Wštki
tytv - Czw Lip 29, 2010 6:26 pm
Witam. Jestem nowym użytkownikiem, i zanim zostanę zbanowany za to, że nie doczytałem, że być może taki post już był, może uda mi sie znaleźć odpowiedź na nurtujący mnie problem. Otóż podczas wyłączania komputera pojawia mi się komunikat o zamykaniu programu rundll32.exe ( http://img715.imageshack.us/img715/1060/rundll32.jpg ). Próbowałem reinstalować system, nawet dwukrotnie (sic!), jednak każdorazwo po formacie problem po około dwóch tygodniach pojawiał się znowu. I w tym momencie ktoś powiedział mi o programie ComboFix. Zaintereoswałem sie tematam, ale doczytałem ostrzeżenie, że bez odpowiedniej wiedzy używanie tego programu może spowodować, że komputer wybuchnie. Jestem przeciętnym użytkownikiem komputera i tu właśnie kieruje pytanie, czy Combofix jest rozwiązaniem problemu ? Jeśli tak to czy mógłby ktoś mi pomóc w jaki sposób przeprowadzić ten zabieg ? Z góry dziękuję i czekam na odpowiedź.
mati8898 - Czw Lip 29, 2010 7:07 pm
Na pewno ComboFix nie jest dobrym rozwiązaniem, gdyż po pierwsze jest to silnie ingerujące w system narzędzie, którego używa się tylko w przypadku ciężkich infekcji i tylko wtedy, gdy jesteśmy o to proszeni na forum. A po drugie nie wiadomo, czy to w ogóle wina infekcji, ale możesz wrzucić logi z OTL i GMER to ją wtedy ewentualnie wykluczymy.
tytv - Nie Sie 08, 2010 9:51 am
Witam. Przepraszam za moją drugą absencję. A więc wygląda to tak: http://img530.imageshack.us/img530/4866/logie.jpg Co teraz zrobić z tym fantem ?
mati8898 - Nie Sie 08, 2010 5:32 pm
Zapomniałeś jeszcze o logu z OTL.
Logi wklejaj na http://wklej.eu/ i podaj do nich tylko link.
tytv - Pon Sie 09, 2010 3:32 pm
http://wklej.eu/index.php?id=b80a0371f5
http://wklej.eu/index.php?id=e98904088e
Dobrze to zrobiłem ?
mati8898 - Pon Sie 09, 2010 5:02 pm
Dobrze
Pobierz ten plik http://www.dlldump.com/download-dll-fil ... nload.html i wrzuć do folderu C:\WINDOWS\System32
Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
:OTL
O4 - HKLM..\Run: [ComSpec Service (x86)] C:\Documents and Settings\z\Ustawienia lokalne\Temp\ComSpc32.dll ()
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBAgent"=-
"WinampAgent"=-
:Commands
[clearallrestorepoints]
[emptytemp]
tytv - Śro Sie 11, 2010 5:58 pm
A więc tak: wkleiłem ten podany skrypt i zrobiłęm tak jak trzeba. Tylko nie zaznaczałem tych opcji, które są podane w instrukcji do programu (Użyj filtrowiania itp.). Czuje sie jak haker Komputer uruchomił sie ponownie (rundll32 sie pojawił) i pojawił sie poniższy log:
http://wklej.eu/index.php?id=bbbf39fe6b
Następnie zrobiłem skanowanie w OTL'u (tym razem zaznaczyłem te opcje) i pojawiło się:
http://wklej.eu/index.php?id=ade5298659
http://wklej.eu/index.php?id=772fbc13a1
Co dalej ?
mati8898 - Śro Sie 11, 2010 6:36 pm
Więcej nic tutaj nie widzę. Jeszcze tylko kroki końcowe.
W OTL kliknij Sprzątanie
Przeczyść dysk oraz rejestr CCleaner
Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
Odinstaluj także tą archaiczną wersję czytnika PDF:
Adobe Reader 6.0.2 CE
tytv - Sob Sie 14, 2010 8:17 am
Nie pojawia się! Działa ! Jesteśmy goście A jest możliwośc, że ten problem może wrócić ? To był jakiś wirus ? Np. przenoszony drogą pamięci przenośnych ? I dlaczego odinstalowywać starego Adoba ? On troszkę archaiczny jest to fakt, ale to ostatni z prostych Adobów, bez zbędnych funkcji.
mati8898 - Sob Sie 14, 2010 8:27 am
Tak, to była infekcja. Raczej nie przenoszona przez pamięci przenośne, gdyż byłyby także inne jej ślady w logu. A czy powróci, to zależy, czy ponownie np. nie pobierzesz skądś zainfekowanego pliku. Możliwe, że z jakąś aplikacją sam sobie go podawałeś skoro piszesz, że robiłeś formata i po dwóch tygodniach problem wracał.
I dlaczego odinstalowywać starego Adoba ? On troszkę archaiczny jest to fakt, ale to ostatni z prostych Adobów, bez zbędnych funkcji.
tytv - Sob Sie 14, 2010 9:40 am
Dziękuje pięknie za pomoc. Gdyby ta przypadłosc sie zjowu pojawiła powtórzyć ten sam zabieg ? A z starym Adobem postaram sie coś zrobić.
mati8898 - Sob Sie 14, 2010 10:50 am
Gdyby ta przypadłosc sie zjowu pojawiła powtórzyć ten sam zabieg ?