Win32.HLLO.Mip ? Rundii32.exe powraca

PatrykWK · 28 Styczeń 2009 12:34

Witam,

Więc tak Z komputerem walcze od jakiegos półtora tygodnia. Na początku byłem bez żadnych zabezpieczeń, aż zaczęły wyskakiwać mi różne okienka (tylko w przeglądarkach, linki typu http://www.oht2u6o2uh.com/oeqtqbotb/setup_315_03.exe itp itd, pozniej falszywe skanery antivirusowe online), a komputer chodził jakby chciał a nie mógł. Zainstalowałem ESET SMART SECURITY, PC Tools Spyware Doctor i Malwarebytes’ Anti-Malware. Po interwencji tych programow wszystko wrocilo do normy, a z podziwu dla nich zostawilem je nawet na dysku Do dnia dzisiejszego komputer chodzi jak nowy, lecz wczoraj pokazal mi sie błąd (takie okienko jak przewaznie wyskakuje podczas bledu jakiegos programu, ze wyslij raport do microsoftu itp.) procesu ‘rundii32.exe’. Proces systemowy to bodajze rundll32.exe, wiec wydalo mi sie to podejrzane. Na stronie PC World’a znalazlem krotka informacje o tym wirusie [?], link: http://www.pcworld.pl/news/55533/Win32. … s.VB6.html . Przestraszył mnie ten kawałek:

Nie ukrywam, że w chwili obecnej komputer jest mi bardzo potrzebny, a taki ‘niezapowiedziany format’ jest mi bardzo nie na rękę

Przeskanowałem dzisiaj na nowo system ESS’em i znalazł 85 infekcji, 13 poddał kwarantannie (przynajmniej tak pisało :roll:).

Log z HijackThis’a podczas normalnej pracy komputera: http://wklej.org/id/45738/

Log z ComboFix’a robiony podczas gdy system był w trybie diagnostycznym (tylko podstawowe narzędzia i usługi): http://wklej.org/id/45737/

Proszę o sprawdzenie logów. Z góry dziękuję

huber2t · 28 Styczeń 2009 12:40

Podaj logi z ukośnikami

PatrykWK · 28 Styczeń 2009 13:49

Już edytowałem. Są z ukośnikami.

jessica · 28 Styczeń 2009 14:18

Masz MBAM, więc go użyj do usunięcia wirusa - on podobno to potrafi usunąć.

Poza tym masz infekcję VUNDO, więc potem:

CFScript

Wklej do Notatnika :

File::

c:\windows\system32\hgGWpmJy.dll

C:\1818061424

c:\windows\system32\pmnmliiJ.dll

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

ZMBAM też daj raport.

jessi

PatrykWK · 28 Styczeń 2009 16:19

http://wklej.org/id/45840/ - log z ComboFix’a

http://wklej.org/id/45842/ - log z MBAM’a

huber2t · 28 Styczeń 2009 16:33

Usuń ten plik:

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

PatrykWK · 28 Styczeń 2009 21:02

http://wklej.org/id/166633/ - raport z kaspersky’ego

Troche długo skanował, ale podane pliki usunąłem. Swoją drogą ciekaw jestem co jeszcze mi jakiś inny skaner znajdzie

Dziękuję za pomoc

huber2t · 28 Styczeń 2009 21:13

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\Master\Pulpit\Pulpit\NITP1.0.2\NITP1.0.2\Installer.exe

C:\Documents and Settings\Master\Pulpit\Pulpit\NITP1.0.2.rar

C:\Dodatki_do_sony_vegasa.rar

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt