Podwójny proces roundll32.exe

adam.lbn · 5 Październik 2009 07:43

Witam

Proszę o pomoc.

Podczas startu komputera uruchamiają mi się Moje dokumenty, do tego jest podwójny proces roundll32.exe i aż sześć procesów svchost.exe. Kiedy zamykam komputer proces roundll32.exe nie chce się sam zamknąć (zakończ teraz).

HijackThis - http://wklejto.pl/43725

Z góry dzięki

jessica · 5 Październik 2009 08:14

Ściągnij >ComboFix , ale nie uruchamiaj, tylko:

Podepnij pendrive i

Wklej do Notatnika :

File::

C:\DOCUME~1\ANONYM~1\USTAWI~1\Temp\45535xxx.dll


Folder::

C:\DOCUME~1\ANONYM~1\USTAWI~1\Temp


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 

"AppInit_DLLs"=-

"AppInit_DLLs"=""

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"hivew"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"wsctf.exe"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=-

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–> [

Rozpocznie się usuwanie i powstanie log.

EDIT: w związku z postem poniżej od @ Dyzio23

Tego nie musisz fiksować, bo ja to już podałam w swoim Scripcie do ComboFixa. To podałam w innej postaci, ale chodzi o to samo. @Dyzio23 powinien zwrócić na to uwagę, chyba, że się nie zna na kluczach Rejestru.

jessi

Dyzio23 · 5 Październik 2009 08:20

Zafiksuj linię 53. O4 - HKCU…\Run: [hivew] C:\WINDOWS\system32\rundll32.exe C:\DOCUME~1\ANONYM~1\USTAWI~1\Temp\1449953554don.dll,Set1

adam.lbn · 5 Październik 2009 09:20

ComboFix - http://wklejto.pl/43726

Dzieki

jessica · 5 Październik 2009 09:39

Ależ dużo było szkodników w tym folderze TEMP! Były tam też prawidłowe pliki, ale ich usunięcie nie ma znaczenia, bo były to pliki tymczasowe. Ważne, że usunięte zostały podobne do tego “907285936.exe”.

Teraz powinno być już czysto.

Możesz jeszcze użyć >MBAM
Usuń ręcznie folder C:** Qoobox**.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

Usuń ręcznie wszystkie FOUNDY, podobne do tego powyższego - są zbędne, więc po co mają zajmować miejsce na dysku.

jessi