Problem z Rundll32. Pytanie o ComboFix.

[tytv]

Witam. Jestem nowym użytkownikiem, i zanim zostanę zbanowany za to, że nie doczytałem, że być może taki post już był, może uda mi sie znaleźć odpowiedź na nurtujący mnie problem. Otóż podczas wyłączania komputera pojawia mi się komunikat o zamykaniu programu rundll32.exe ( http://img715.imageshack.us/img715/1060/rundll32.jpg ). Próbowałem reinstalować system, nawet dwukrotnie (sic!), jednak każdorazwo po formacie problem po około dwóch tygodniach pojawiał się znowu. I w tym momencie ktoś powiedział mi o programie ComboFix. Zaintereoswałem sie tematam, ale doczytałem ostrzeżenie, że bez odpowiedniej wiedzy używanie tego programu może spowodować, że komputer wybuchnie. Jestem przeciętnym użytkownikiem komputera i tu właśnie kieruje pytanie, czy Combofix jest rozwiązaniem problemu ? Jeśli tak to czy mógłby ktoś mi pomóc w jaki sposób przeprowadzić ten zabieg ? Z góry dziękuję i czekam na odpowiedź.

[mateo8898]

Na pewno ComboFix nie jest dobrym rozwiązaniem, gdyż po pierwsze jest to silnie ingerujące w system narzędzie, którego używa się tylko w przypadku ciężkich infekcji i tylko wtedy, gdy jesteśmy o to proszeni na forum. A po drugie nie wiadomo, czy to w ogóle wina infekcji, ale możesz wrzucić logi z OTL i GMER to ją wtedy ewentualnie wykluczymy.

[tytv]

Witam. Przepraszam za moją drugą absencję. A więc wygląda to tak: http://img530.imageshack.us/img530/4866/logie.jpg Co teraz zrobić z tym fantem ?

[mateo8898]

Zapomniałeś jeszcze o logu z OTL.

Logi wklejaj na http://wklej.eu/ i podaj do nich tylko link.

[tytv]

http://wklej.eu/index.php?id=b80a0371f5

http://wklej.eu/index.php?id=e98904088e

Dobrze to zrobiłem ?

[mateo8898]

Dobrze

Pobierz ten plik http://www.dlldump.com/download-dll-fil ... nload.html i wrzuć do folderu C:\WINDOWS\System32

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
O4 - HKLM..\Run: [ComSpec Service (x86)] C:\Documents and Settings\z\Ustawienia lokalne\Temp\ComSpc32.dll ()

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBAgent"=-
"WinampAgent"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[tytv]

A więc tak: wkleiłem ten podany skrypt i zrobiłęm tak jak trzeba. Tylko nie zaznaczałem tych opcji, które są podane w instrukcji do programu (Użyj filtrowiania itp.). Czuje sie jak haker Komputer uruchomił sie ponownie (rundll32 sie pojawił) i pojawił sie poniższy log:
http://wklej.eu/index.php?id=bbbf39fe6b

Następnie zrobiłem skanowanie w OTL'u (tym razem zaznaczyłem te opcje) i pojawiło się:
http://wklej.eu/index.php?id=ade5298659
http://wklej.eu/index.php?id=772fbc13a1

Co dalej ?

[mateo8898]

Więcej nic tutaj nie widzę. Jeszcze tylko kroki końcowe.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Odinstaluj także tą archaiczną wersję czytnika PDF:

Adobe Reader 6.0.2 CE

i zainstaluj najnowszą jego wersję http://www.instalki.pl/programy/downloa ... eader.html

[tytv]

Nie pojawia się! Działa ! Jesteśmy goście A jest możliwośc, że ten problem może wrócić ? To był jakiś wirus ? Np. przenoszony drogą pamięci przenośnych ? I dlaczego odinstalowywać starego Adoba ? On troszkę archaiczny jest to fakt, ale to ostatni z prostych Adobów, bez zbędnych funkcji.

[mateo8898]

Tak, to była infekcja. Raczej nie przenoszona przez pamięci przenośne, gdyż byłyby także inne jej ślady w logu. A czy powróci, to zależy, czy ponownie np. nie pobierzesz skądś zainfekowanego pliku. Możliwe, że z jakąś aplikacją sam sobie go podawałeś skoro piszesz, że robiłeś formata i po dwóch tygodniach problem wracał.

I dlaczego odinstalowywać starego Adoba ? On troszkę archaiczny jest to fakt, ale to ostatni z prostych Adobów, bez zbędnych funkcji.

Bo jest stary i dziurawy, przez co podatny na infekcje. Możesz także skorzystać z jakiejś alternatywy, np. Foxit Reader http://www.instalki.pl/programy/downloa ... eader.html

[tytv]

Dziękuje pięknie za pomoc. Gdyby ta przypadłosc sie zjowu pojawiła powtórzyć ten sam zabieg ? A z starym Adobem postaram sie coś zrobić.

[mateo8898]

Gdyby ta przypadłosc sie zjowu pojawiła powtórzyć ten sam zabieg ?

Podaj wtedy nowe logi z OTL, to podam odpowiedni skrypt, bo nie wiadomo czy będzie taki sam.