W32.Spybot.Worm.

15.06.04, 21:19
Bardzo prosze o pomoc w usunięciu tego wirusa.Oto wynik skanowania:
Logfile of HijackThis v1.97.7
Scan saved at 21:18:46, on 2004-06-15
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\scrgrd.exe
C:\Program Files\ScannerU\AM32.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Programy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.wp.pl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyServer = proxy.easy-com.pl:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec
Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton
SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Action Manager 32.lnk = C:\Program
Files\ScannerU\AM32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
Co mam teraz zrobić?Bardzo prosze o pomoc
    • Gość: piecyk gazowy Re: W32.Spybot.Worm. IP: *.neoplus.adsl.tpnet.pl 15.06.04, 21:23
      forum.gazeta.pl/forum/72,2.html?f=430&w=13431807
    • pmes Re: W32.Spybot.Worm. 15.06.04, 23:07
      Net sec,proszę bardzo o pomoc z tym powracającym wirusem.Pozdrawiam Patryk
      • Gość: piecyk gazowy Re: W32.Spybot.Worm. IP: *.neoplus.adsl.tpnet.pl 15.06.04, 23:28
        scrgrd.exe

        es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=59669&VName=WORM_SPYBOT.BR&VSect=T
        • pmes Re: W32.Spybot.Worm. 16.06.04, 00:18
          Dzięki piecyk gazowy za stronę,ale czy mógłbyś napisac co mam zrobić?Pozdrawiam
          Patryk.
          • Gość: piecyk gazowy Re: W32.Spybot.Worm. IP: *.neoplus.adsl.tpnet.pl 16.06.04, 00:22
            Usuń wszystkie wpisy z scrgrd.exe, zrestartuj system i skasuj ten plik.
            • pmes Re: W32.Spybot.Worm. 16.06.04, 11:40
              Zrobiłem tak jak radziłeś i dalej mam tego wirusa,co robić?
              • Gość: piecyk gazowy Re: W32.Spybot.Worm. IP: *.internetdsl.tpnet.pl 16.06.04, 13:18
                Wyłącz przywracanie systemu i zrób jeszcze raz to samo.
              • reed Re: W32.Spybot.Worm. 16.06.04, 13:32

                1.Włącz zaporę połączenia sieciowego
                panel sterowania-połączenia sieciowe i inernetowe-połączenia sieciowe-Twoje
                połączenie(prawoklik)-właściwości-odznacz udostępnianie plików i drukarek.
                Następnie zakładka zaawansowane-zaznaczyć chroń mój komputer.
                2.Wyłącz przywracanie systemu
                panel sterowania-system-odznaczyć przywracanie systemu
                3.Zaktualizuj Twojego Nortona.
                4.przeskanuj MKS-virem online
                skaner.mks.com.pl/
                5.Przeskanuj Hijackiem i wklej log na forum
                ---
                reed

                • Gość: ass Re: W32.Spybot.Worm. IP: *.dip.t-dialin.net 16.06.04, 13:54
                  Jak uruchomic Firewall-a:
                  www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
                  • pmes Re: W32.Spybot.Worm. 16.06.04, 15:22
                    Dzięki za pomoc.W międzyczasie sformatowałem dysk i mam nowego XP,bo oprócz
                    wspomnianego wiruska wariować zaczął Direct Connect.Z tryby active mode
                    musiałem przejść na passive mode,zeby cokolwiek móc wykorzystać ten program.Czy
                    to możliwe,że ten wirus tak zadzialał na DC?Mam nadzieję,że już się na razie
                    nie pojawi,a jeśli odpukac pojawi się,to na pewno poproszę Was o pomoc.Dziękuję
                    i pozdrawiam Patryk
                    • Gość: piecyk gazowy Re: W32.Spybot.Worm. IP: *.internetdsl.tpnet.pl 16.06.04, 15:30
                      To od razu załóż konto użytkownika z ograniczeniami i na nim pracuj (zwłaszcza
                      podczas pracy w Internecie), to Ci się żaden shit bez Twojej wiedzy nie
                      zainstaluje (na takim koncie nie jest możliwa edycja rejestru – np. dodawanie
                      wpisów).
                      • Gość: Graf Re: W32.Spybot.Worm. IP: 193.151.48.* 20.06.04, 10:34
                        tak a propos - jak założyć takie konto z ograniczeniami...
                        też mam teraz spybota i męcze się bo najlepszy w tych sprawach nie jestem - czekam na ewentualne wskazówki
Pełna wersja