Въпрос за съобщение от NOD32

ozic · Юли 9, 2008

Когато включа компютъра ми се появява следното съобщение от НОД-а:

Освен това иконката на НОД-а стана оранжева, а преди беше зелена.

Tragedy · Юли 9, 2008

Като чукнеш върху това балонче, какво ти показва?

ozic · Юли 9, 2008

Излиза ми това:

VIS · Юли 9, 2008

След 8 дни лиценза на кода, който ползваш ще изтече и няма да може да се ъпдейтва антивирусната.

ozic · Юли 9, 2008

С тоя НОД съм от доста време и досега проблеми не съм имал. За кода знам, че е временен, но защо се смени цвета на иконата?

П.П. Проблемът е решен. Сложих друг код и автоматично иконката си върна зеленият цвят и съобщението изчезна.

VIS · Юли 9, 2008

Ами то НОД-а няма нищо общо. Просто кода изтича след 8 дни и те предупреждава, че скоро изтича. Друг път може да не те е предупреждавал, защото са ги блокирали разработчиците преди да изтекат. Така си го обяснявам аз

П.П. то е явно че ако сложиш друг код, който е активен повече от 8 дни, ще изчезне Не знаех че това питаш, щях да ти го кажа по-рано.

CNews · Юли 12, 2008

Ами то НОД-а няма нищо общо. Просто кода изтича след 8 дни и те предупреждава, че скоро изтича. Друг път може да не те е предупреждавал, защото са ги блокирали разработчиците преди да изтекат. Така си го обяснявам аз
П.П. то е явно че ако сложиш друг код, който е активен повече от 8 дни, ще изчезне Не знаех че това питаш, щях да ти го кажа по-рано.

Легенда на окото в трея(иконката в трея на NOD32 v3):

Зелено-Всичко е нормално

Жълто-Проблем,който може да бъде решен

Червено-Проблем,който може да серши трудно,изткъл е е лиценза или пък .също така и за вирус който не може да се изчисти.

nikolaijelev · Юли 13, 2008

Имам един такъв въпрос:

Трябва ли да има папка "drive" в C:\WINDOWS\system32\drive и какво би трябвало да съдържа тя?

В моята има 30-тина рег файла регистриращи и стартиращи с Windows процеса calling.com и някакви mirc файлове.

В папка Windows също имаше няколо изпълними файла които изтрих.

Това ли е зомбирането на компютри?

Предисторията:

Троянци (Backdoor.Win32.IRCBot.dsh, Trojan-DDoS.Win32.Agent.bv, Trojan-Downloader.Win32.Agent.pdl).

След стартиране се появява процес calling.com ,който блокира компютъра след известно време.

Night_Raven · Юли 13, 2008

По принцип папка "drive" по подразбиране няма в WINDOWS\system32. Това не означава, че тя задължително трябва да е вредна, защото е възможно да е съвсем редовна. И все пак в повечето случаи е най-малкото съмнително. Можеш да дадеш по един LOG на HijackThis и Autoruns:

Изтегли HijackThis 1.99.1 (213KB), която съм преименувал нарочно, стартирай я и кликни Do a system scan and save a logfile. Това ще създаде текстов файл в същата папка. Копирай съдържанието му тук или прикачи файла към темата, както ти е по-удобно.

Изтегли Autoruns, след това стартирай програмата и направи следното:

1) избери Options -> Hide Microsoft Entries;

2) кликни File -> Refresh;

3) кликни File -> Export...;

4) запази файла някъде и след това го прикачи към темата или му копирай съдържанието.

Можеш и да сканираш с някоя от двете (че и с двете) антиспай програми (най-добрите към настоящия момент): SUPERAntiSpyware Free и Malwarebytes' Anti-Malware.

Ако избереш да сканираш първо с програмите, дай LOG-овете СЛЕД сканирането и евентуалното почистване.

nikolaijelev · Юли 13, 2008

Процеса е вече спомен , но останаха папки и файлове(вероятно и записи в регистъра).

Nod32 и Касперски разпознаха процеса и задните врати....колкото и да не ги харесвам.

Чистих с Dr Web...

Бях чел в този сайт как с подобни червеи(троянци) скапват мрежите в щатите.

Историята я разказваше админа на мрежата(сайт за сигурност) който е паднал от такава атака.

За месец-два влиза в час , проследява и научава паролите на виновниците и ги принуждава да оставят сайта му.

Та се размечтах и аз...

Лога преди почистването(не открива нищо опасно):

Logfile of HijackThis v1.99.1
Scan saved at 09:55:57, on 12.7.2008 г.
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ECEH\Desktop\alabala.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://speedtest.net/"]http://speedtest.net/[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url="http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [msennger] C:\WINDOWS\system32\drive\calling.com
O4 - HKLM\..\Run: [WinReg] C:\WINDOWS\system32\drive\calling.com
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [hohohhaha] C:\WINDOWS\system32\drive\calling.com
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [iNTERNATIONAL] International*
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url="http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab"]http://fpdownload2.macromedia.com/get/flas...ent/swflash.cab[/url]
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avp - Unknown owner - C:\Documents and Settings\ECEH\Desktop\New Folder\avp.exe" -r (file missing)

Aquarius · Юли 13, 2008

Процеса е вече спомен , но останаха папки и файлове(вероятно и записи в регистъра).
Nod32 и Касперски разпознаха процеса и задните врати....колкото и да не ги харесвам.
Чистих с Dr Web...
Бях чел в този сайт как с подобни червеи(троянци) скапват мрежите в щатите.
Историята я разказваше админа на мрежата(сайт за сигурност) който е паднал от такава атака.
За месец-два влиза в час , проследява и научава паролите на виновниците и ги принуждава да оставят сайта му.
Та се размечтах и аз...
Лога преди почистването(не открива нищо опасно).

Този Log-файл от Hijackthis е преди или след сканирането и премахването на заплахите с Malwarebytes' Anti-Malware и SUPERAntiSpyware Free?

Питам, защото от Log-файла на HijackThis се виждат записи в регистъра за автоматично стартиране на calling.com, но в същото време процесът не се изпълнява.

В HijackThis може да премахнеш следните обекти (последните от тях не за зловредни, но са ненужни, защото файловете, с които са асоциирани липсват):

O4 - HKLM\..\Run: [msennger] C:\WINDOWS\system32\drive\calling.com
O4 - HKLM\..\Run: [WinReg] C:\WINDOWS\system32\drive\calling.com
O4 - HKCU\..\Run: [hohohhaha] C:\WINDOWS\system32\drive\calling.com
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: avp - Unknown owner - C:\Documents and Settings\ECEH\Desktop\New Folder\avp.exe" -r (file missing)

Поставяш отметки пред тях и кликваш на бутона Fix Checked. Необходим е рестарт на системата. След това може да пуснеш нов Log-файл.

Night_Raven · Юли 13, 2008

Услугата няма да се махне така. Трябва ръчно да се провери дали е спряна и забранена и после да се изтрие чрез Delete an NT service... функцията на HijackThis.

nikolaijelev · Юли 13, 2008

Както съм писал в предния си пост лога е преди да предприема каквото и да е.

Процеса calling.com , след известно време заема толкова много ресурси , че компютъра замръзва и се принудих да го спра.

След като изтрих изпълнимите файлове в папка Windows процеса спря да се стартира.

Ще преинсталирам ...

http://img370.imageshack.us/img370/1084/newbitmapimagena2.th.gif

Night_Raven · Юли 13, 2008

Най-добре изтрий папката и поправи обектите в HijackThis. Не е нужно да прибягваш веднага до преинсталация. Е, ако държиш, преинсталирай.

nikolaijelev · Юли 14, 2008

Появиха се два нови процеса - dllhost.exe и msdtc.exe.

Няма да чакам още изненади.

Въпрос за съобщение от NOD32

Препоръчан пост

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Link to comment

Сподели другаде

Join the conversation