znowu to samo..........
siemka.... jestem zrospaczony.. kilka miesiecy temu nagle (mam win xp) nie włączył mi sie norton internet security 2003 a jak go włączyłęm to za 30s. sam sie wyłącza .... skanowanie w poszukiwaniu wirusów tez mi sie wyłączało jak chciałęm sprawdzic w rejestrze to on mi sie tez wyłącza...... ok chciałem spróbowac jakąś łatke do win.... włączam update ....a tam jakiś chory błąd.... (0x800C0005)tamto skonczyło się formatem..... ale teraz nie chce juz formatowac...... skanowałem kompa pandą przez neta... ale nic....co mam robic?????? ...help... za kazdą odpowiedz thx
Odpowiedzi: 20
jeju nie wiem jak dziękować z pomoc..... usunąłem go wg. porad i wszystko jest ok..... to forum jest wspaniałe... musze sie zarejestrować... i w razie kolejnych problemów bede wpadał:):):):) jeszcze raz wielkie dzięki......
portier :
Został Tobie przedstawiony szczegółowy sposób usunięcia Backdoor`a – Win32.Ciadoor 1.22 ( który powoduje problemy o których napisałeś ) , gdybyś miał problemy z zlokalizowaniem oraz usunięciem moźesz spróbować w http://www.ravantivirus.com/scan/indexie.php zaznaczyć funkcję Autoclean, być moźe silnik RAV sam go automatycznie usunie, jeśli nie zostaje Tobie zastosowanie się do porad które zostały przedstawione.
Został Tobie przedstawiony szczegółowy sposób usunięcia Backdoor`a – Win32.Ciadoor 1.22 ( który powoduje problemy o których napisałeś ) , gdybyś miał problemy z zlokalizowaniem oraz usunięciem moźesz spróbować w http://www.ravantivirus.com/scan/indexie.php zaznaczyć funkcję Autoclean, być moźe silnik RAV sam go automatycznie usunie, jeśli nie zostaje Tobie zastosowanie się do porad które zostały przedstawione.
Nacisnij Ctrl+Alt+Del a to co wyskoczy to jest wlasnie Task Manager. Klikasz na zakladke procesy, szukasz procesu o nazwie svhost32.exe (nie pomyl z svchostem), zaznaczasz go i klikasz wylacz czy tak jakos. Pozniej usuwasz z dysku ten plik a na koncu z rejestru te wpisy odnoszace sie do pliku.
jestem zielony w tych sprawach....... gdzie i co to jest task manager... thx
a moze by usunąć ten plik svhost...... tam niby osiedlił sie wirus..... do czego wogule ten plik jest..?????.... a tak ogulnie to ludzie help...... pomocy .... pomózcie mi pozbyc sie tego pasozyta.....
thx...
thx...
W TAsk managerze wylacz proces o nazwie svhost32.exe a nastepnie usun plik i wpisy w rejestrze:
portier:
C:WINDOWSsvhost32.exe
O4 – HKLM..Run: [Services Startup] C:WINDOWSsvhost32.exe
O4 – HKLM..RunServices: [Services Startup] C:WINDOWSsvhost32.exe
O4 – HKCU..Run: [Services Startup] C:WINDOWSsvhost32.exe
O4 – HKCU..RunServices: [Services Startup] C:WINDOWSsvhost32.exe
Logfile of HijackThis v1.97.5
Scan saved at 20:14:18, on 2004–03–20
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesNetropaMultimedia Keyboard hksrv.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsvhost32.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesInternet Exploreriexplore.exe
D:Gadu–Gadugg.exe
C:WINDOWSsystem32spoolsv.exe
C:Documents and SettingsMateuszPulpitHijackThis.exe
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.wp.pl/
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R1 – HKCUSoftwareMicrosoftInternet Connection Wizard,Shellnext = http://www.downloadaccelerator.com/FinishInstall.asp?V=7.0.1.0
O2 – BHO: BabeIE – {00000000–0000–0000–0000–000000000000} – C:PROGRA~1COMMON~2Toolbarcnbabe.dll (file missing)
O2 – BHO: (no name) – {0000CC75–ACF3–4cac–A0A9–DD3868E06852} – C:Program FilesDAPDAPBHO.dll
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 5.0 CEReaderActiveXAcroIEHelper.ocx
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O3 – Toolbar: DAP Bar – {62999427–33FC–4baf–9C9C–BCE6BD127F08} – C:PROGRA~1DAPdapiebar.dll
O4 – HKLM..Run: [Services Startup] C:WINDOWSsvhost32.exe
O4 – HKLM..Run: [ccRegVfy] "C:Program FilesCommon FilesSymantec SharedccRegVfy.exe"
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..RunServices: [Services Startup] C:WINDOWSsvhost32.exe
O4 – HKCU..Run: [Gadu–Gadu] "D:Gadu–Gadugg.exe" /tray
O4 – HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 – HKCU..Run: [Services Startup] C:WINDOWSsvhost32.exe
O4 – HKCU..RunServices: [Services Startup] C:WINDOWSsvhost32.exe
O8 – Extra context menu item: &Download with &DAP – C:PROGRA~1DAPdapextie.htm
O8 – Extra context menu item: Download &all with DAP – C:PROGRA~1DAPdapextie2.htm
O9 – Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 – Extra button: Run DAP (HKLM)
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 – Extra button: Messenger (HKLM)
O9 – Extra 'Tools' menuitem: Messenger (HKLM)
O16 – DPF: ppctlcab – http://www.pestscan.com/scanner/ppctlcab.cab
O16 – DPF: {166B1BCA–3F9C–11CF–8075–444553540000} (Shockwave ActiveX Control) – http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 – DPF: {2FC9A21E–2069–4E47–8235–36318989DB13} (PPSDKActiveXScanner.MainScreen) – http://www.pestscan.com/scanner/axscanner.cab
O16 – DPF: {33288993–5664–11D4–8B5B–00D0B73B3518} (ell Class) – http://en–uk.easports.com/downloads/games/common/ieell.cab
O16 – DPF: {54B52E52–8000–4413–BD67–FC7FE24B59F2} (EARTPatchX Class) – http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 – DPF: {70BA88C8–DAE8–4CE9–92BB–979C4A75F53B} (GSDACtl Class) – https://www.gamespyid.com/alaunch.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.es/activescan/as/asinst.cab
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38032.0146296296
O16 – DPF: {A3009861–330C–4E10–822B–39D16EC8829D} (CRAVOnline Object) – http://www.ravantivirus.com/scan/ravonline.cab
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {F5D98C43–DB16–11CF–8ECA–0000C0FD59C7} (ActiveCGM Control) – file://C:Program FilesInterCAPActiveCGMActiveXAcgm.cab
Scan saved at 20:14:18, on 2004–03–20
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesNetropaMultimedia Keyboard hksrv.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsvhost32.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesInternet Exploreriexplore.exe
D:Gadu–Gadugg.exe
C:WINDOWSsystem32spoolsv.exe
C:Documents and SettingsMateuszPulpitHijackThis.exe
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.wp.pl/
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R1 – HKCUSoftwareMicrosoftInternet Connection Wizard,Shellnext = http://www.downloadaccelerator.com/FinishInstall.asp?V=7.0.1.0
O2 – BHO: BabeIE – {00000000–0000–0000–0000–000000000000} – C:PROGRA~1COMMON~2Toolbarcnbabe.dll (file missing)
O2 – BHO: (no name) – {0000CC75–ACF3–4cac–A0A9–DD3868E06852} – C:Program FilesDAPDAPBHO.dll
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 5.0 CEReaderActiveXAcroIEHelper.ocx
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O3 – Toolbar: DAP Bar – {62999427–33FC–4baf–9C9C–BCE6BD127F08} – C:PROGRA~1DAPdapiebar.dll
O4 – HKLM..Run: [Services Startup] C:WINDOWSsvhost32.exe
O4 – HKLM..Run: [ccRegVfy] "C:Program FilesCommon FilesSymantec SharedccRegVfy.exe"
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..RunServices: [Services Startup] C:WINDOWSsvhost32.exe
O4 – HKCU..Run: [Gadu–Gadu] "D:Gadu–Gadugg.exe" /tray
O4 – HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 – HKCU..Run: [Services Startup] C:WINDOWSsvhost32.exe
O4 – HKCU..RunServices: [Services Startup] C:WINDOWSsvhost32.exe
O8 – Extra context menu item: &Download with &DAP – C:PROGRA~1DAPdapextie.htm
O8 – Extra context menu item: Download &all with DAP – C:PROGRA~1DAPdapextie2.htm
O9 – Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 – Extra button: Run DAP (HKLM)
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 – Extra button: Messenger (HKLM)
O9 – Extra 'Tools' menuitem: Messenger (HKLM)
O16 – DPF: ppctlcab – http://www.pestscan.com/scanner/ppctlcab.cab
O16 – DPF: {166B1BCA–3F9C–11CF–8075–444553540000} (Shockwave ActiveX Control) – http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 – DPF: {2FC9A21E–2069–4E47–8235–36318989DB13} (PPSDKActiveXScanner.MainScreen) – http://www.pestscan.com/scanner/axscanner.cab
O16 – DPF: {33288993–5664–11D4–8B5B–00D0B73B3518} (ell Class) – http://en–uk.easports.com/downloads/games/common/ieell.cab
O16 – DPF: {54B52E52–8000–4413–BD67–FC7FE24B59F2} (EARTPatchX Class) – http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 – DPF: {70BA88C8–DAE8–4CE9–92BB–979C4A75F53B} (GSDACtl Class) – https://www.gamespyid.com/alaunch.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.es/activescan/as/asinst.cab
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38032.0146296296
O16 – DPF: {A3009861–330C–4E10–822B–39D16EC8829D} (CRAVOnline Object) – http://www.ravantivirus.com/scan/ravonline.cab
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {F5D98C43–DB16–11CF–8ECA–0000C0FD59C7} (ActiveCGM Control) – file://C:Program FilesInterCAPActiveCGMActiveXAcgm.cab
1. –––> Nie umiem obsługiwac teho hijacka..... jak klikne scan to pojawia mi sie pełni jakis lokacji plików.....i pisze badz ostrozny w usuwaniu......
2.Ni ma jakiejś stronki po polsku z usuwanie tego wira.... bo albo angielski jest u mnie bardzo, ale to bardzo kiepski.... albo 1.21 rozni sie od .1.22
thx......
2.Ni ma jakiejś stronki po polsku z usuwanie tego wira.... bo albo angielski jest u mnie bardzo, ale to bardzo kiepski.... albo 1.21 rozni sie od .1.22
thx......
:arrow: http://www.spychecker.com/program/hijackthis.html
Podałem Download w linku wyźej, ale być moźe Tobie nie zadziałał.
Podałem Download w linku wyźej, ale być moźe Tobie nie zadziałał.
podaj link do tego programu bo na tej stronie nie moge go znaleźć....z gory dzieki
Link który podałem był błędny i dotyczył innego aliasu, dlatego go usunąłem.
Rozwiązanie:
http://pl.trendmicro–europe.com/enterprise/security_info/ve_detail.php?id=56664&VName=BKDR_CIADOOR.121&VSect=O
( jednak dotyczy ono uźycia przez agresora Backdoor`a CIADOOR v1.21 ).
Podejrzewam źe sposób postępowania pomiędzy wersją 1.21 a 1.22 będzie podobny.
Co co linku Symanteca, musisz wsiąść pod uwagę źe sposób postępowania dotyczy spoolserv.exe.
W twoim przypadku Backdoor utworzył kopie w svhost32.exe
Update :
portier, zapodaj log z HiJackThis.
Rozwiązanie:
http://pl.trendmicro–europe.com/enterprise/security_info/ve_detail.php?id=56664&VName=BKDR_CIADOOR.121&VSect=O
( jednak dotyczy ono uźycia przez agresora Backdoor`a CIADOOR v1.21 ).
Podejrzewam źe sposób postępowania pomiędzy wersją 1.21 a 1.22 będzie podobny.
Co co linku Symanteca, musisz wsiąść pod uwagę źe sposób postępowania dotyczy spoolserv.exe.
W twoim przypadku Backdoor utworzył kopie w svhost32.exe
Update :
portier, zapodaj log z HiJackThis.
Zobacz tu:
www.symantec.com/avcenter/venc/data/backdoor.ciadoor.b.html
www.symantec.com/avcenter/venc/data/backdoor.ciadoor.b.html
był tu link jak to usunąć ale znikł... a ja nic zrobiłem jeszcze wg. tamtych porad...... :cry:
Scan started at 2004–03–20 14:41:58
Scanning memory...
Scanning boot sectors...
Scanning files...
C:WINDOWSsvhost32.exe – Backdoor:Win32/Ciadoor.1_22 –> Suspicious
F:RECYCLERS–1–5–21–1957994488–113007714–725345543–1005Df62.scr – Backdoor:Win32/Ciadoor.1_22 –> Suspicious
Scanning memory...
Scanning boot sectors...
Scanning files...
C:WINDOWSsvhost32.exe – Backdoor:Win32/Ciadoor.1_22 –> Suspicious
F:RECYCLERS–1–5–21–1957994488–113007714–725345543–1005Df62.scr – Backdoor:Win32/Ciadoor.1_22 –> Suspicious
W tym przypadku scan PAS on line jest najlepszym zastosowaniem w celu identyfikacji zagroźenia.
Czy podczas skanowania zaznaczyłeś Heurustykę odpowiedzialną za identyfikacje wirusów polimorficznych a takźe
wykrywanie koni trojańskich :?:.
Jeśli Panda nic nie znalazła to spróbuj RAV`em on–line.
http://www.ravantivirus.com/scan/indexie.php
Gdy teź nie będzie źadnego alertu, wtedy scanuj tym :
http://www.pestscan.com/ScanOrTrial.asp.
Download`uj to narzędzie :
http://files.webattack.com/localdl834/hijackthis.zip
( Rozpakuj, uruchom, zapisz scan do logu ).
Po scanach przedstaw wszystkie logi ze scan`ów do analizy.
Czy podczas skanowania zaznaczyłeś Heurustykę odpowiedzialną za identyfikacje wirusów polimorficznych a takźe
wykrywanie koni trojańskich :?:.
Jeśli Panda nic nie znalazła to spróbuj RAV`em on–line.
http://www.ravantivirus.com/scan/indexie.php
Gdy teź nie będzie źadnego alertu, wtedy scanuj tym :
http://www.pestscan.com/ScanOrTrial.asp.
Download`uj to narzędzie :
http://files.webattack.com/localdl834/hijackthis.zip
( Rozpakuj, uruchom, zapisz scan do logu ).
Po scanach przedstaw wszystkie logi ze scan`ów do analizy.
ale ja tam nic ni moge kliknąc .... dzieła tylko alt ctrl del......
A z czym się ma nowy uźytkownik pokazać ? :o
bo jush kiedys to miale ale wtedy formatowalem wina...... teraz mi sie ni chce a wogule mam cenne dane..... wtedzy po formacie AV nic mi nie pokazywał... a z tym uzytkownikiem to sprubowałe to jak włączam tego uzytlkownika ... pojawia mi sie pulpit ale bez ikon i bez niczego...... jeju jak to wirus to jaki...... panda przeciez nic mi nie pokazywała.......
siemka.... jestem zrospaczony.. kilka miesiecy temu nagle (mam win xp) nie włączył mi sie norton internet security 2003 a jak go włączyłęm to za 30s. sam sie wyłącza .... skanowanie w poszukiwaniu wirusów tez mi sie wyłączało jak chciałęm sprawdzic w rejestrze to on mi sie tez wyłącza...
Typowy objaw infekcji wirusem, malware`m lub koniem trojańskim ( np. Trojan Optix ).
...ale ja tego wirusa jeszcze nie usunolem...
Napisałeś źe formatowałeś dysk, ( cały, czy wybraną partycję :?: ).
Czy po formacie silnik AV alarmuje o infekcji :?:
Pozatym z tego co napisałeś niebardzo Ciebię rozumiem co chcesz zrobić i z czym po fomacie masz problem.
manager chodzi normalnie........ ale ja tego wirusa jeszcze nie usunolem...... moze w bazie pandy go ni ma.......sprubuje tego uzytkownika.....