален режим и пусни лог-файлове от Autoruns и HiJackthis v2.0.2.Стартирай файла Autoruns.exe и направи следното: а) Избери Options -> Hide Microsoft Entries и Verify Code Signatures. б) Избери File -> Refresh или натисни F5. в) Избери File -> Save. Запази файла някъде на твърдия диск и го прикачи към темата. а) Инсталирай HijackThis и преименувай HiJackThis.exe (.exe файла, а не shortcut-a на работния плот) на нещо друго по твой избор. б) Стартирай го.в) Избери Do a system scan and save a logfile.Запази файла и копирай съдържанието му в темата.Logfile of Trend Micro HijackThis v2.0.2Scan saved at 10:14:14 AM, on 5/28/2008Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Boot mode: Normal Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\RTHDCPL.EXEC:\Program Files\Eset\nod32kui.exeC:\WINDOWS\VM305_STI.EXEC:\Program Files\Winamp\winampa.exeC:\WINDOWS\Datecs\Flex2K.exeC:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exeC:\Program Files\Eset\nod32krn.exeC:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exeC:\WINDOWS\system32\nvsvc32.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exeC:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exeC:\WINDOWS\System32\alg.exeC:\WINDOWS\system32\taskmgr.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Program Files\Trend Micro\HijackThis\0000.exeC:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bergon.net/R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet ExplorerO2 - BHO: Ofb1 - {3E1500AC-87A5-416b-A211-82E848649DA9} - (no file)O2 - BHO: (no name) - {5363C367-B2D8-4552-834A-0C35DB37DFCD} - c:\windows\system32\btpanuiv.dllO2 - BHO: (no name) - {FCF5174C-D73A-4714-A501-FBAF9F966F1B} - C:\WINDOWS\system32\dx7vbg.dll (file missing)O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [skyTel] SkyTel.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICEO4 - HKLM\..\Run: [bigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)O4 - HKLM\..\Run: [sBI] C:\Documents and Settings\My\Local Settings\Temporary Internet Files\Content.IE5\0X27Y38T\install_sbd_en[1].exeO4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exeO4 - HKCU\..\Run: [LowRateVoip] "C:\Program Files\LowRateVoip\LowRateVoip.exe" -nosplash -minimizedO4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - Global Startup: FlexType 2K.lnk = ?O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htmO8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htmO8 - Extra context menu item: Е&кспортирай в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Изследване - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecal...ivex/hcImpl.cabO16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{323A5C06-7512-4DE9-82AA-27AF59D5172A}: NameServer = 83.228.92.1,83.228.92.2O17 - HKLM\System\CS1\Services\Tcpip\..\{323A5C06-7512-4DE9-82AA-27AF59D5172A}: NameServer = 83.228.92.1,83.228.92.2O17 - HKLM\System\CS2\Services\Tcpip\..\{323A5C06-7512-4DE9-82AA-27AF59D5172A}: NameServer = 83.228.92.1,83.228.92.2O20 - Winlogon Notify: ommjetuj - C:\WINDOWS\SYSTEM32\btpanuiv.dllO23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exeO23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exeO23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exeO23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe --End of file - 5029 bytesТова ми показа след сканирането с HijackThis а компютъра забива. Незнам от Autoruns как да покажа какво ми даде защото не ми разрешава да го прикача Цитирай Link to comment Сподели другаде More sharing options...
B-boy/StyLe/ Публикувано Май 28, 2008 Report Share Публикувано Май 28, 2008 Маркирай следните неща в HijackThis и избери Fix Checked: O2 - BHO: Ofb1 - {3E1500AC-87A5-416b-A211-82E848649DA9} - (no file)O2 - BHO: (no name) - {5363C367-B2D8-4552-834A-0C35DB37DFCD} - c:\windows\system32\btpanuiv.dllO2 - BHO: (no name) - {FCF5174C-D73A-4714-A501-FBAF9F966F1B} - C:\WINDOWS\system32\dx7vbg.dll (file missing)O4 - HKLM\..\Run: [sBI] C:\Documents and Settings\My\Local Settings\Temporary Internet Files\Content.IE5\0X27Y38T\install_sbd_en[1].exe Препоръчвам проверка с : Malwarebytes' Anti-Malware 1.12, защото наличието на %Temporary Internet Files%\install_sbd_en.exe според bleepingcomputer означава присъствие на Rogue софтуер... Цитирай Link to comment Сподели другаде More sharing options...
Iv_ka Публикувано Май 28, 2008 Author Report Share Публикувано Май 28, 2008 Маркирай следните неща в HijackThis и избери Fix Checked: Препоръчвам проверка с : Malwarebytes' Anti-Malware 1.12, защото наличието на %Temporary Internet Files%\install_sbd_en.exe според bleepingcomputer означава присъствие на Rogue софтуер... Хиляди благодарности,това ли е всичко след сканирането ми показа 14 заразени файла даде че са под карантина какво да правя.Може ли отново да се активира тоя троянец? сега вече не забива компютъра .Наистина много благодаря на всички. Има ли някакви други процедури за изчистване какво е Rogue софтуер Цитирай Link to comment Сподели другаде More sharing options...
+Nod32+ Публикувано Май 28, 2008 Report Share Публикувано Май 28, 2008 Хиляди благодарности,това ли е всичко след сканирането ми показа 14 заразени файла даде че са под карантина какво да правя.Може ли отново да се активира тоя троянец? сега вече не забива компютъра .Наистина много благодаря на всички. Има ли някакви други процедури за изчистване какво е Rogue софтуерНе , няма да се активира. Има много начини , но тези са далеч по известни Rogue software е програма мошенник. Тоест казва , че върши някаква работа , а всъщност не Цитирай Link to comment Сподели другаде More sharing options...
Iv_ka Публикувано Май 29, 2008 Author Report Share Публикувано Май 29, 2008 Искам да благодаря на всички които ми дадоха съвет. Много ми помогнахте.Това което разбрах сега е че не винаги когато има вирус трябва да се преинсталира Windowsa. Много ама много благодаря Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.