Witam.
Otóż, co jakieś 30min. Avast informuje mnie o znalezieniu trojana.
Oto log: http://wklej.org/id/70cd410b34
Z góry dzięki za pomoc.
wpisy
O2 - BHO: (no name) - {2423041F-8B96-4280-95DC-709250944B8D} - C:\WINDOWS\system32\pmnmljg.dll
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA SIECIOWA')
O20 - Winlogon Notify: pmnmljg - C:\WINDOWS\SYSTEM32\pmnmljg.dll
O20 - Winlogon Notify: winmmt32 - C:\WINDOWS\SYSTEM32\winmmt32.dll
usuń HijackThisem >> Fix checked pobierz Combofix http://www.searchengines.pl/index.php?showtopic=86306&st=0&p=395642entry395642otwórz notatnik i wklej
File::
C:\WINDOWS\SYSTEM32\pmnmljg.dll
C:\WINDOWS\SYSTEM32\winmmt32.dll
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
na pytanie “1 or 2” - to wpisz 1 i naciśnij ENTER
Powinno rozpocząć się usuwanie
Potem log z usuwania
Niestety miałem problemy z ComboFix. Prawdopodobnie dlatego, że nie przeczytałem Instrukcji Obsługi na forum. Zrobiłem tak jak mi kazałeś, lecz podczas usuwania miałem włączone programy i nie wyskoczyło mi żadne zapytanie z wyborem ‘1 or 2’ tylko jakieś dwie informacje w których było do wyboru “Tak lub nie”, wszędzie dałem Tak bo nie wiedziałem o co chodzi. Komputer po usunięciu się zrestartował a jak sie uruchomił to nie pojawił się log i nawet internet (radiowy) nie chciał działać, dopiero po kolejnym restarcie.
Dam log z HJ: http://wklej.org/id/0af999334d
Log jest zlokalizowany na dysku w postaci pliku C:\ComboFix.txt:
Jeśli nie będzie powtórz to samo jeszcze raz według instrukcji
otwórz notatnik i wklej
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmmt32]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nTrayFw]
zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart
powstanie plik o takiej ikonie[
w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart potem usuń ten wpis
O20 - Winlogon Notify: winmmt32 - winmmt32.dll (file missing)
](http://www.fotosik.pl/showFullSize.php?id=062aec4c9b51c033)
Co to jest C:_@11E.tmp
wpisy
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'USŁUGA SIECIOWA')
usuń HijackThis a wpis
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
są to dodatkowe opcje w menu prawokliku w IE jeśli z tego nie korzystasz możesz również usunąć.
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'USŁUGA SIECIOWA')
dlaczego każesz usuwać mu te wisy?