Samoczynne usunięcie z dysku pliku rundll.exe i innych exe

Witam! Dziś rano włączjąc komputer zaobserwowałem kilka niepokojacych rzeczy mianowicie, wiele programów przestało działać ( firefox, world of warcraft, c&c itp.) w niektórych folderach programów brakuje plików .exe, które wcześniej tam były i te programy również nie działają bądź działaja nie poprawnie ( Nie mam pliku exe np. do jetaudio), Przy starcie systemu w ogóle działy się jakieś cuda typu niebyło startu, albo przy zegarze nie było tej strzałki do rozwijania listy uruchomionych programów tylko pusty kwadrat :|…z firefoxem jest w ogóle jakoś dziwnie bo działa mi jako proces i zabiera nawet około 60000 K pamięci, ale już jako progam go nie ma ani fizycznie ani w menadżerze. Także posypał mi się cały system. Podejżewam jakiś wirus, miałem usunięty także plik rundll32.exe, którego nie dało się wyexpandować z niewiadomych przyczyn musiałem go ściągnąć z internetu. Przez jeden dzień (jeden!!) byłem bez Nortona ( miałem jedynie uruchomionego ad-aware) - skończyła mi się subskrycja, także jest duże prawdopodobieństwo, że to właśnie jakaś infekcja. Z tego względu bardzo proszę kogoś o sprawdzenie loga z hijacthis

http://www.wklejto.pl/70518

o i teraz doszła nowość - nie da się wejść w konta użytkowników. Ktoś mógłby mi podpowiedzieć jak i skąd odzyskać zakładki z firefoxa? bo w sumie na tym zalezy mi najbardziej.

vokus1 ,

Proszę zapoznać się z tematem TYTUŁOWANIE TEMATÓW DOTYCZĄCYCH LOGÓW i poprawić tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj przy poście otwierającym ten temat.

Zamieszczenie logów na forum - przeczytaj i zastosuj się do zaleceń.

Zignorowanie zaleceń będzie skutkowało usunięciem tematu do Kosza.

To mi wygląda niedobrze… No i w dodatku użyłeś nie tego narzędzia co trzeba - HJT jest stary i pokazuje za mało informacji, by przydał się do czegokolwiek.

Normalnie się powinno poprosić o logi OTL + GMER, ale ze względu na złą sytuację najlepiej będzie od razu w trybie awaryjnym puścić w ruch Combofix.

Jak nie pójdzie Combofix - lecisz skan z pozasystemowego, nagrywanego na płytkę OTLPE.

logi z OTL

http://www.wklejto.pl/70529

http://www.wklejto.pl/70530

postaram się niedługo wrzucić logi z GMER, ale jest problem z winrarem i nie moge rozpakować instalki ;] . Z trybem awaryjnym moze być problem bo mam win7 na drugim dysku i idzie odpalić awaryjny tylko dla niego…firefox niespodziewanie zaczął działać, tyle, że pasek adresu się nie zmienia niezależnie na jakiej stronie jestem, po włączeniu nie było kart/zakładek teraz są :expressionless: usuwanie programów też nie działa…Aktualnie mam już wgranego nortona i dodatkowo Immunet Protect ale mądry Polak po szkodzie…

Widać tutaj efekty twojego działania, ale plik rundll32.exe skopiowałeś do złej lokalizacji:

On powinien siedzieć w C:\WINDOWS\system32

Skopiuję go do właściwej lokalizacji za pomocą skryptu.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix i zatwierdź restart.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.

log po usuwaniu http://www.wklejto.pl/70577

log po restarcie http://www.wklejto.pl/70578 ( ten drugi extras już mi się nie utworzył :expressionless: )

combofix’a ściągnąłem i odpaliłem ale chyba nie udało mu się wiele zdziałać bo cały czas występował jakiś problem z plikami pev.exe i pev.cfxxe do tego cały czas jest jakiś komunikat, że coś jest z nie tak z PereSve.exe, a w procesach podczas działania combofix był dziwny proces catchme.exe :expressionless: …przy próbie skanowania gmerem komputer się zawiesza

Najwyraźniej nie wyłączyłeś któregoś ze strażników działających w tle (w logu OTL widać aktywngo Ad-Aware oraz Immunet Security) i one zakłócały pracę Combofixa. Natomiast GMER ma już częste tendencje do wywalania się.

W logach OTL natomiast nie widać niczego szkodliwego, ale w zastępstwie GMER-a użyj RootRepeal.

no niestety z rootrepeal jesto samo…skanuje przez 2 godziny, nie widać żadnego postepu, nie da się go wyłączyć.