Gdzie ten wirus?!
juz mnie to wkurza!ciagle mam wirusa!mimo formatu!Kiedy instaluje windowsa xp professional i sterowniki do modemu sagem 800 fast,i polacze sie z netem mam od razu "LSA SHell error..." i 60 sek.!za kazdym instalem i uruchomieniem netu!antivirus wykrywa mi w32.Rbota(nie jakies sassery czy cos)jakos porzadek z tym zrobilem ,ale moze ktos mi wytlumaczy dlaczego sie tak dzieje?no normalnie za kazda instalacja i pierwszym polaczeniem z netem.probowalem juz roznych plyt windowsow xp nawet!wszedzie to samo–pierwsze polaczenie moja neostrada i od razu po paru sekundach"LSA Shell..." i restard za 60 sek.Atualizacji tez sie wtedy przeprowadzic nie da!masakra!
Moj log po wywaleniu tego wirusa(chyba wywalilem,sprawzcie):
Logfile of HijackThis v1.97.7
Scan saved at 09:08:48, on 2004–11–25
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
E:WINDOWSSystem32smss.exe
E:WINDOWSsystem32winlogon.exe
E:WINDOWSsystem32services.exe
E:WINDOWSsystem32lsass.exe
E:WINDOWSsystem32svchost.exe
E:WINDOWSSystem32svchost.exe
E:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
E:WINDOWSExplorer.EXE
E:WINDOWSsystem32spoolsv.exe
E:Program FilesCommon FilesSymantec SharedccApp.exe
D:STUFFNORTONNORTON~2GHOSTS~2.EXE
D:STUFFNORTONNorton GhostGhostStartTrayApp.exe
E:WINDOWSSystem32ctfmon.exe
D:STUFFNORTONNorton UtilitiesNPROTECT.EXE
E:Program FilesSAGEMSAGEM F@st 800–840dslmon.exe
D:STUFFNORTONSPEEDD~1 opdb.exe
D:STUFFNORTONNorton AntiVirus avapsvc.exe
D:STUFFNORTONProcess ViewerPrcView.exe
E:WINDOWSSystem32wuauclt.exe
D:STUFFTlen.pl len.exe
E:Program FilesInternet Exploreriexplore.exe
D:HijackThis.exe
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R1 – HKCUSoftwareMicrosoftInternet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – D:STUFFNORTONNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – E:WINDOWSSystem32msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – D:STUFFNORTONNorton AntiVirusNavShExt.dll
O4 – HKLM..Run: [ccApp] "E:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [ccRegVfy] "E:Program FilesCommon FilesSymantec SharedccRegVfy.exe"
O4 – HKLM..Run: [GhostStartTrayApp] D:STUFFNORTONNorton GhostGhostStartTrayApp.exe
O4 – HKCU..Run: [CTFMON.EXE] E:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [MSMSGS] "E:Program FilesMessengermsmsgs.exe" /background
O4 – Global Startup: DSLMON.lnk = E:Program FilesSAGEMSAGEM F@st 800–840dslmon.exe
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101340478510
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
O17 – HKLMSystemCCSServicesTcpip..{8F153F55–9255–4EB1–968B–A2E6A2BDFA61}: NameServer = 194.204.152.34 217.98.63.164
PS.czy przywracanie systemu miec włączone czy wyłączone???
Moj log po wywaleniu tego wirusa(chyba wywalilem,sprawzcie):
Logfile of HijackThis v1.97.7
Scan saved at 09:08:48, on 2004–11–25
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
E:WINDOWSSystem32smss.exe
E:WINDOWSsystem32winlogon.exe
E:WINDOWSsystem32services.exe
E:WINDOWSsystem32lsass.exe
E:WINDOWSsystem32svchost.exe
E:WINDOWSSystem32svchost.exe
E:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
E:WINDOWSExplorer.EXE
E:WINDOWSsystem32spoolsv.exe
E:Program FilesCommon FilesSymantec SharedccApp.exe
D:STUFFNORTONNORTON~2GHOSTS~2.EXE
D:STUFFNORTONNorton GhostGhostStartTrayApp.exe
E:WINDOWSSystem32ctfmon.exe
D:STUFFNORTONNorton UtilitiesNPROTECT.EXE
E:Program FilesSAGEMSAGEM F@st 800–840dslmon.exe
D:STUFFNORTONSPEEDD~1 opdb.exe
D:STUFFNORTONNorton AntiVirus avapsvc.exe
D:STUFFNORTONProcess ViewerPrcView.exe
E:WINDOWSSystem32wuauclt.exe
D:STUFFTlen.pl len.exe
E:Program FilesInternet Exploreriexplore.exe
D:HijackThis.exe
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R1 – HKCUSoftwareMicrosoftInternet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – D:STUFFNORTONNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – E:WINDOWSSystem32msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – D:STUFFNORTONNorton AntiVirusNavShExt.dll
O4 – HKLM..Run: [ccApp] "E:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [ccRegVfy] "E:Program FilesCommon FilesSymantec SharedccRegVfy.exe"
O4 – HKLM..Run: [GhostStartTrayApp] D:STUFFNORTONNorton GhostGhostStartTrayApp.exe
O4 – HKCU..Run: [CTFMON.EXE] E:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [MSMSGS] "E:Program FilesMessengermsmsgs.exe" /background
O4 – Global Startup: DSLMON.lnk = E:Program FilesSAGEMSAGEM F@st 800–840dslmon.exe
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101340478510
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
O17 – HKLMSystemCCSServicesTcpip..{8F153F55–9255–4EB1–968B–A2E6A2BDFA61}: NameServer = 194.204.152.34 217.98.63.164
PS.czy przywracanie systemu miec włączone czy wyłączone???
Odpowiedzi: 2
Było kilka podobnych postów na ten temat.
Mogę jedynie Tobie zaproponować, aby odrazu po instalacji WinXP Pro załączyć zaporę systemową, zainstalować wszystkie sterowniki i inne duperele a dopiero potem podłączyć się do sieci i instalować modem + aktualizacje.
Mogę jedynie Tobie zaproponować, aby odrazu po instalacji WinXP Pro załączyć zaporę systemową, zainstalować wszystkie sterowniki i inne duperele a dopiero potem podłączyć się do sieci i instalować modem + aktualizacje.
Log masz czysty
Jesli masz miejsce to wlacz przywracanie, albo najlepiej zrob lustro partycji Ghost'em
Jesli masz miejsce to wlacz przywracanie, albo najlepiej zrob lustro partycji Ghost'em
Strona 1 / 1