Witam!
Siedze sobie przy kompie a tu nagle wyskakuje informacja ze komputer musi zostac zamkniety za 60sekund (odliczanie) i ze cos wykonal nieprawidlowa operacje. Wiem, to jakis wirus. Mialem tak juz kiedys ale bardzo dawno, wiec nie pamietam jak juz rozwiazalem ten problem… :roll:
Wklejam loga:
Logfile of HijackThis v1.99.1 Scan saved at 14:48:41, on 2006-04-14 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\update\wuauclt.exe C:\WINDOWS\System32\csrs.exe C:\WINDOWS\system32\mspaint.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Marcin\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe O4 - HKLM…\Run: [Microsoft ® Windows Update Service] C:\WINDOWS\update\wuauclt.exe O4 - HKCU…\Run: [speedX] C:\SpeedX.exe O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip…{FECD0465-8F72-4B05-832D-7607BE3AEAB6}: NameServer = 217.30.129.149 217.30.137.200 O23 - Service: RegService - Xircom - C:\XIRCOM\Update\RegService.exe O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE O23 - Service: Windows Update Service (UpdateSvc) - Unknown owner - C:\WINDOWS\update\wuauclt.exe
Pomozcie!
kuz5
14 Kwiecień 2006 12:55
#2
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw)
Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)
Pliki na czerwono usun ręcznie z dysku
Czytaj
http://www.error.xp.pl/
Bieniol
14 Kwiecień 2006 13:06
#4
Mam takie pytanko…
Skoro ten plik jest usuwany:
C:\WINDOWS\update\ wuauclt.exe , to czy tego też nie trzeba skasować?
Tak na chłopski rozum
Owszem ale tak - Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Windows Update Service
Pozdro Gutek2222
Nie mam w System32 takiego pliku “csrs.exe”, jest tylko csrss.exe…
Więc co zrobić?
musg
14 Kwiecień 2006 13:44
#6
bo jest podpiety pod >Client Server Runtime Process i laduje ci sie w autostarcie ,w ten sposob go usuniesz
Usunalem csrs.exe, jak i wuauclt.exe z autostartu.
Ale jak to (csrs.exe) usunac z dysku, jesli tego “niby” nie ma?
musg
14 Kwiecień 2006 14:03
#8
jak usunąles to jak ma byc??
VOIDS
14 Kwiecień 2006 14:05
#10
jak go nie ma to po prostu nie usuniesz! proste!
Usunalem tylko z autostartu. Kuz5 kazal usunac z dysku, ale w system32 nie ma takiego pliku jak “csrs.exe”, jest tylko “csrss.exe”.
Złączono Posta : 14.04.2006 (Pią) 16:09
Jeszcze dodam ze jak wlacze Windows Doors Cleaner, to mowi mi ze plik csrs.exe jest tam zainfekowany czy jakos tak.
Wiec ten plik jest, ale go nie widac…
Gutek
14 Kwiecień 2006 14:10
#12
Daj log z silenta, Scan EWIDO
Jak na razie, komputer chodzi normalnie i nie zamyka sie.
Nie bede skanowal Ewido, bo ten komputer ma 132 mhz i to nieco by trwalo.
Zapodam jeszcze loga Hijacka dla pewnosci.
Jak chcialem pobrac Silent Runners to pojawila sie jakas instrukcja, po angielsku, i niewiele zrozumialem.
Logfile of HijackThis v1.99.1 Scan saved at 16:41:05, on 2006-04-14 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ScsiAccess.EXE C:\SpeedX.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Marcin\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKCU…\Run: [speedX] C:\SpeedX.exe O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O17 - HKLM\System\CCS\Services\Tcpip…{FECD0465-8F72-4B05-832D-7607BE3AEAB6}: NameServer = 217.30.129.149 217.30.137.200 O23 - Service: RegService - Xircom - C:\XIRCOM\Update\RegService.exe O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE O23 - Service: Windows Update Service (UpdateSvc) - Unknown owner - C:\WINDOWS\update\wuauclt.exe (file missing)
Dziekuje wszystkim, ktorzy mi pomogli
Bieniol
14 Kwiecień 2006 14:42
#14
Start --> uruchom --> services.msc --> wyłącz usługe Windows Update Service
Nastepnie kasujesz wpis:
Poza tym czysto
Silent Runners
Ta usluga jest wylaczona. Jednak po usunieciu wpisu, znowu sie pojawia.
Zaraz dam loga z SR.
Bieniol
14 Kwiecień 2006 14:52
#16
Jeżeli usługa jest wyłączona, to zrób jeszcze to (przed kasowanie wpisu):
Otwórz hijackthis --> open misc tools section --> delete a NT service --> wpisz UpdateSvc i ok
Dopiero teraz skasuj wpis
Takie cos:
The service UpdateSvc is enabled and/or runinng. Disable it first using HijackThis itself (from the scan results) or the service.msc window.
Złączono Posta : 14.04.2006 (Pią) 17:03
“Silent Runners.vbs”, revision 44, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “SpeedX” = “C:\SpeedX.exe” [“MyPortal.pl”] “Komunikator” = “C:\Program Files\Tlen.pl\tlen.exe” [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{0006F045-0000-0000-C000-000000000046}” = “Microsoft Outlook Custom Icon Handler” -> {HKLM…CLSID} = “Rozszerzenie ikon plików programu Outlook” \InProcServer32(Default) = “C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL” [MS] “{acb4a560-3606-11d3-aef4-00104bd0f92d}” = “KodakShellExtension” -> {HKLM…CLSID} = “KodakShellExtension” \InProcServer32(Default) = “C:\Program Files\Common Files\KODAK\IFSCore\kodakshx.dll” [“Eastman Kodak Company”] “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 14 %SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ ScsiAccess, ScsiAccess, “C:\WINDOWS\System32\ScsiAccess.EXE” [null data] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer “No” at the first message box. ---------- (total run time: 581 seconds, including 9 seconds for message boxes)
