problem z rundll.32
#1
Napisano 21 09 2006 - 21:01
#2
Napisano 21 09 2006 - 21:17
Plik rundll32.exe może być zarażony wirusem i wtedy trzeba go odtworzyć z kopii zapasowej lub płytki instalacyjnej. Przyjrzyjmy się jednak przypadkowi, gdy rundll32.exe jest nienaruszony a mimo to istnieje podejrzenie, że jest wykorzystywany przez wirusa. Ponieważ rundll32.exe potrafi uruchamiać inne programy (a właściwie funkcje z bibliotek), często jest wykorzystywany przez wirusy. Np. można spotkać w autostarcie plik rundll32.exe wywoływany z dwoma parametrami: biblioteką zawierającą wirusa i nazwą funkcji uruchamiającej wirusa. Tak uruchomiony wirus jest widoczny na liście procesów jako rundll32.exe co uspokaja użytkownika, który jest przeświadczony, że proces ten jako systemowy jest bezpieczny. Co więc zrobić, gdy widzimy rundll32.exe na liście procesów? Należy najpierw sprawdzić, czy rzeczywiście mamy do czynienia z plikiem systemowym Windows. Standardowo jest on w podkatalogu system32 w Windows z linii NT albo w System w starych Windows. Jeśli uruchomiony plik rundll32.exe pochodzi z innej ścieżki, należy podejrzewać, że jest to wirus. Jak sprawdzić ścieżkę? Najlepiej programem Process Explorer. Program ten pokaże też inną ważną rzecz: parametry uruchomienia. Dzięki temu możemy się dowiedzieć jaka biblioteka została załadowana i jaka funkcja uruchomiona. Jeśli dana biblioteka nie jest biblioteką systemową ani nie należy do zainstalowanego przez nas programu, prawdopodobnie jest to wirus. W celu upewnienia się należy skorzystać z Google. Jeśli stwierdzimy, że program rundll32.exe uruchomił wirusa, należy zabić jego proces a następnie skasować bibliotekę (DLL, CPL itp). Po usunięciu wirusa można skasować jego ewentualny wpis z autostartu.
a mama to z tad grzegorz.net
mam nadzieje ze pomoze
#3
Napisano 21 09 2006 - 21:19
#4
Napisano 21 09 2006 - 21:31
Scan saved at 21:29:06, on 2006-09-21
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Programy\Łopera\Opera.exe
C:\Documents and Settings\dawido\Pulpit\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O1 - Hosts: 72.36.156.164 us.a2.yimg.com
O1 - Hosts: 72.36.156.164 servedby.advertising.com
O1 - Hosts: 72.36.156.164 cdn.eyewonder.com
O1 - Hosts: 72.36.156.164 gfx.klipmart.com
O1 - Hosts: 72.36.156.164 a.tribalfusion.com
O1 - Hosts: 72.36.156.164 mediamgr.ugo.com
O1 - Hosts: 72.36.156.164 content.yieldmanager.com
O1 - Hosts: 72.36.156.164 ads1.revenue.net
O1 - Hosts: 72.36.156.164 view.atdmt.com
O1 - Hosts: 72.36.156.164 us.a1.yimg.com
O1 - Hosts: 72.36.156.164 us.a2.yimg.com
O1 - Hosts: 72.36.156.164 ad.n2434.doubleclick.net
O1 - Hosts: 72.36.156.164 n3349ad.doubleclick.net
O1 - Hosts: 72.36.156.164 altfarm.mediaplex.com
O1 - Hosts: 72.36.156.164 ad.doubleclick.net
O1 - Hosts: 72.36.156.164 z1.adserver.com
O1 - Hosts: 72.36.156.164 ar.atwola.com
O1 - Hosts: 72.36.156.164 ar1.atwola.com
O1 - Hosts: 72.36.156.164 disney.go.com
O1 - Hosts: 72.36.156.164 familyfun.go.com
O1 - Hosts: 72.36.156.164 dist.belnk.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSSoundMan] C:\WINDOWS\System32\SoundMan.exe
O4 - HKLM\..\Run: [SiSSetCDfmt] C:\WINDOWS\System32\SetCDfmt.exe
O4 - HKLM\..\Run: [KAVPersonal50] "D:\Programy\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AntiVirus Update Scheduler V2.14C] "C:\WINDOWS\System32\winsock32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - D:\Programy\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NBService - Nero AG - D:\Programy\NERo 7\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: Stealth Service Helper (StealthInjectorService) - Softwareentwicklung Remus - C:\Program Files\ArchiCrypt Stealth 4\IJStealth4Svc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe
#6
Napisano 21 09 2006 - 22:11
podejrzane wpisy w pliku hosts, jesli mają służyć blokowaniu reklam to IP powinno być loopem do kompaO1 - Hosts: 72.36.156.164 us.a2.yimg.com
O1 - Hosts: 72.36.156.164 servedby.advertising.com
O1 - Hosts: 72.36.156.164 cdn.eyewonder.com
O1 - Hosts: 72.36.156.164 gfx.klipmart.com
O1 - Hosts: 72.36.156.164 a.tribalfusion.com
O1 - Hosts: 72.36.156.164 mediamgr.ugo.com
O1 - Hosts: 72.36.156.164 content.yieldmanager.com
O1 - Hosts: 72.36.156.164 ads1.revenue.net
O1 - Hosts: 72.36.156.164 view.atdmt.com
O1 - Hosts: 72.36.156.164 us.a1.yimg.com
O1 - Hosts: 72.36.156.164 us.a2.yimg.com
O1 - Hosts: 72.36.156.164 ad.n2434.doubleclick.net
O1 - Hosts: 72.36.156.164 n3349ad.doubleclick.net
O1 - Hosts: 72.36.156.164 altfarm.mediaplex.com
O1 - Hosts: 72.36.156.164 ad.doubleclick.net
O1 - Hosts: 72.36.156.164 z1.adserver.com
O1 - Hosts: 72.36.156.164 ar.atwola.com
O1 - Hosts: 72.36.156.164 ar1.atwola.com
O1 - Hosts: 72.36.156.164 disney.go.com
O1 - Hosts: 72.36.156.164 familyfun.go.com
O1 - Hosts: 72.36.156.164 dist.belnk.com
instalowałeś Spyware Doctora ? Jest sporo programów udających aplikacje antyspyware'owe...C:\Program Files\Spyware Doctor\sdhelp.exe
kolejny wpis DoktorkaO2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
kolejny wpis DoktorkaO2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
j.w.O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
pozostałości adware'u do usunięciaO9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\PartyGaming\PartyPoker\RunApp.exe (file missing)
Biblioteka iesdsg.dll będąca składnikiem Spyware Doctora może powodować problemy z exploratorem i IE, opinie na temat programu z witryny PC Tools są różne... dla świętego spokoju zaznacz w hijakthis wszystkie wpisy Doktorka, dwa odnośniki do poker.com i wpisy z pliku hosts i po zaznaczeniu daj "fix". Jako Aplikacji do wykrywania adware'u używaj sprawdzonego tandemu AdAware i SpyBot Search&Destroy. Przeskanuj nimi kompa i zobacz czy nie wykryją jeszcze jakichś śmieci.
Możesz włączyć panel sterowania albo opcje internetowe w IE? W SpyBot w razie potrzeby masz możliwość ustawienia strony startowej. Jeśli będą problemy z otwieraniem panelu sterowania, menadżera zadań, edytora rejestru o trzeba będzie bardziej pogrzebać, pomocny może być także CWShredder.
Użytkownicy przeglądający ten temat: 1
0 użytkowników, 1 gości, 0 anonimowych