Komunikat z AVG - trojan win21.tmp.exe i srvvl(1).exe POMOCY


(Adam_Z) #1

Witam!

Co chwilę wyskakują mi komunikaty z antywirusa AVG ze na kompie mam trojana np.win2.tmp.exe, za jakąś chwilę znowu win21.tmp.exe, czasem dla odmiany srvvl(1).exe. Proszę o pomoc. Przeskanowałem kompa juz adaware i ewido. Wyczyściłem CCleaner-em i niestety nic się nie zmienia. Ponieżej logi

Proszę o pomoc. Myślałem, że sobie sam poradze, ale siedzę już nad tym kilka godzin i nic sie nie zmienia. Z góry dziękuję.


(Bbieniol) #2

Otwórz notatnik i wklej w nim to:

Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.REG

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):

W trybie awaryjnym odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa :slight_smile:

Po zabiegach nowe logi :slight_smile:


(Adam_Z) #3

W momencie przejści do zakładki przywracania systemu wyskakuje błąd. Nie wiem czy zignorować przywracanie systemu i postepować wg opisanych zaleceń? Podaje info na temat błędu:

1)

AppName: rundll32.exe AppVer: 5.1.2600.2180 ModName: srrstr.dll

ModVer: 5.1.2600.2180 Offset: 000099b2

2)

AppName: rundll32.exe AppVer: 5.1.2600.2180 ModName: ntdll.dll

ModVer: 5.1.2600.2180 Offset: 00043345

Proszę o info.


(Bbieniol) #4

Rób wszystko dalej z ominięciem jak na razie tego kroku :slight_smile:

Złączono Posta : 29.08.2006 (Wto) 9:49

Sciągnij te dwie biblioteki:

:arrow: http://www.dll-files.com/dllindex/dll-files.shtml?ntdll

:arrow: http://www.driverskit.com/dll/srrstr.dll/3483.html

I wrzuć je do katalogu: *C:\WINDOWS\SYSTEM32*


(Adam_Z) #5

Te pliki znajdują się w katalogu system32. Mam je nadpisać?

Problem z trojanem niestety nadal występuje

Przy okazji podaje aktualne logi:


(Bbieniol) #6

Uruchamiasz narzędzie KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\SYSTEM32\winezn32.dll

Klikasz X i restart kompa

Usuwasz w hijacku ten wpis:

Podaj pełną lokalizację zarażonych plików :slight_smile:

Co do przywracania systemu, to:


(Adam_Z) #7

Chyba w końcu się udało. Bo od kilku chwil jestem w sieci i nic się nie pojawia. A wcześniej nawet podczas pisania post-a na forum miałem co najmniej dwa komunikaty o trojanie. Co do lokalizacji głównie pojawiał się plik winxx.tmp.exe (xx to numer lub litera) w katalogach:

C:\WINDOWS\TEMP

lub C:\Documents and Settings\user\Ustawienia Lokalne\Temporary Internet Files.

Muszę przyznać, że wczoraj jak badałem całą sprawę też myślałem, że może ona być wynikiem działania tego pliku winezn32.dll, jednak nie znałem tak wspaniałego narzędzia jakim jest KillBox, a po drugie ze względu na niewielkie doświadczenie wolałem skorzystać z forum. Dziękuję bardzo użytkownikowi Bieniol za pomoc i poświęcony czas. Z tego co widze (po ilości postów) masz duże doświadczenie w tym zakresie. WIELKIE DZIĘKI !!

Loga nie zamieszczam ponieważ różni się on jedynie brakiem wpisu 020 ziwązanego z wyżej wymienionym plikiem. Chyba, że ktoś bardzo chce to prosze o informacje.

Jeszcze co do niedziałającej funkcji odzyskiwania systemu. Również na koncie administratora mam problem z uruchomieniem jej. Z plików wymienionych brakuje mi jedynie sr.mof (czy może być powodem nie działania?).

Proszę ewentualnie o uwagi jak usunąć pozostałości z działania trojana (o ile jakieś jeszcze zostały)

POZDRAWIAM i JESZCZE RAZ DZIĘKUJĘ


(Bbieniol) #8

Ciesze się, że wszystko wraca do normy :slight_smile:

W związku z tym:

:arrow: Wyczyść folder TEMP (w trybie awaryjnym), czyli Start --> uruchom --> cmd i wpisujesz:

oraz folder Temporary Internet Files:

Oraz folder:

C:\WINDOWS\ Temp

Co do funkcji przywracania systemu, to spróbuj nadpisać te dwie w/w biblioteki i spróbować :slight_smile:


(Adam_Z) #9

Wszystko udało się usunąć z wymienionych katalogów. Poza index.dat znajdującym się w .../Temporary Internet Files.

Nie jestem pewny czy potraktować go KillBox-em czy już zostawić?

Jeśli chodzi o odzyskiwanie to chyba jakiś głębszy problem i podmiana plików nic nie daje. Nie da się w ogóle podmienić tego pliku ntdll.dll.

Myślę, że to raczej temat do innego działu forum, tak więc uznaje temat post-a za zamknięty.

Proszę jedynie o informacje w sprawie tego pliku index.dat


(Bbieniol) #10

Ten plik możesz spokojnie zostawić :slight_smile:

Pozdrawiam :slight_smile: