Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Win32/Ponmocup.aa

rafciospox

Przez rafciospox
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

rafciospox

rafciospox

Opublikowano
Opublikowano

Witam,

proszę o pomoc w usunięciu infekcji, dostałem komunikat od ESET NOD32 o treści: "Skaner przy uruchamianiu, Pamięć operacyjna » rundll32.exe(1684), Win32/Ponmocup.AA, koń trojański nie można wyleczyć". Czytałem sporo postów, próbowałem uruchomić program Combofix, jednak trwało to dobre 40min gdy pojawił sie niebieski ekran i żadnych 50 etapów nie widziałem, więc zrezygnowałem (może źle). Więcej już nie kombinowałem, przesyłam pliki z logami. Serdecznie dziękuje za pomoc.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W logu brak oznak infekcji. Nie widzę innego wyjaśnienia niż to, że ComboFix usuwał tę infekcję:

 

 

Czytałem sporo postów, próbowałem uruchomić program Combofix, jednak trwało to dobre 40min gdy pojawił sie niebieski ekran i żadnych 50 etapów nie widziałem, więc zrezygnowałem (może źle).

 

Poszukaj raportu do prezentacji (C:\ComboFix.txt).

 

 

 

.

Odnośnik do komentarza
rafciospox

rafciospox

Opublikowano
  • Autor
Opublikowano

Niestety nie utworzył się żaden plik o takiej nazwie. Już nie raz używałem Combofix i wiem, że powinien utworzyć log jednak teraz tego nie zrobił. Być może gdy zawiesił się za pierwszym razem, nie wszystko zostało w pełni wykonane. To prawda od paru restartów nie pokazuje mi Eset informacji o trojanie, więc może jest po prostu tak jak mówisz.

Jeszcze raz dziękuje za pomoc.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zakończ temat:

 

1. Posprzątaj odpadki po używanych programach oraz wyczyść foldery Temp. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - [2011-06-26 07:45:56 | 000,256,000 | R--- | M] () [Auto | Stopped] -- C:\ComboFix\pev.3XE -- (PEVSystemStart)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
[2012-11-15 14:34:17 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012-11-15 14:34:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Dyrektor\Dane aplikacji\Malwarebytes
[2012-11-15 14:34:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes
[2012-11-15 14:06:51 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\PC Tools
[2012-11-15 13:46:44 | 000,000,000 | ---D | C] -- C:\sh4ldr
[2012-11-15 13:46:44 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[2012-11-15 11:15:54 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy
[2012-11-15 11:15:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
[2012-11-15 11:01:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Dyrektor\Dane aplikacji\DriverCure
[2012-11-15 11:01:22 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Dyrektor\Dane aplikacji\SpeedyPC Software
[2012-11-15 11:01:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\SpeedyPC Software
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\Dyrektor\Pulpit\ComboFix.exe" /uninstall

 

Po jej ukończeniu w OTL uruchom Sprzątanie. Prtzez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu masz zainstalowane obecnie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)
"STANDARDR" = Microsoft Office Standard 2007

 

Czyli: odinstaluj wszystkie wtyczki Adobe i zastąp najnowszymi wersjami, zaktualizuj Firefox oraz zainstaluj pakiet SP1 dla Office 2007.

 

 

 

PS. Widzę zainstalowane Nowe Gadu-Gadu. Polecam alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...