Wirus? Nie działa ctrl+alt+delete

01.06.04, 21:27
System WinXP Home. Od jakiegoś czasu dzieje się coś dziwnego - gdy podczas normalnej pracy systemu wciskam ctrl+alt+del, to albo nie dzieje się nic, albo okienko Menadżera Zadań pojawia się na dosłownie sekundę, po czym znika. Skaner MKS znalazł to, co zwykle, czyli kilka trojanów, które usunął, oraz Trojan.Starpage.Wherespy (udało się zmienić nazwę pliku) i Trojan.Downloader.Keie - z którym nie zdołał zrobić nic.
Pest Patrol też niczego nie wyszukał.
Czy te wirusy mogą być przyczyną tego, że Menadżer Zadań nie chce się uruchamiać? Proszę o pomoc.
    • Gość: basten1982 Re: Wirus? Nie działa ctrl+alt+delete IP: *.akademiki.uni.torun.pl 01.06.04, 22:46
      Hej mozesz byc pewny ze to wirus i napewno nie trojan tylko cos
      powazniejszego.Ja mialem juz os takiego.Nie dalo sie nic zrobic menadzer zadań
      nie dzialal a przy probie skanowania w trybie awaryjnym komp sie
      wieszal.Dobiero kolega wziął dysk do siebie i usunął wirusa ktorego ja nie
      mogłem znaleźć.Tyle Ci moge pomoc.Pozdrawiam
    • netsec Re: Wirus? Nie działa ctrl+alt+delete 02.06.04, 09:12
      princess_moonlight napisała:

      > Czy te wirusy mogą być przyczyną tego, że Menadżer Zadań nie
      > chce się uruchamiać? Proszę o pomoc.

      Po włączeniu zapory uruchom komputer ponownie,
      Ściągnij HijackThis 209.133.47.12/~merijn/files/HijackThis.exe
      Uruchom i wykonaj Scan i po tym Save Log.
      Zawartość pliku z save log wklej na forum, zobaczymy co się tam dzieje.
      • princess_moonlight Re: Wirus? Nie działa ctrl+alt+delete 02.06.04, 19:30
        Logfile of HijackThis v1.97.7
        Scan saved at 19:29:48, on 2004-06-02
        Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
        C:\Program Files\QuickTime\qttask.exe
        C:\PROGRA~1\PESTPA~1\PPControl.exe
        C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
        C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
        C:\Program Files\Kazaa Lite Resurrection\kazaalite.kpp
        C:\Program Files\AVACS\MpegTV Station PCITV\RemoteCtl.exe
        C:\WINDOWS\System32\drivers\CDAC11BA.EXE
        C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
        C:\WINDOWS\System32\nvsvc32.exe
        C:\Program Files\Opera7\opera.exe
        C:\Program Files\Gadu-Gadu\gg.exe
        C:\Documents and Settings\Alien\Moje dokumenty\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jcp.dll/sp.html (obfuscated)
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jcp.dll/sp.html (obfuscated)
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = jksearch.biz/redir.php
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jcp.dll/sp.html (obfuscated)
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\jcp.dll/sp.html (obfuscated)
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\jcp.dll/sp.html (obfuscated)
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = jksearch.biz/redir.php
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\jcp.dll/sp.html (obfuscated)
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = jksearch.biz/redir.php
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = jksearch.biz/redir.php
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
        O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
        O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
        O2 - BHO: (no name) - {489FF5BA-25A5-4A18-AE0F-A28F3E929BE0} - C:\WINDOWS\System32\jcp.dll
        O2 - BHO: (no name) - {663C5823-C6F0-4F2E-90DC-456EC9AC1C4F} - C:\WINDOWS\System32\dhigl.dll (file missing)
        O2 - BHO: (no name) - {A1E6E516-CB20-4CE3-9728-B5EB99BA74E8} - C:\WINDOWS\System32\hnlgha.dll (file missing)
        O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
        O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
        O4 - HKLM\..\Run: [internat.exe] internat.exe
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
        O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
        O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
        O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
        O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite Resurrection\kpp.exe" "C:\Program Files\Kazaa Lite Resurrection\kazaalite.kpp" /SYSTRAY
        O4 - HKLM\..\Run: [Winsock2 driver] GG.EXE
        O4 - HKCU\..\Run: [TiTDialer-1052128800] C:\WINDOWS\sexExplorer[2].exe --t
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
        O4 - Global Startup: MpegTV Station PCITV Remote Control.lnk = C:\Program Files\AVACS\MpegTV Station PCITV\RemoteCtl.exe
        O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
        O8 - Extra context menu item: &Pobierz przez ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_Link.htm
        O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
        O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
        O8 - Extra context menu item: Pobierz &wszystko przez ReGet Deluxe - C:\Program Files\Common Files\ReGet Shared\CC_All.htm
        O9 - Extra button: Run DAP (HKLM)
        O15 - Trusted Zone: *.only-virgins.com
        O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - www.apple.com/qtactivex/qtplugin.cab
        O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
        O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - download.macromedia.com/pub/shockwave/cabs/director/sw.cab
        O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - only-virgins.com/progs/d20/dploader.cab
        O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - skaner.mks.com.pl/SkanerOnline.cab

        Zaporę i tak miałam włączoną zawsze, a mimo to dziwne rzeczy się dzieją.
        • netsec Re: Wirus? Nie działa ctrl+alt+delete 02.06.04, 21:57
          princess_moonlight napisała:

          > Logfile of HijackThis v1.97.7
          > Scan saved at 19:29:48, on 2004-06-02
          > Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
          > MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

          Uruchom ponownie HijackTHis wykonaj SCAN i zaznacz te pozycje:

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
          res://C:\WINDOWS\System32\jcp.dll/sp.html (obfuscated)
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
          res://C:\WINDOWS\System32\jcp.dll/sp.html (obfuscated)
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          jksearch.biz/redir.php
          R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          res://C:\WINDOWS\System32\jcp.dll/sp.html (obfuscated)
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
          res://C:\WINDOWS\System32\jcp.dll/sp.html (obfuscated)
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
          res://C:\WINDOWS\System32\jcp.dll/sp.html (obfuscated)
          R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          jksearch.biz/redir.php
          R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          res://C:\WINDOWS\System32\jcp.dll/sp.html (obfuscated)
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
          jksearch.biz/redir.php
          R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
          jksearch.biz/redir.php
          O2 - BHO: (no name) - {489FF5BA-25A5-4A18-AE0F-A28F3E929BE0} -
          C:\WINDOWS\System32\jcp.dll
          O2 - BHO: (no name) - {663C5823-C6F0-4F2E-90DC-456EC9AC1C4F} -
          C:\WINDOWS\System32\dhigl.dll (file missing)
          O2 - BHO: (no name) - {A1E6E516-CB20-4CE3-9728-B5EB99BA74E8} -
          C:\WINDOWS\System32\hnlgha.dll (file missing)
          O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
          atboottime
          O4 - HKLM\..\Run: [KAZAA] "C:\Program Files\Kazaa Lite
          Resurrection\kpp.exe" "C:\Program Files\Kazaa Lite
          Resurrection\kazaalite.kpp" /SYSTRAY
          O4 - HKLM\..\Run: [Winsock2 driver] GG.EXE
          O4 - HKCU\..\Run: [TiTDialer-1052128800] C:\WINDOWS\sexExplorer[2].exe --t
          O4 - Global Startup: MpegTV Station PCITV Remote Control.lnk = C:\Program
          Files\AVACS\MpegTV Station PCITV\RemoteCtl.exe
          O15 - Trusted Zone: *.only-virgins.com
          O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -
          www.apple.com/qtactivex/qtplugin.cab
          O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-
          its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
          O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - only-
          virgins.com/progs/d20/dploader.cab

          Po zaznaczeniu wykonaj FIX CHECKED i OK.

          W Opcjach Internetowych usuń Tymczasowe pliki Internetowe (Wszystkie) i Cooki.

          Ściągnij ten wpis do rejestru
          www.spywareinfo.com/downloads/tools/IEFIX.reg
          Uruchom klikając,i zaakceptuj wpis.

          Ściągnij CWShredder 209.133.47.12/~merijn/files/CWShredder.exe
          Uruchom i wykonaj Fix. Przed wykonaniem FIX zamknij wszystkie okna
          Internet Explorera, a w trakcie FIX zawsze odpowiadaj OK.

          Z menu START wybierz Uruchom wpisz %TEMP% i wykasuj wszystkie pliki
          które można skasować. Upewnij się przed tym, że masz w Opcjach folderów
          zakładka Widok zaznaczone Pokaż ukryte pliki i foldery.

          Zainstaluj te poprawki:

          download.microsoft.com/download/3/b/0/3b0062ab-3627-498d-b05e-04a5b56eaf82/WindowsXP-KB835732-x86-PLK.EXE

          download.microsoft.com/download/4/8/0/4801e427-5d62-4bbb-9d94-d4c80fbca744/WindowsXP-KB828741-x86-PLK.EXE

          download.microsoft.com/download/f/f/3/ff39c62a-6903-4393-baa5-ce95f6ee846f/OE6.0sp1-KB837009-x86-PLK.exe

          download.microsoft.com/download/6/a/3/6a370b8e-1d81-4b7c-a666-7e0c85d2cc1a/WindowsXP-KB837001-x86-PLK.EXE

          download.microsoft.com/download/c/d/3/cd37ab56-fde6-4f25-ac22-02329044acee/WindowsXP-KB840374-x86-PLK.EXE

          Odinstaluj w Panelu sterowania Dodaj/Usuń programy wszystkie
          programy, co do których nie masz pewności, że Ci są potrzebne.

          Zainstaluj program antywirusowy do domowego użytku AVAST4 Home.
          Jest to bezpłatny program antywirusowy po polsku.
          Wersję polską możesz ściągnąć stąd www.avast.com/i_idt_1016.html
          Przed instalacją zarejestruj się tu www.avast.com/i_kat_207.php?lang=ENG
          Dzięki rejestracji otrzymasz mailem klucz rejestracyjny,
          który umożliwi przez rok bezpłatną aktualizacje bazy wirusów.

          Przeskanuj AVAST'em wszystkie dyski.
          • princess_moonlight Re: Wirus? Nie działa ctrl+alt+delete 03.06.04, 16:53
            Dzięki wielkie.
            Wszystko działa jak trzeba :)
Pełna wersja