НЯКАКВА НЕ3НАЙНА ПРОГРАМА СЕ СТАРТИРА С WINDOWS-A И НE МОЖЕ ДА БъДЕ ПРЕМАХНАТА!!!! В SYSTEMSTART-A НА "MSCONFIG" ОТКРИВАМ НЯКАКъВ ФАЙЛ БЕ3 НАИМЕНОВАНИЕ, ПРОСТО ПОЛЕТATA "SYSTEMSTARTELEMENT" И "BEFEHL" (1-то и 2-то поле oт ляво на дясно) СА НАПъЛНО ПРА3НИ, А КАТО МЕСТОПОЛОЖЕНИЕ МУ Е:
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
ПРЕМАХВАМ ФАЙЛА КАТО ГО РА3МАРКИРАМ, РЕСТАРТИРАМ И... ФАЙЛА ОТНОВО Е ТАМ МАРКИРАН. НЯКОЙ ИМА ЛИ ПРЕДСТАВА КАКВО МОЖЕ ДА СЕ СТАРТИРА С УИНДОУСА, КОЕТО ТАКА УПОРИТО ДА НЕ ИСКА ДА ГО ПРЕМАХНА??? "Norton Antivirus 2004 Pro" НЕ ОТКРИВА НИЩО, F-PROT СъЩО, "AD-AWARE PRO" СъЩО...
КАКВО МОЖЕ ДА Е???????

Стига си писал с Caps-Lock моля. Никой не обича да му крещят.

Сега по въпроса - смени си антивирусната. Препоръчвам Kaspersky AntiVirus 4.5.0.94. Работи стабилно, и много често "изпреварва" дядо си Нортън по ъпдейти.

----------------------------------
помислих, хареса ми, помислих пак...

http://www.macecraft.com/ и си смъкни jv16 power tools. на мен ми върши добра работа,може и на теб да помогне.Отиваш на Registry tools, Starting programs, и там ще ти даде какви програми стартирват отначало.

Прав си 3а главните букви, и3винявам се, не съм искал да креЩя на никой
Колкото до Касперски... ами моя Нортън Антивирус е 4аст от целия пакет на Norton Internet Security 2003 Pro и не може да се премахне самостоятелно... ако инсталирам Касперски, бе3 да премахна Нортън Антивируса дали Ще полу4а конфликти?
Ина4е до момента нито NAV, нито F-Prot с последните ъпрейтове, не откриват нито вирус, нито въпросния упорито-самостартираЩ се файл...

instalirah si tazi programa... ami tq mi pokazva programite, koito se startirat s windows, no za razlika ot msconfig.exe, tq izob6to pyk ne otkriva tozi fail, pokazva mi vsi4ki bez nego...

Хаха, хванал си някаква бубица, гаранция-франция!

Сега на въпроса. Вземаш това ЕХЕ, т.е. намираш го къде се намира по директориите, архивираш го с един стандартен RAR, и го пращаш по мейла на newvirus@kaspersky.com със някакъв subject: "possible virus". Там момците ще го разбият за няколко минути, и след това просто изчакваш един ден, за да пристигне в дефинициите за следващия дневен ъпдейт.

Значи, ако просто изключиш "Antivirus Monitor" на Нортъна, няма да си пречат двете антивирусни. В противен случай може да получаваш фалшиви съобщения за зараза с вирус, което е заради наличието на антивирусните дефиниции на двете програми. Лошото в твоя случай е, че буболечката е твърде нова и неразпространена, и затова не се лови от антивирусните. В този случай отново Касперски са начело в състезанието по време.

Ако програмата е троянски кон дето някое хлапе от квартала е написало за да се гъбарка с комшиите си, то значи че програмчето самостоятелно няма да се разпространява. И единствения начин да бъде "познато" на тези антивирусни е, ние да им го пратим. Хайде направи това, и после пиши пак да знаем с какво се борим.

П.П. Забравих да спомена - не трии ЕХЕ-то и не пипай по стартиращите го ключове, понеже понякога се случва така, че да се задейства някаква разрушителна част на вируса. Нещо като бомба със закъснител. А ако "гръмне", тогава няма да имаш нищо по диска, и няма да можем да хванем бубицата.

----------------------------------
помислих, хареса ми, помислих пак...

Редактирано от Щиpлиц на 22.12.03 10:37.

Пробвай с regedit на това същото място
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
и виж дали го има там. Или от диспечера на задачите виж как точно се казва тази програма и я намери с Find къде се намира и трий ... не вярвам отново да се стартира
Може и в регистрите да пуснеш Find за същото, да ти я намери къде се е записала другаде

Това ми хареса:
"диспечер на задачите", кефи ме...

3на4и след като се ра3рових и3 регистрите открих следното:
Никъде не мога да открия къде се намира то3и самостартираЩ се файл, не 3нам .ЕXE ли е, дявол ли е... единстеното, което намирам е в
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и пиШе единствено името:
QD FastAndSafe... Типа е REG_SZ, а в полето "стойност" (полето най-вдясно) няма ниЩо написано (като кликна на промяна на бинарна стойност ми и3писва 8 нули4ки и 2 то4ки...).
В крайма сметка го и3тривам, оба4е ако сменя про3ореца и после пак върна, пак си е там-не му е нужен и рестарт... Проверих какжо о3на4ава QD FastAndSafe в Google- било 4аст от Нортъна ми, да ама ли4но проверих настройките на SystemWorks и единствено Антивируса ми е 3ададен да се стартира с уиндоус, ниЩо друго...
Търсих с jv16 PowerTools, със Find в regedit/regedt32.... ЙОК!!!
Ako някой може да помогне Ще му бъда при3нателен...

Don't worry, be happy

a с AdWare пробва ли?

и аз го мога, и тате го може, ама козата си сака пръч

С това сигурно няма да ти помогна, но има и други начини за стартиране през регистъра на програми, бях чел за един вирус как действа, та той си създава някакви други ключове, които няма начин да откриеш, освен ако не знаеш точно къде да търсиш.

В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run по принцип трябва да има и други системни програми, не може да е само една

"System tasks" в XP на български си е "диспечер на задачите", няма нищо смешно ...

..full scan s Ad-Aware Pro...... ni6to...

Da, ima i drugi programi, koito sa v HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, no mislq sa sigurni:
atiptaxx.exe (ATI Control Panel)
RunDll32 cmicnfg (mai be6e ne6to svyrzano s audio kartata...)
ccApp.exe (symantec)
CfgWiz (Symantec)
ADVCHK (Norton)
ccRegVfy (Symantec)
NetLimiter.exe
Ad-watch
QD FastAndSafe

Sys "FIND" v regedit otkrivam samo edin klu4, koito sled kato go iztriq se samovyzstanovqva... no za6to?

Сигурно защото програмата си следи регистрите след като веднъж е пусната. Пробвай да направиш същото в сейф мод.
Ако знаеш точно от къде се стартира тази програма, като че наистина е си е най-добре да я изпратиш до някоя антивирусна компания ...

Всъщонст забрави за това ... ето какво намерих в Google

Съдържаниет е скрито
Влезте за да го видите

Намери си startuplist - показва ти какво се стартиразаедно с Вин-а. Поразгледай

Съдържаниет е скрито
Влезте за да го видите

Mersi, 4e si si napravil truda da potyrsi6 v Google... razgledah saita, pi6e, 4e QD FastAndSafe e naimenovanie na QDCSFS.exe...
"Automatically runs Fast & Safe clean-up from Norton/Quarterdeck Cleansweep. Deletes safe to remove files such as Temporary Internet Files (cache). Recommended you run it manually"
Da, ama za6to togava v registrite tozi klyu4 ne vodi do vyprosnoto QDCSFS.exe, a o6te pove4e, proverih v Startup Optons na Norton i tam sym izklu4il vsqkakvi autostart-ove, s izklu4enie na AntiVirus-a... osven tova proverqvam i v Task-Managera, tam pyk izob6to ne izpisva da e startirano QDCSFS.exe... koeto me navejda na misylta: QD FastAndSafe naistina li startira Norton ili e nqkoi virus, koito se e preimenuval s tova ime... za da ne go triq, a da go ostavq da si zarazqva sistemata mi na spokoistvie... pomnq az kak predi vreme formatirah komputera, poneje 4ervei4eto Nimda mi be6e "zamenila" nqkoi programni biblioteki i rezultata be, 4e ne mojeh da polzvam Device Manager... Ta i sega se 4udq dali ne e nqkoi podoben virus... samo deto registrite ne me vodqt do nikakvo .exe, ina4e dosega da sym go pratil ve4e za "analiz" kydeto trqbva....

Е, има неща които никой не знае ...
Ами може да няма такава опция да се изключва това от Нортърна, деинсталирай го и ще видиш, аз никога не слагам пълния пакет щото не мисля, че е нужен

Инсталирах си "Security Task Manager" и "Hijack This"...
1та програма като най-опасни определя:
apitrap.dll (Symantec)
ArcoIEHelper.ocx (Adobe)
atiptaxx.exe (ATI) и т.н.
Hijack съЩо ми и3писва по3нати имена като гореспоменатите, като единственото, което не по3навам е:
HKLM\System\CCS\Services\Tcpip\......\NameServer = (някакъв номер)

Какво мислите?

няма нищо опасно в тия програми, HKLM\System... ти е ДНС сървъра, всичко е ок.

Я кажи нещо друго - как реши, че нещо се стартира и това нещо ти пречи. От това което си писал не виждам повод за протеснение...

http://sysinternals.com/

ima dosta iaki toolcheta za sledene na systemata. drypni si tova deto gleda registrite, pusni go i sloji filter na niakoi kliuch ili pyt (primerno tva do run), pusni da slusha. iztrrii kliucha, bi triabvalo da ti pokaje koi proces go e iztril. pochakai malko da vidish koi proces shte go vyrne. ako nishto ne stane, sloji go da se pusne pri restart sys syshtia filter i t.n. nai-otgore na run, i nai-dobre na local machine, shtoto pyrvo tam se puskat (moje bi ne sym gledal...). i da logva vyv file... taka shte razberesh koi proces si dobavia toia kliuch. posle moje da pusnesh programkata deto gleda koi proces koi files ili network streams accesva. mojesh da razberesh i kakvo pravi. e ima oshte mnogo metodi za analiz, ama tia sa nai-prostite.. uspeh i kaji kvo e stanalo!

naprotiw smeshno e :)
imam edin priatel s XP na bylgarski i chestno kazano winagi mi e smeshno :)

dispecher na zadachite , mnogo qsno 4e e smesno izobshto po4ti vsi4ki bg prevodi na software sa smeshni...zatova ne pozlvam nishto na bg...dva pyti po trudno mi e....,na horata koito tepyrva po4vat da polzvat PC-ta moje i da im se struva dobre...

Абе човек ти напрово ме учудваш че тои компютърит ти го е написал.направи следното:
START/RUN/REGEDIT
HKLM означава HKEY_LOCAL_MACHINE после отиди там където ти пише и изтрии съответният ключ.Тъи като REGEDIT представлява сърцето на WINDOWS преди да триеш каквото и да е направи си един .reg резервен фаил и ако объркаш нещо си го стартираи за да върнеш старото положение.

Два въпроса:
1. имаш ли старирани services? NAV не ти ли се стартира като service?
и ако това .ехе наистина е част от системните файлове на NAV, логично е да се стартира и то
можеш пак в регедит да провериш дали има стартирани services
btw има ли някакъв ключ в полето RunOnce?
и малко по надолу?
RunOnceЕх
RunServices
RunServicesOnce
2. опитвал ли си се да направиш нещо в SafeMode?
описаните ти процедури и по регистрите и изтриване на файла (и от кошчето)
а този файл стартира ли се в SafeMode?

спри NAV, пусни КАV - от друг HDD
и виж какво ще ти напише...

I woke up just to die....

Puk pri men mi se blokira dostupa do vsi4ki ikoni v control panel-a na Win98
Davajte mnenia kak da si vuzvurna access-a

и аз те обичам....

не виждам връзката....

просто любовта е толкова необяснима и въобще.... сложна работа... а ти искаш връзката....








Osogovetz

Или го изтриваш с Regcleaner или с Regedit няма значение с кое от двете и двете го виждат. После резултата е един и същ рестартираш и ...... ти се смарангясват Nortan глупостите .

" Don't hate the player man , hate the game ! "