Problem z wirusami:Win32/Aware.When U Save Now i .../PrcView


(Wolfik3) #1

Panowie,czy ktokolwiek z Was spotkal sie z w/w w temacie wirami? Mam problem z nimi, od dluzszego czasu siedza w moim kompie, o ich istnieniu powiadamia mnie NOD32 w trakcie pelnego skanowania. Probowalem juz przeroznych programow min. te ktore sa polecane przez Was na forum i dalej nic. Nie mam pojecia jak sie ich pozbyc, bede wdzieczy za jakiekolwiek porady.

...moj log wg Hijackthis jest wg mnie ok,

pozdrawiam


(Michael89) #2

wrzuc loga z hijacka sprawdzimy czy jest ok


(Arek F.) #3

Log z SilentRunners też się przyda


(Wolfik3) #4

Złączono Posta : 15.08.2006 (Wto) 22:41


(system) #5

log z HiJackThis jest OK, wywal IE, odpal Operę lub Firefoxa, jakimi antywirami skanowałes?


(Wolfik3) #6

IE jest odlaczony juz dosc dlugo,mam nadzieje ze zrobilem to ok (w ramach upewnienia prosze o instrukcje:) ),aktualnie chodzi mi firefox i maxthon(ale rzadko), skanowalem NOD-em 32 i on mi wyswietla komunikaty o tych wirach AVG nic nie widzi, a zainfekowane pliki sa w mieszczone w dosc dziwnej lokalizacji bo: c:/system volume information/.......win32/aware.WhenU. SaveNow


(Myszonus) #7

Usuwanie trojana Vundo. - zastosuj się. Daj nowe logi.


(Wolfik3) #8

W jaki sposob mam sie zastosowac do tego co naisales,skoro podczas uruchomienia VundoFix-a musze mu podac ścieżkę dostępu do pliku który w HijackThis pokazał się w identyfikatorze O2 - BHO, a u mnie w logu z HijacThis-a nie ma takiego wpisu,zatem cala operacja zastosowania sie do usuniecia ....Vundo pali na panewce od samego poczatku.Poprostu u mnie w logo nie ma takiego wpisu


(adam9870) #9

A gdzie u niego widzisz tego trojana ? :o

On się charakteryzuje wpisem O2 oraz O20 a w logu nie widać żadnego z nich.

radecki77 Nie masz Vundo - zostaw tą instrukcję.


(Wolfik3) #10

jedynie co mi pokazuje Silent Runners to cztery zainfekowane pliki: "igfxsrvc.dll", "pmunl.dll", "Wgalogon.dll", "winibifi32.dll" oraz INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

-> {HKLM...CLSID} = (no title provided). Nie mam tylko pojecia czy sa to pliki majace cos wsplnego z w/w w temacie wirusami oraz jakiego typu sa to smieci i jak sie ich pozbyc? Prosze kogokolwiek o w miare zetelna porade.

pozdrawiam


(Danielm86) #11

jest instalowany dobrowolnie. Dołączony jest do niektórych programów lub skórek ze Style XP. Najlepiej usunąć w trybie awaryjnym. Przeskanuj SpyBot Search & Destroy i Avastem. W normalnym trybie pliki są w pamieci


(Wolfik3) #12

...zatem jak mam sie odniesc do ostrzezen w Silent Runner o czterech zainfekowanych plikach?Z tego co wiem to Silent Runner jest dokladniejszy od Hij..., a chwilowo nikt sie nie ustosunkowal co do tych czterech plikow z Silent Runnera, NOD32 ciagle krzyczy o tym wirusie jaki jest w/w temacie, zrobie skany w trybie awaryjnym Spybot-Search & Destroy,zobaczymy co dalej. 8)


(Myszonus) #13

pmnnl\DLLName = "C:\WINDOWS\system32\pmnnl.dll"


(Wolfik3) #14

..a co z reszta :igfxsrvc.dll , wgaLogon.dll, winbifi.32dll co z nimi ?co to za smieci i jakiego typu?ale cos naprawde sie dzieje bo sam IE mi sie uruchamia z jakims badziewiem.jestes pewnien ze to Vundo ?

Złączono Posta : 16.08.2006 (Sro) 17:34


(Myszonus) #15

te 2 są ok.

Co do

Otwórz notatnik i wklej :

Plik --> zapisz jako --> zmień rozszerzenie z .txt na wszystkie pliki --> zapisz pod nazwą FIX.REG i uruchom w awaryjnym.

Masz AVG i Noda ? to wywal jeden. I uważnie korzystaj z zasobów netu :wink:


(Wolfik3) #16

ponizej przedstawim jeszcze raz logi,jesli mozesz to spojrz na nie jeszcze raz

i podziel sie wrazeniami,mam nadzieje ze all jest ok.

zrobilem all jak kazales tyle ze teraz to hijackkthis pokazuje wpis z Vundo,ale VundoFix nic nie wykazuje.

pozdrawiam serdecznie 8)


(Myszonus) #17

Skasuj Hijackiem.


(Wolfik3) #18

ok,zrobilem jak kazales

teraz all ok?mam nadzieje ze po wszystkim,jeszcze raz wielkie dzieki za przysluge, :lol:

p.s: w jaki sposob mozna posiasc taka wiedze na temat wirow... :smiley:

pozdrawiam

Złączono Posta : 17.08.2006 (Czw) 8:25

...cos mi dalej NOD32 wywala komunikat o infekcji prog. Win32/PrcView,co to moze byc?

Złączono Posta : 17.08.2006 (Czw) 8:48

... ciagle to samo:

C:\System Volume Information\_restore{37D33619-F280-4C12-ABE8-150D572E846E}\RP244\A0328591.exe »NSIS »SetupInst.exe - Win32/Adware.WhenU.SaveNow Program

oraz jak juz wspomnialem rowniez Win32/PrcView.co mam z tym dziadostwem dalej zrobic i jak sie pozbyc?


(Myszonus) #19

Ten folder _restore jest od przywracania systemu - wyłącz je a wszystkie pliki od punktów zostaną usunięte. Potem możesz włączyć przywracanie,


(Gutek) #20

Użyj VundoFix.zip i daj nowy log z Silenta