sistem32\rundll32.exe

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Logfile of HijackThis v1.99.1
Scan saved at 9:43:40 AM, on 12/25/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\acs.exe
E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
E:\Program Files\Common Files\LightScribe\LSSrvc.exe
E:\WINDOWS\system32\PnkBstrA.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\svchost.exe
E:\Program Files\Unlocker\UnlockerAssistant.exe
E:\WINDOWS\ATK0100\HControl.exe
E:\WINDOWS\RTHDCPL.EXE
E:\WINDOWS\sm56hlpr.exe
E:\Program Files\Synaptics\SynTP\SynTPEnh.exe
E:\Program Files\ASUS\Splendid\ACMON.exe
E:\Program Files\Wireless Console 2\wcourier.exe
E:\Program Files\Atheros\ACU.exe
E:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
E:\Program Files\Winamp\winampa.exe
E:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
E:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
E:\Program Files\ASUS\Asus MultiFrame\MultiFrame.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
E:\WINDOWS\system32\ACEngSvr.exe
E:\WINDOWS\ATK0100\ATKOSD.exe
E:\Program Files\Common Files\Teleca Shared\Generic.exe
E:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Documents and Settings\Administrator\My Documents\New Folder\iii.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - E:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - E:\WINDOWS\AUTOLO~1\AL2DLL.dll
O4 - HKLM\..\Run: [UnlockerAssistant] E:\Program Files\Unlocker\UnlockerAssistant.exe -H
O4 - HKLM\..\Run: [HControl] E:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] E:\WINDOWS\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] E:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ACMON] E:\Program Files\ASUS\Splendid\ACMON.exe
O4 - HKLM\..\Run: [Wireless Console 2] E:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [ACU] "E:\Program Files\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "E:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [WinampAgent] "E:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NBKeyScan] "E:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "E:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [AVP] "E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] E:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - Startup: CCC.lnk = ?
O4 - Global Startup: MultiFrame.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{77907FCE-869A-4532-AC7B-BCC2111AB1DB}: NameServer = 195.66.160.1,195.66.160.2
O20 - Winlogon Notify: klogon - E:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - E:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: Atheros Configuration Service (ACS) - Atheros - E:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Unknown owner - E:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - E:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Windows Driver Foundation - User-mode Driver Framework (WudfSvc) - Unknown owner - hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,6b,00,20,00,57,00,75,00,64,00,66,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,47,00,72,00,6f,00,75,00,70,00,00,00 (file missing)

'Windows cannot find E:\windows\sistem32\rundll32.exe''... Poruka se javlja kod properties-a u control panelu(add/remove programs...). Ako neko moze da mi pomogne i kaze o cemu se radi bila bih mu zahvalna:-)
p.s. Racunar je skeniran i virusi su navodno obrisani..

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pozdrav, anaivana...



Ovako... Ovde postoje neki tragovi malware-a i to možemo jednostavno rešiti.
No, problem je što su očigledno neki sistemski file-ovi oštećeni/obrisani.
Kako je došlo do toga, teško je reći.
U svakom slučaju, to treba rešiti.

Za početak mi pošalji na proveru sledeći file:

E:\WINDOWS\AUTOLO~1\AL2DLL.dll

AUTOLO~1 - ovo je folder čiji naziv počinje sa ''Autolo'' i ima još neke dodatne karaktere (npr. mogao bi da se zove Autoloader, no to ćeš sama morati videti - verujem da ćeš se snaći).

Uploaduj taj file preko sledeće forme: http://www.mycity.rs/ambulanta-upload.php


-------------------------------------------------------------------------------------


Za sledeći korak će ti najverovatnije biti potreban Windows Setup CD:

Klikni Start - Run i ukucaj:

SFC /SCANNOW

i klikni OK.

Ovo gore će izvršiti skeniranje i verifikaciju sistemskih file-ova - ukoliko se utvrdi da je neki file oštećen/obrisan, pokušaće da kopira ispravnu kopiju i tada ćeš možda biti upitana za Windows CD.

Kada gornji proces bude završen, restartuj kompjuter, postavi svež HijackThis log i reci mi da li se još uvek ispoljava problem sa rundll32.exe file-om.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uploadovala sam AL2DLL.dll. Sad cu da predjem i na drugi korak...
dr. Boro ... hvala! :-)

Dopuna: 24 Dec 2007 13:49

Ne moze da se pokrene skeniranje sa -SFC /SCANNOW...
Pokusala sam vise puta... ali koliko ja mogu de vidim skeniranje sistemskih fajlova nije pokrenuto. Dal postoji jos neki nacin?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Mogla bi da uradiš Repair (instalaciju) Windowsa.

Teoretski bi mogli i da ''ručno'' zamenimo jedan ili dva file koji su obrisani.
Ovo bi bilo brzo rešenje, no ne i 100% kompletno (pitanje je da li su još neki file-ovi oštećeni/obrisani).

Odluka je na tebi...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Pa ja sam za ovo 'brzo' resenje pa ako ne uspije ...onda da idem na Repair Windowsa...
Nadam se da cemo uspjeti ovako.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Uloguj se preko Facebooka da bi skinuo fajl:

OK... Skini zip file sa [url=https://www.mycity.rs/must-login.png linka[/url].
Raspakuj ga i iskopiraj file-ove koji se nalaze u njemu u folder:
E:\windows\system32\

Ukoliko neki od file-ova već bude postojao, bićeš upitana da li želiš da file bude zamenjen - odgovori No.


Javi kad to odradiš i kakvo je sada stanje.
Takođe, napiši da li ti je poznat program: FineArt IE AutoLogin.

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Kao prvo htjela bih da se zahvalim na pomoci(kad ovako brzo reagujete trazicu je ja opet ). Doktore uspjela sam ovim brzim nacinom
Sto se tice programa FineArt IE AutoLogin meni nije poznat ( racunar nije moj).... Predpostavljam da pitas zbog-> E:\WINDOWS\AUTOLO~1\AL2DLL.dll ... dal ja smijem to izbrisati ili kako vec?

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Ne mora se brisati (čini se da je legitiman).

Uradi samo sledeće: pokreni HT, skeniraj i čekiraj liniju:

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - E:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)

Klikni Fix Checked.



Iskljucivanje System Restore-a

Na Desktopu, desni klik na My Computer.
Odaberite Properties.
Odaberite System Restore tab.
Stiklirajte Turn off System Restore.
Kliknite na dugme Apply.
Kliknite na dugme OK.


Restartuj kompjuter.


Ukljucivanje System Restore-a

Na Desktopu, desni klik na My Computer.
Odaberite Properties.
Odaberite System Restore tab.
Destiklirajte Turn off System Restore.
Kliknite na dugme Apply.
Kliknite na dugme OK.


To bi bilo sve...

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Nijesam valjda slijepa pored ociju ja tab
System Restore( a kamo li Turn off System Restore)

• 0Niko još nije pohvalio poruku.
  Registruj se da bi pohvalio/la poruku!

Control Panel - System: System Restore tab...

Našla?