ozic Публикувано Юли 9, 2008 Report Share Публикувано Юли 9, 2008 Когато включа компютъра ми се появява следното съобщение от НОД-а: Освен това иконката на НОД-а стана оранжева, а преди беше зелена. Цитирай Link to comment Сподели другаде More sharing options...
Tragedy Публикувано Юли 9, 2008 Report Share Публикувано Юли 9, 2008 Като чукнеш върху това балонче, какво ти показва? Цитирай Link to comment Сподели другаде More sharing options...
ozic Публикувано Юли 9, 2008 Author Report Share Публикувано Юли 9, 2008 Излиза ми това: Цитирай Link to comment Сподели другаде More sharing options...
VIS Публикувано Юли 9, 2008 Report Share Публикувано Юли 9, 2008 След 8 дни лиценза на кода, който ползваш ще изтече и няма да може да се ъпдейтва антивирусната. Цитирай Link to comment Сподели другаде More sharing options...
ozic Публикувано Юли 9, 2008 Author Report Share Публикувано Юли 9, 2008 С тоя НОД съм от доста време и досега проблеми не съм имал. За кода знам, че е временен, но защо се смени цвета на иконата? П.П. Проблемът е решен. Сложих друг код и автоматично иконката си върна зеленият цвят и съобщението изчезна. Цитирай Link to comment Сподели другаде More sharing options...
VIS Публикувано Юли 9, 2008 Report Share Публикувано Юли 9, 2008 Ами то НОД-а няма нищо общо. Просто кода изтича след 8 дни и те предупреждава, че скоро изтича. Друг път може да не те е предупреждавал, защото са ги блокирали разработчиците преди да изтекат. Така си го обяснявам аз П.П. то е явно че ако сложиш друг код, който е активен повече от 8 дни, ще изчезне Не знаех че това питаш, щях да ти го кажа по-рано. Цитирай Link to comment Сподели другаде More sharing options...
CNews Публикувано Юли 12, 2008 Report Share Публикувано Юли 12, 2008 Ами то НОД-а няма нищо общо. Просто кода изтича след 8 дни и те предупреждава, че скоро изтича. Друг път може да не те е предупреждавал, защото са ги блокирали разработчиците преди да изтекат. Така си го обяснявам аз П.П. то е явно че ако сложиш друг код, който е активен повече от 8 дни, ще изчезне Не знаех че това питаш, щях да ти го кажа по-рано.Легенда на окото в трея(иконката в трея на NOD32 v3):Зелено-Всичко е нормалноЖълто-Проблем,който може да бъде решенЧервено-Проблем,който може да серши трудно,изткъл е е лиценза или пък .също така и за вирус който не може да се изчисти. Цитирай Link to comment Сподели другаде More sharing options...
nikolaijelev Публикувано Юли 13, 2008 Report Share Публикувано Юли 13, 2008 Имам един такъв въпрос:Трябва ли да има папка "drive" в C:\WINDOWS\system32\drive и какво би трябвало да съдържа тя?В моята има 30-тина рег файла регистриращи и стартиращи с Windows процеса calling.com и някакви mirc файлове.В папка Windows също имаше няколо изпълними файла които изтрих. Това ли е зомбирането на компютри?Предисторията: Троянци (Backdoor.Win32.IRCBot.dsh, Trojan-DDoS.Win32.Agent.bv, Trojan-Downloader.Win32.Agent.pdl).След стартиране се появява процес calling.com ,който блокира компютъра след известно време. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Юли 13, 2008 Report Share Публикувано Юли 13, 2008 По принцип папка "drive" по подразбиране няма в WINDOWS\system32. Това не означава, че тя задължително трябва да е вредна, защото е възможно да е съвсем редовна. И все пак в повечето случаи е най-малкото съмнително. Можеш да дадеш по един LOG на HijackThis и Autoruns:Изтегли HijackThis 1.99.1 (213KB), която съм преименувал нарочно, стартирай я и кликни Do a system scan and save a logfile. Това ще създаде текстов файл в същата папка. Копирай съдържанието му тук или прикачи файла към темата, както ти е по-удобно.Изтегли Autoruns, след това стартирай програмата и направи следното:1) избери Options -> Hide Microsoft Entries;2) кликни File -> Refresh;3) кликни File -> Export...;4) запази файла някъде и след това го прикачи към темата или му копирай съдържанието. Можеш и да сканираш с някоя от двете (че и с двете) антиспай програми (най-добрите към настоящия момент): SUPERAntiSpyware Free и Malwarebytes' Anti-Malware.Ако избереш да сканираш първо с програмите, дай LOG-овете СЛЕД сканирането и евентуалното почистване. Цитирай Link to comment Сподели другаде More sharing options...
nikolaijelev Публикувано Юли 13, 2008 Report Share Публикувано Юли 13, 2008 Процеса е вече спомен , но останаха папки и файлове(вероятно и записи в регистъра).Nod32 и Касперски разпознаха процеса и задните врати....колкото и да не ги харесвам.Чистих с Dr Web...Бях чел в този сайт как с подобни червеи(троянци) скапват мрежите в щатите.Историята я разказваше админа на мрежата(сайт за сигурност) който е паднал от такава атака. За месец-два влиза в час , проследява и научава паролите на виновниците и ги принуждава да оставят сайта му.Та се размечтах и аз...Лога преди почистването(не открива нищо опасно): Logfile of HijackThis v1.99.1 Scan saved at 09:55:57, on 12.7.2008 г. Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.17184) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\ECEH\Desktop\alabala.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://speedtest.net/"]http://speedtest.net/[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url="http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft.com/fwlink/?LinkId=69157[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url="http://go.microsoft.com/fwlink/?LinkId=54896"]http://go.microsoft.com/fwlink/?LinkId=54896[/url] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://go.microsoft.com/fwlink/?LinkId=69157"]http://go.microsoft.com/fwlink/?LinkId=69157[/url] O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O4 - HKLM\..\Run: [msennger] C:\WINDOWS\system32\drive\calling.com O4 - HKLM\..\Run: [WinReg] C:\WINDOWS\system32\drive\calling.com O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [hohohhaha] C:\WINDOWS\system32\drive\calling.com O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [iNTERNATIONAL] International* O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url="http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab"]http://fpdownload2.macromedia.com/get/flas...ent/swflash.cab[/url] O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: avp - Unknown owner - C:\Documents and Settings\ECEH\Desktop\New Folder\avp.exe" -r (file missing) Цитирай Link to comment Сподели другаде More sharing options...
Aquarius Публикувано Юли 13, 2008 Report Share Публикувано Юли 13, 2008 Процеса е вече спомен , но останаха папки и файлове(вероятно и записи в регистъра).Nod32 и Касперски разпознаха процеса и задните врати....колкото и да не ги харесвам.Чистих с Dr Web...Бях чел в този сайт как с подобни червеи(троянци) скапват мрежите в щатите.Историята я разказваше админа на мрежата(сайт за сигурност) който е паднал от такава атака. За месец-два влиза в час , проследява и научава паролите на виновниците и ги принуждава да оставят сайта му.Та се размечтах и аз...Лога преди почистването(не открива нищо опасно). Този Log-файл от Hijackthis е преди или след сканирането и премахването на заплахите с Malwarebytes' Anti-Malware и SUPERAntiSpyware Free?Питам, защото от Log-файла на HijackThis се виждат записи в регистъра за автоматично стартиране на calling.com, но в същото време процесът не се изпълнява. В HijackThis може да премахнеш следните обекти (последните от тях не за зловредни, но са ненужни, защото файловете, с които са асоциирани липсват): O4 - HKLM\..\Run: [msennger] C:\WINDOWS\system32\drive\calling.comO4 - HKLM\..\Run: [WinReg] C:\WINDOWS\system32\drive\calling.comO4 - HKCU\..\Run: [hohohhaha] C:\WINDOWS\system32\drive\calling.comO20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)O23 - Service: avp - Unknown owner - C:\Documents and Settings\ECEH\Desktop\New Folder\avp.exe" -r (file missing) Поставяш отметки пред тях и кликваш на бутона Fix Checked. Необходим е рестарт на системата. След това може да пуснеш нов Log-файл. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Юли 13, 2008 Report Share Публикувано Юли 13, 2008 Услугата няма да се махне така. Трябва ръчно да се провери дали е спряна и забранена и после да се изтрие чрез Delete an NT service... функцията на HijackThis. Цитирай Link to comment Сподели другаде More sharing options...
nikolaijelev Публикувано Юли 13, 2008 Report Share Публикувано Юли 13, 2008 Както съм писал в предния си пост лога е преди да предприема каквото и да е.Процеса calling.com , след известно време заема толкова много ресурси , че компютъра замръзва и се принудих да го спра.След като изтрих изпълнимите файлове в папка Windows процеса спря да се стартира.Ще преинсталирам ...http://img370.imageshack.us/img370/1084/newbitmapimagena2.th.gif Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Юли 13, 2008 Report Share Публикувано Юли 13, 2008 Най-добре изтрий папката и поправи обектите в HijackThis. Не е нужно да прибягваш веднага до преинсталация. Е, ако държиш, преинсталирай. Цитирай Link to comment Сподели другаде More sharing options...
nikolaijelev Публикувано Юли 14, 2008 Report Share Публикувано Юли 14, 2008 Появиха се два нови процеса - dllhost.exe и msdtc.exe.Няма да чакам още изненади. Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.