Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Wyszukaj w ofercie 200 tys. produktów TME
Europejski lider sprzedaży techniki i elektroniki.
Proszę, dodaj wyjątek elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus Win32.Ladex. Jak pozbyć się czegoś takiego?

szel 30 Gru 2004 23:58 1639 7
  • #1 30 Gru 2004 23:58
    szel
    Poziom 20  

    Jak pozbyć się tego czegoś? Podobno to wirus powiązany z plikami smss.exe i csrss.exe . Procesy te są uruchamiane ze startem systemu (Win XP) i nie mozna ich się pozbyć. Żaden ze stosowanych antywirusów nie wykazał istnienia Ladexa w systemie, ale wyżej wymienione pliki i procesy istnieją na dysku , są aktywne i nie można ich zamknąć. Znalazłem w necie informację o wirusie http://www.wiruspc.pl/wykaz/details.php?virus=3910" target="_blank" rel="nofollow" class="postlink "> http://www.wiruspc.pl/wykaz/details.php?virus=3910 , ale nikt nie pisze jak się go pozbyć. Usunąłem z poziomu NTFS Dosu pliki o których mowa , ale nic to nie dało. Ladex jest dalej w systemie. Próbowałem wielu programów typu Ad-Aware - bezskutecznie. A może to nie wirus? Co wy na to?

    0 7
  • #3 31 Gru 2004 00:40
    paweliw
    Spec od komputerów

    Poczytaj to:
    http://forum.pcmaniak.pl/ftopic8945-0-asc-0.php&sid=b4ba9b1492cd15eeb19bf643f3f33252 szczególnie 2 stronę
    i to: http://www.kaspersky.pl/about.html?s=news&newsid=198
    Tutaj jest opis usuwania wirusa:
    Go into safe mode (F8) and nuke all programs and registry settings it made. Then restart into safe mode and check if it reappeared. If not , restart in normal mode and get a good virusscanner.
    Wynika z niego, że musisz usunąć wspomniane w opisie pliki z dysku (w trybie awaryjnym) i wpisy w rejestrze.

    0
  • #4 31 Gru 2004 16:10
    szel
    Poziom 20  

    Pliki i uruchomione ich procesy (smss.exe,csrss.exe i lsass.exe) są nietykalne w systemie . Nie można ich usunąć ani zamknąć nawet w trybie awaryjnym i awaryjnym z linią poleceń . W rejestrach startowych (Run itp.) nie ma wpisu startującego te procesy. Coś je jednak uruchamia - co? Co najdziwniejsze - są niewidoczne dla programów antywirusowych i antyspamowych itp..
    SpyBoot też nic nie daje.

    0
  • #5 31 Gru 2004 16:19
    Kolobos
    Spec od komputerów

    Przeksanuj hijackthis i wklej tu zawartosc loga :-)

    0
  • #8 01 Sty 2005 20:18
    szel
    Poziom 20  

    Wirus został usunięty, ale zamieszanie wprowadziły procesy systemowe o nazwach takich samych jak nazwy plików wirusa.

    Adnotacja: Pliki wirusa sms.exe i csrss.exe mają takie same nazwy jak dwa pliki systemowe, które znajdują się w katalogu systemowym - najczęściej - c:\windows\system32.
    Pliki wirusa znajdują się w katalogu głównym windows - najczęściej - c:\windows.
    Nie należy mylić tych plików ze sobą - mają przecież takie same nazwy.
    Jeżeli usuwasz te pliki ręcznie - upewnij się, że usuwasz te kopie, które są tymi z katalogu głównego windows, a nie tymi z katalogu System32.
    Usunięcie tych z katalogu System32 - uniemożliwi potem ponowny start systemu operacyjnego.
    Normalnie wymienione procesy (smss.exe i csrss.exe) są uruchamiane przez system i widoczność ich w wykazie uruchomionych procesów nie świadczy o istnieniu wirusa Ladex.
    Usunięcie tych plików z dysku i zamknięcie ich procesów w systemie operacyjnym jest zablokowane.
    Właśnie po usunięciu plików wirusa - zdziwienie budzi dalsze istnienie procesów smss.exe i csrss.exe w systemie, – ale to nie są już wirusy, tylko procesy systemowe. Należy potrafić je rozróżnić.

    0
TME logo Szukaj w ofercie
Zamknij 
Wyszukaj w ofercie 200 tys. produktów TME
TME Logo