antk15.dll , hdf15.dll i hdp15.dll
Witam mam problem odnośnie tych trojanów co w napisałem w temacie. róźne antyviry róźnie je nazywają. Problem jest taki iź niemoge ich usunąc. Próbowałem avastem i mksvirem online i nie dały one rady. W trybie awaryjnym moźna je usunąć ale po ponownym uruchomieniu znów sie pojawiają:/ Patrzyłem na autostart w rejestrze i nic niewykryłem. Próbowałem coś poszukać w necie ale nieznalazłem nic dobrego. Plz help
Odpowiedzi: 13
d347bus.sys to chyba Daemon Tools Applicationsieszek:
wyświetla sie komunikat o ładowaniu pliku d347bus.sys
Natomiast jesli chodzi o brak netu, albo przeinstaluj siec, albo sciagnij i uruchom ten programik.
Dzięki chłopaki udało mi się go usunąć. Macie u mnie pifo. Ale teraz poswały inne problemy. 1) niemam neta(dsl, ikonka jest ale jak włanczam firefoxa , outloka albo gg to niedziała:/) 2) Moźe głupi problem ale niemoge usunąć Nortona. Pierwszy problem jest waźniejszy, niewiem czemu tak jest, po zniknięciu tych bibliotek nagle zniknął mi internet. Chyba jednak ten fomat zrobie.
PS.
Podczas uruchamiania trybu awaryjnego podczas ładowania wyświetla sie komunikat o ładowaniu pliku d347bus.sys moźna nacisnąć esc by anulować. Wcześniej tego niebyło.
PS.
Podczas uruchamiania trybu awaryjnego podczas ładowania wyświetla sie komunikat o ładowaniu pliku d347bus.sys moźna nacisnąć esc by anulować. Wcześniej tego niebyło.
Jeźeli wiesz, jaka jest lokalizacja tych plików, to wejdź w konsolę odzyskiwania i usuń. Potem reset i odłącz internet(źeby się same nie pobierały), i sprawdź, czy szkodniki jeszcze są. Uruchom antywirusa. Jak juź będziesz pewien, źe usunęłeś to moźesz spokojnie podłączyć internet.
Często jest tak, źe są 2 takie same robaki pod inną nazwą, i kaźdy z nich sprawdza, czy kolega został usunięty. Jeśli usuniesz, to inny moźe spowrotem go stworzyć, dlatego trzeba działać w trybie awaryjnym lub nawet w konsoli odzyskiwania.
Powodzenia!
Często jest tak, źe są 2 takie same robaki pod inną nazwą, i kaźdy z nich sprawdza, czy kolega został usunięty. Jeśli usuniesz, to inny moźe spowrotem go stworzyć, dlatego trzeba działać w trybie awaryjnym lub nawet w konsoli odzyskiwania.
Powodzenia!
Podsumujmy...
Usuwasz te pliki czy teź ?
W ogóle sa na dysku ? Moźe są jakieś ich kopie ?
Probówałeś im zmieniać rozszerzenie na *.old ?
Przeleć system tym skanerem, ale w trybie awaryjnym, przeskanuj cały dysk, usuń odwołania do tych plików w rejestrze.
Wymień z nazwy toto ustrojstwo które znajduje AV w plikach.
Obrazka niestety nie widać, przepisz treść błędu.
Usuwasz te pliki czy teź ?
W ogóle sa na dysku ? Moźe są jakieś ich kopie ?
Probówałeś im zmieniać rozszerzenie na *.old ?
Przeleć system tym skanerem, ale w trybie awaryjnym, przeskanuj cały dysk, usuń odwołania do tych plików w rejestrze.
Wymień z nazwy toto ustrojstwo które znajduje AV w plikach.
Obrazka niestety nie widać, przepisz treść błędu.
Nie wiem juź co mam robić nic nie pomaga, zainstalowałem sobie Nortona, zaktualizowałem go a on nic nie wykrył , do tego zamulił mi kompa i niemoge go usunąć:/ Chyba format bede musiał robić znów. Macie jeszcze jakieś pomysły?
iMesha wywaliłem, pliku update niema zadnego w c:/windows, a jak próbowałem wyrejestrować te biblioteki to wywala mi błąd taki jak na obrazku. Zaraz pozbęde sie IE i maxthona zainstaluje Firefoxa. Pozatym spróbuje zamienić ten userunit. BTW zawsze go wywalam z autostaru ale on powraca (.../Run i Polices/run)
Uruchom system w awaryjnym i usun:
Silent pokazał to co w zasadzie mial pokazać:
Pierwszy wpis pokazuje to czego w HJT nie widac, plik startuje z miejsca niewidocznego w Hijacku, w ktorym cześto lokuje się ustrojstwo.
W bezpieczenstwie masz FAQ a w nim link do tematu w którym ta operacja jest opisana.
Zaglądnij tam
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=4964
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=4964
Na dysku w C:\Windows powinien byc plik *.JS o nazwie update13.js lub podobnie tyle ze z innymi cyferkami, usun go
O2 – BHO: DownloadRedirect Class – {00000000–6CB0–410C–8C3D–8FA8D2011D0A} – C:\Program Files\iMesh\iMesh5\iMeshBHO.dll
Program wylatuje, odinstaluj z Dodaj/Usuń
O4 – HKLM\..\Run: [ ] C:\WINDOWS\system32\userinit.exe
Ten wpis mi smierdzi, co prawda plik prawidowy w prawidłowej lokalizacji, ale userinit w ten sposób nie postepuje.
Proponowałbym w konsoli odzyskiwania przy okazji zastępić go nowym wyodrębnionym z płyty poleceniem expand
O16 – DPF: {14A3221B–1678–1982–A355–7263B1281987} – ms–its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe
Silent pokazał to co w zasadzie mial pokazać:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
" " = "C:\WINDOWS\system32\userinit.exe" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
" " = "C:\WINDOWS\system32\userinit.exe" [null data]
Pierwszy wpis pokazuje to czego w HJT nie widac, plik startuje z miejsca niewidocznego w Hijacku, w ktorym cześto lokuje się ustrojstwo.
Jak wyrejestrować te biblioteki
W bezpieczenstwie masz FAQ a w nim link do tematu w którym ta operacja jest opisana.
Zaglądnij tam
LOG Z HIJACK
LOG Z SILENT RUNNERS
Narazie daje tylko logi, a zaraz zrobie reszte.I mam jesszcze pytanie. Jak wyrejestrować te biblioteki
Logfile of HijackThis v1.99.1
Scan saved at 15:58:51, on 2005–07–05
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\zone\ZoneAlarm\zlclient.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Documents and Settings\Konrad\Pulpit\hijackthis\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://searchcentral.cc/search.php?v=4&aff=4964
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://searchcentral.cc/index.php?v=4&aff=4964
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.losux.prv.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: DownloadRedirect Class – {00000000–6CB0–410C–8C3D–8FA8D2011D0A} –
C:\Program Files\iMesh\iMesh5\iMeshBHO.dll
O2 – BHO: Yahoo! Companion BHO – {02478D38–C3F9–4efb–9B51–7695ECA05670} –
C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} –
C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} –
C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: Yahoo! Companion – {EF99BD32–C1FB–11D2–892F–0090271D4F88} –
C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKLM\..\Run: [ ] C:\WINDOWS\system32\userinit.exe
O16 – DPF: {14A3221B–1678–1982–A355–7263B1281987} –
ms–its:mhtml:file://C:\foo.mht!http://82.179.170.82/e9xr2.chm::/file.exe
O16 – DPF: {288C5F13–7E52–4ADA–A32E–F5BF9D125F99} (CR64Loader Object) –
http://www.miniclip.com/puzzlepirates/miniclipGameLoader.dll
O16 – DPF: {2BC66F54–93A8–11D3–BEB6–00105AA9B6AE} (Symantec AntiVirus scanner) –
http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 – DPF: {31B7EB4E–8B4B–11D1–A789–00A0CC6651A8} (Cult3D ActiveX Player) –
http://www.cult3d.com/download/cult.cab
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) –
http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.
cab?1119871667859
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class)
– http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) –
http://skaner.mks.com.pl/SkanerOnline.cab
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner –
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: Ati HotKey Poller – ATI Technologies Inc. –
C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)
O23 – Service: TrueVector Internet Monitor (vsmon) – Zone Labs Inc. –
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
LOG Z SILENT RUNNERS
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"
Startup items buried in registry:
–––––––––––––––––––––––––––––––––
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++}
" " = "C:\WINDOWS\system32\userinit.exe" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
" " = "C:\WINDOWS\system32\userinit.exe" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{00000000–6CB0–410C–8C3D–8FA8D2011D0A}\(Default) = "DownloadRedirect Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\iMesh\iMesh5\iMeshBHO.dll" ["iMesh Ltd"]
{02478D38–C3F9–4efb–9B51–7695ECA05670}\(Default) = "Yahoo! Companion BHO" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll" ["Yahoo! Inc."]
{06849E9F–C8D7–4D59–B87D–784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714–76d4–11d1–8b24–00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
–> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560–9AA2–1069–930E–00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{640167b4–59b0–47a6–b335–a6b3c0695aea}" = "Portable Media Devices"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a–b60a–48e6–996b–41d25ed39a1e}" = "Portable Media Devices Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{B41DB860–8EE4–11D2–9906–E49FADC173CA}" = "WinRAR shell extension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{F0CB00CD–5A07–4D91–97F5–A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{ED65AB21–B24F–11d3–BA80–00C0CA16AA37}" = "Mobile"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Siemens AG\Data Exchange Software\DESShellExt.dll" ["Siemens AG"]
"{ED65AB22–B24F–11d3–BA80–00C0CA16AA37}" = "Mobile ContextMenuHandler"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Siemens AG\Data Exchange Software\DESShellExt.dll" ["Siemens AG"]
"{ED65AB23–B24F–11d3–BA80–00C0CA16AA37}" = "Mobile PropertySheetHandler"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Siemens AG\Data Exchange Software\DESShellExt.dll" ["Siemens AG"]
"{472083B0–C522–11CF–8763–00608CC02F24}" = "avast"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0–C522–11CF–8763–00608CC02F24}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0–C522–11CF–8763–00608CC02F24}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
Active Desktop and Wallpaper:
–––––––––––––––––––––––––––––
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Konrad\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"
Winsock2 Service Provider DLLs:
–––––––––––––––––––––––––––––––
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 – 03, 06 – 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 – 05
Toolbars, Explorer Bars, Extensions:
––––––––––––––––––––––––––––––––––––
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32–C1FB–11D2–892F–0090271D4F88}" = "Yahoo! Companion" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll" ["Yahoo! Inc."]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32–C1FB–11D2–892F–0090271D4F88}" = "Yahoo! Companion" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll" ["Yahoo! Inc."]
Running Services (Display Name, Service Name, Path {Service DLL}):
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
avast! Antivirus, avast! Antivirus, ""C:\Program Files\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe –service" ["Zone Labs Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
––––––––––
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the –all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 101 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 13 seconds.
–––––––––– (total run time: 142 seconds)
Narazie daje tylko logi, a zaraz zrobie reszte.I mam jesszcze pytanie. Jak wyrejestrować te biblioteki
Podzielam zdanie Bobiego.Próbowałeś wyrejestrować te biblioteki ?
Próbowałeś je usuwać z konsoli odzyskiwania bądź programem typu Killbox po ponownym uruchomieniu systemu ?
Zrób to w kolejności:
1. Wyłącz przywracanie na wszystkich dyskach
2. Przeskanuj antyvirem (najlepiej kilkoma)
Jeśli nie pomoźe to 3. Spróbuj wywalic killboxem
Jeśli nie to 4. Spróbuj wyrejestrować biblioteki i przeładuj kompa
5. Włącz przywracanie
Jeśli to nie pomoźe daj przynajmniej log Hijack This'a.
Próbowałeś wyrejestrować te biblioteki ?
Próbowałeś je usuwać z konsoli odzyskiwania bądź programem typu Killbox po ponownym uruchomieniu systemu ?
Poprosiłbym jeszcze o dwa logu: HiJackThis i Silent Runners.
Wszystie informacje o nich masz w FAQ w dziale Bezpieczenstwo.
Próbowałeś je usuwać z konsoli odzyskiwania bądź programem typu Killbox po ponownym uruchomieniu systemu ?
Poprosiłbym jeszcze o dwa logu: HiJackThis i Silent Runners.
Wszystie informacje o nich masz w FAQ w dziale Bezpieczenstwo.
W ms configu mam wszystko wyłączone oprócz zone i avasta, wcześniej skanowałem mks`em ale nie w trybie awaryjnym, wykrywał wiry i je niby usuwał ale one i tak sie pojaiwały. Teraz wyłączyłem przywracanie systemu i zaraz przeskanuje dysk w trybie awaryjnym jak mówicie. Zobaczymy czy pomoźe.
Niestety on tam dalej jest. Skanowałem w trybie awarynym, mks go wykrywa aleniemoźe usunać. Jak chciałem go usunąć ręcznie to napisał źe plik jest w uźyciu. W autostarcie nie mam go, w procesach teź niewidze.
Niestety on tam dalej jest. Skanowałem w trybie awarynym, mks go wykrywa aleniemoźe usunać. Jak chciałem go usunąć ręcznie to napisał źe plik jest w uźyciu. W autostarcie nie mam go, w procesach teź niewidze.
Włącz tryb awaryjny i wejdz w http://skaner.mks.com.pl
To powinno pomóc, dlatego, źe ten skaner ma cały czas aktualną bazę wirusów. Sam miałem to samo.
Musisz takźe uruchomić "msconfig" i odznaczyć to co podejrzane (oczywiście w trybie awaryjnym). Być moźe masz włączony Active Desktop, jakąś niewidoczną stronę na pulpicie i przez IE wiry snów się pobierają.
To powinno pomóc, dlatego, źe ten skaner ma cały czas aktualną bazę wirusów. Sam miałem to samo.
Musisz takźe uruchomić "msconfig" i odznaczyć to co podejrzane (oczywiście w trybie awaryjnym). Być moźe masz włączony Active Desktop, jakąś niewidoczną stronę na pulpicie i przez IE wiry snów się pobierają.
Skoro wracają to pewnie masz "przywracanie systemu" włączone – zakładam, źe dysk przeszukałeś. Wyłącz tę opcję – oczyść i dopiero po tym włącz ją ponownie.
Strona 1 / 1