Wirusy pojawiające sie co 30min


(Krzys92) #1

Witam.

Otóż, co jakieś 30min. Avast informuje mnie o znalezieniu trojana.

Oto log: http://wklej.org/id/70cd410b34

Z góry dzięki za pomoc.


(Leon$) #2

wpisy

O2 - BHO: (no name) - {2423041F-8B96-4280-95DC-709250944B8D} - C:\WINDOWS\system32\pmnmljg.dll

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA SIECIOWA')

O20 - Winlogon Notify: pmnmljg - C:\WINDOWS\SYSTEM32\pmnmljg.dll

O20 - Winlogon Notify: winmmt32 - C:\WINDOWS\SYSTEM32\winmmt32.dll

usuń HijackThisem >> Fix checked pobierz Combofix http://www.searchengines.pl/index.php?showtopic=86306&st=0&p=395642entry395642otwórz notatnik i wklej

File::

C:\WINDOWS\SYSTEM32\pmnmljg.dll

C:\WINDOWS\SYSTEM32\winmmt32.dll

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

na pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER

Powinno rozpocząć się usuwanie

Potem log z usuwania

:slight_smile:


(Krzys92) #3

Niestety miałem problemy z ComboFix. Prawdopodobnie dlatego, że nie przeczytałem Instrukcji Obsługi na forum. Zrobiłem tak jak mi kazałeś, lecz podczas usuwania miałem włączone programy i nie wyskoczyło mi żadne zapytanie z wyborem '1 or 2' tylko jakieś dwie informacje w których było do wyboru "Tak lub nie", wszędzie dałem Tak bo nie wiedziałem o co chodzi. Komputer po usunięciu się zrestartował a jak sie uruchomił to nie pojawił się log i nawet internet (radiowy) nie chciał działać, dopiero po kolejnym restarcie.

Dam log z HJ: http://wklej.org/id/0af999334d


(Leon$) #4

Log jest zlokalizowany na dysku w postaci pliku C:\ComboFix.txt:

Jeśli nie będzie powtórz to samo jeszcze raz według instrukcji

:slight_smile:


(Krzys92) #5

Oto log z ComboFix :smiley: http://wklej.org/id/44d79df4f6


(Leon$) #6

otwórz notatnik i wklej

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmmt32]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nTrayFw]

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restartb57f17008275c957m.jpgpowstanie plik o takiej ikonie[062aec4c9b51c033m.jpgw który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart potem usuń ten wpis

O20 - Winlogon Notify: winmmt32 - winmmt32.dll (file missing)

:slight_smile:

](http://www.fotosik.pl/showFullSize.php?id=062aec4c9b51c033)


(Gutek) #7

Co to jest C:_@11E.tmp


(Krzys92) #8

Log HJ po operacjach: http://wklej.org/id/1af05d3bb7


(Gutek) #9

Pobierz program SDFix

-


(Leon$) #10

wpisy

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'USŁUGA SIECIOWA')

usuń HijackThis a wpis

O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

są to dodatkowe opcje w menu prawokliku w IE jeśli z tego nie korzystasz możesz również usunąć.

:smiley:


(Gutek) #11
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'USŁUGA SIECIOWA')

dlaczego każesz usuwać mu te wisy?