kapec Opublikowano 25 Grudnia 2004 Zgłoś Opublikowano 25 Grudnia 2004 Więc sprawa wygląda następująco - mam dziwnego wirusa, ina żaden sposób nie umie go usunąć. Szukałem wszędzie i nic :) Jakieś 2 dni temu zauważyłem działanie blastera. Po przeskanowaniu skanerem Pandy otrzymalem takie coś ---------------------------------------------------------------- Virus:W32/Sdbot.ftp - Zdezynfekowany - C:WINDOWSsystem32a ---------------------------------------------------------------- Pousuwałem wpisy z rejestru i tym podobne czynności, ale działanie wirusa nadal da sie odczuć. Sutyacja wyglada praktycznie tak samo, z tym że żaden skaner nie wykrywa zarażonych plików. Jego działanie poznaje po - błąd LSA Export Shell, 1 minutowe odliczanie, często nie moge nic kopiowac do schowka itp. Pozatym straciłem administratora, WindowsUpdate zawiesza sie, tak samo jak konfiguracja uzytkownikow. Został skopany mój antyvir (AVG :) ) Pełno procesów svchost (wcześniej były tez typu _____r.exe, ale pokasowały sie wraz z wpisami). Spod WInadowsa nie moge ich wyłączyć - "Operacja nie może być zakończona. Odmowa dostępu". Programy typu KillBox tez tu nie działają. No to dodaje wpisy z HiJacka ---------------------------------------------------------------- Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSsystem32spoolsv.exe C:WINDOWSSystem32nvsvc32.exe C:WINDOWSSystem32svchost.exe C:WINDOWSexplorer.exe C:WINDOWSSOUNDMAN.EXE C:WINDOWSSystem32ctfmon.exe C:Program FilesProgramyGadu-Gadugg.exe C:WINDOWSSystem32msiexec.exe C:Program FilesProgramyWinampwinamp.exe C:Program FilesProgramyFlashGetflashget.exe C:Program FilesInternet Exploreriexplore.exe C:Program FilesInternet Exploreriexplore.exe C:Documents and SettingsKapećPulpithijackthisHijackThis.exe R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://wp.pl/ R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell=explorer.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesProgramyAcrobat 5.0ReaderActiveXAcroIEHelper.ocx O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:PROGRA~1PROGRAMYFLASHGETjccatch.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - d:FlashFXPIEFlash.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:PROGRA~1PROGRAMYFLASHGETfgiebar.dll O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup O4 - HKLM..Run: [nwiz] nwiz.exe /install O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit O4 - HKLM..Run: [soundMan] SOUNDMAN.EXE O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe O4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesProgramyGadu-Gadugg.exe" /tray O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background O8 - Extra context menu item: Pobierz z &BitSpirit - C:Program FilesProgramyBitSpiritbsurl.htm O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:Program FilesProgramyFlashGetjc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:Program FilesProgramyFlashGetjc_all.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:PROGRA~1PROGRAMYFLASHGETflashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:PROGRA~1PROGRAMYFLASHGETflashget.exe O16 - DPF: komentator - http://sport.onet.pl/komentator.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1095690535007 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} - http://skaner.mks.com.pl/SkanerOnline.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_21.cab O17 - HKLMSystemCCSServicesTcpip..{88E1FB8A-F8BD-4648-90EF-86575012FD4B}: NameServer = 194.204.152.34,194.204.159.1 O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:PROGRA~1ProgramyAVG7avgamsvr.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe -------------------------------------------------------------- Wiec prosze o pomoc w jego usunięciu :) P.S. Nie wiem czy dobry dział , bo zadnego konkretnego znaleść nie umiałem :) Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ULLISSES Opublikowano 25 Grudnia 2004 Zgłoś Opublikowano 25 Grudnia 2004 1. odetnij sie od sieci 2. format c: 3. instalka XP 4. instalka SP2 5. instalka SunJava 1.4 6. instalka Mozilla Firefox i nigdy wiecej nie wlaczanie IE... Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
