Błąd RUNDLL


(Szczepi0804) #1

Kilka razy pojawił mi się komunikat(błąd), że RUNDLL nie może zostać uruchomiony czy coś, nie pamiętam treści, był coś o RUNDLL, wszystko w porządku z moim logiem? Jak nie to powiedźcie co mam zrobić :slight_smile:


(adam9870) #2

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługę Remote Process Manager.

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\System32\rqropqr.dll

C:\WINDOWS\system32\spoolvc.exe

Po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Usuń wpisy HJT.

Użyj narzędzi przeciwko trojanowi Vundo:

http://unicorn.ksiezyc.pl/WWW/instrukcje/vundo.html

Po wykonaniu pokaż nowy log z hjt, SilentRunners, log numer 1 z L2Mfix oraz zawartość pliku c:\vundofix.txt.


(Szczepi0804) #3

SilentRunners

Po rozpakowaniu l2mfix jest sporo plików, który mam uruchomić, aby uzyskać log nr 1? :slight_smile: A jeśli chodzi o zawartość tego pliku, to gdzie on dokładnie się znajduje? Bezpośrednio w C na pewno go nie ma, w Windows/system, system32 też nie. :? A jeśli chodzi o narzędzie przeciwko trojanowi Vundo to link mi się nie uruchamia. 3 pierwsze polecenia wykonałem bez problemu :stuck_out_tongue:


(Gutek) #4

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

usuń wpis HJT, a folder i plik ręcznie

Skan AVG Anti-Spyware 7.5 po update :wink:

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź >>> reset kompa

I daj log z L2Mfix - http://cybertrash.pl/images/tata/L2MFIX.html


(Szczepi0804) #5


(adam9870) #6

Szkoda, że nie wkleiłeś nowego loga z silenta ale po logu z l2mfix widzę, że wartości w rejestrze w Winlogon Notify w dalszym ciągu są, a pliki od nich nie były kasowane dlatego podaję kompletną instrukcję usuwania. Zatem pobierz Gmer'a.

Teraz czynności będziesz wykonywał w Gmerze więc uruchom go, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych.

  • W zakładce CMD z zaznaczoną opcją CMD.EXE wklej:

  • W zakładce CMD z zaznaczoną opcją REGEDIT.EXE wklej:

  • W zakładce Procesy wybierz Zabij wszystko. Teraz poczekaj cierpliwie aż zniknie pulpit etc. - zostanie tylko okienko Gmer'a.

  • Wróc do zakładki CMD i kliknij Uruchom. Najpierw przy zaznaczonej opcji CMD.EXE , a potem przy zaznaczonej opcji REGEDIT.EXE.

Teraz reset i pokaż komplet nowych logów: hijack, silent, log numer 1 z l2mfix.


(Szczepi0804) #7

Zrobiłem wszystko krok po kroku, jednak przy zaznaczonej opcji CMD.EXE po kliknięciu Uruchom w dolnym okienku log pojawiły się jakieś błędy (nieprawidłowy plik itp.), opcja REGEDIT.EXE została pomyślnie dodana do rejestru. Po restarcie na pulpicie pojawił mi się błąd:

Wystąpił błąd podczas ładowania C: Windows\System32\lckrxcpx.dll

Nie można odnaleźć określonego modułu.

HJT

Silent

L2mfix


(Kuz5) #8

Nie zastosowałeś usuwania Vundo

Usuń:

Plik usuń programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:(z tego co piszesz tobędzie ona wyglądać tak)

C:\WINDOWS\System32**** lckrxcpx.dll

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

I to samo zrób ze ścieżką:

C:\WINDOWS\System32**** awtsq.dll

Start do z Konsoli Odzyskiwania CD XP i komendy:

CD C:\WINDOWS\system32

ATTRIB -R-S-H awtttus.dll

ATTRIB -R-S-H wvussqn.dll

ATTRIB -R-S-H awtsq.dll

ATTRIB -R-S-H pmnlm.dll

ATTRIB -R-S-H mljklml.dll

ATTRIB -R-S-H jkkjjji.dll

ATTRIB -R-S-H fccdeec.dll

DEL xpcxrkcl.ini

DEL qstwa.bak2

DEL awtttus.dll

DEL qstwa.ini

DEL wvussqn.dll

DEL qstwa.bak1

DEL mlnmp.ini

DEL awtsq.dll

DEL pmnlm.dll

DEL mljklml.dll

DEL jkkjjji.dll

DEL fccdeec.dll

EXIT

Po tym wklej wszystkie trzy logi


(Szczepi0804) #9

C:\WINDOWS\System32\awtsq.dll

Przy usuwaniu powyższej ścieżki Killboxem pojawił się taki błąd:

PendingFileRenameOperations Registry data has been Removed by External Process.

Pierwszy plik usunąłem i błąd po restarcie się już nie pojawia, ten związany z RUNDLL :slight_smile:


(adam9870) #10

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Wykonaj to, co napisał Kuz5 w konsoli odzyskiwania. Potem przejdź do trybu awaryjnego Windows i uruchom plik FIX.REG.


(Szczepi0804) #11

Ekhm, czego bym w tej konsoli nie wpisał to albo nie można znaleźć pasujących plików albo polecenie nie jest rozpoznawalne :? Konieczna jest ta konsola odzyskiwania? :stuck_out_tongue: Polecenie w notatniku wykonałem :stuck_out_tongue:


(adam9870) #12

Wklej trzy nowe logi, a jeśli sytuacja się nie zmieniała - użyjemy innego sposobu.


(Szczepi0804) #13

Ekhm, było wszystko w porządku dopóki nie zrobiłem reinstalacji XP na Pro, dziwne bo podczas reinstalacji wrzuciłem format na C, czyżby siedziało coś na II partycji bez systemowej?

Znowu pojawia mi się błąd RUNDLL, pojawiała mi się także chmurka jednak po użyciu narzędzia SmitFraudFix chmurka z komunikatem się nie pojawia, błąd RUNDLL nadal... AdAware coś tam wykrywa, ale usuwam wykyte pliki i nic nie pomaga. Dodam, że na partycji C są jakieś dziwne pliki: msetus, nzcv, nzlrs, prqbx, cp1041 (plik NLS) i - 938304558.

Log z HJT:

Logfile of HijackThis v1.99.1

Scan saved at 18:54:18, on 2007-04-11

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ctfmon.exe

c:\windows\system32\dtsrvcs1.exe

C:\WINDOWS\system32\spoolvc.exe

c:\msetus.exe

c:\prqbx.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\cmd.exe

C:\Programy\Opera\Opera.exe

E:\Instalki\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.xfire.com/xf/firstupdate.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\System32\putbsfgs.dll",setvm

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SvcManager] dtsrvcs1.exe

O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O10 - Unknown file in Winsock LSP: c:\windows\system32\ddfnysuahdfok.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\ddfnysuahdfok.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\ddfnysuahdfok.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\ddfnysuahdfok.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\ddfnysuahdfok.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\ddfnysuahdfok.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\ddfnysuahdfok.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\ddfnysuahdfok.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\ddfnysuahdfok.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\ddfnysuahdfok.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\ddfnysuahdfok.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\ddfnysuahdfok.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\ddfnysuahdfok.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\ddfnysuahdfok.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Net Logon Manager - Unknown owner - C:\WINDOWS\system32\spoolvc.exe

Nie znam się na tym, ale z góry widze, że dziwny jakiś :smiley:


(adam9870) #14

Poczytaj o prawidłowej instalacji systemu operacyjnego:

http://www.searchengines.pl/phpbb203/in ... opic=12532

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługę Net Logon Manager

Pobierz i odpal LSP-Fix zaznacz " I know what I'm doing" następnie w okienku Keep zaznacz bibliotekę ddfnysuahdfok.dll i za pomocą strzałki (>>) przenieś ją do okienka Remover i kliknij Finish i restart.

Ściągnij program KillBox, zaznacz Delete on reboot , w polu full path of file wklej ścieżki:

c:\windows\system32\dtsrvcs1.exe

C:\WINDOWS\system32\spoolvc.exe

c:\msetus.exe

c:\prqbx.exe

C:\WINDOWS\System32\putbsfgs.dll

c:\windows\system32\ddfnysuahdfok.dll

Po wklejeniu każdej ścieżki z osobna kliknij na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgódź się na restart. Jeśli po wklejeniu którejś ze ścieżek pojawi się jakiś błąd, nie przejmuj się nim tylko przejdź do wykonywania dalszych czynności.

Usuń wpisy HJT.

Użyj VundoFix + FixVundo + VirtumundoBeGone. Wszystkie narzędzia należy uruchomić będąc w trybie awaryjnym.

Po wykonaniu pokaż nowy log z hjt, SilentRunners + log numer 1 z L2Mfix.


(Szczepi0804) #15

Sry ale zanim napisałeś reposta system nie wytrzymał i musiałem znowu reinstalować, więc teoretycznie log jest nieaktualny. To jest nowy log dosłownie 10 minut po formacie C i instalacji Wina:

Póki co nic się nie dzieje, nie ma komunikatów, dziwnych plików w C, błędów RUNDLL itd., ale z tego co pamiętam poprzednim razem to też się nie działo świeżo po formacie, choć już nie pamiętam.


(adam9870) #16

Jest Ok. Możesz jedynie usunąć te wpisy:

Są one od całkowicie niegroźnej Alexy. Ich usunięcie powoduje automatycznie instalacja dodatku Service Pack 2.

Dodatkowo, jak już radziłem wcześniej poczytaj o prawidłowej instalacji systemu operacyjnego. Tak aby tuż po formacie nie zostały absolutnie żadne szkodniki i co należy zrobić tuż po instalacji systemu operacyjnego na dysku.

:arrow: http://www.searchengines.pl/phpbb203/in ... opic=12532


(Szczepi0804) #17

Wielkie dzięki, jesteście niesamowici :slight_smile:

Możliwe że log jest czysty bo pierwsze co zrobiłem po formacie to używałem Windows Worms Door Cleaner'a.

Poczytałem co podałeś i właśnie ściągam service pack 2. Mógłbyś polecić jakiegoś dobrego firewalla? Bo jakiegoś ściągnąłem ostatnio ale mnie denerwował bo non stop dawał jakieś komunikaty i z tego co się dowiadywałem nie można było tego wyłączyć. Mógłbym coś jeszcze zrobić oprócz service pack'a, łatek do SP, firewall'a, abym mógł być pewny że system będzie czysty przez conajmniej pół roku?


(Joan Sunshine) #18

mogę polecić jetico v1 i korzystanie z neta oraz komputera z głową, tego nic nie zastąpi :slight_smile: