Mulący komputer oraz komunikat RUNDLL

babcia_ela · 10 Grudzień 2008 10:04

Witam Mądre Głowy,

Mój problem z mulącym komputerem trwa już jakiś czas, wczoraj przeskanowałam go dr. Web CureIt! i nic nie wskazywało na to że wystąpią jakieś problemy.Nie było żadnych infekcji. Rano właczyłam komputer i bardzo długo się ładował Windows aż w końcu załadowała się tapeta i nic poza tym, kilka razy resetowałam i udało się pokazały się ikonki ale bez możliwości używania ich. Ponownie kilkanaście razy resetowałam komputer aż udało się i nagle pojawił się komunikat RUNDLL “Wystąpił błąd podczas ładowania stmctrl.dll. Nie można odnaleźć określonego modułu”. Powoli, powoli udało mi się ustanowić połączenie i teraz nie wiem co dalej robić.

Bardzo dziękuję za okazaną mi pomoc.

Ściągnęłam program wg wskazówek i wstawiam log.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:42:37, on 2008-12-10

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\VIAudioi\SBADeck\ADeck.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Freedom\Freedom.exe

C:\Program Files\Opera\opera.exe

C:\Documents and Settings\Ela\Moje dokumenty\XXX\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar

O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE

O4 - HKLM…\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM…\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [Nowe Gadu-Gadu] “C:\Program Files\Nowe Gadu-Gadu\gg.exe”

O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-19…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-20…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS\S-1-5-18…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - HKUS.DEFAULT…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘Default user’)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip…{7A1F062E-A4F9-4377-893E-888F7D5F21BB}: NameServer = 217.116.100.65 217.116.100.66

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

–

End of file - 4895 bytes

spandaupol · 10 Grudzień 2008 10:49

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix przeskanuj system i daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka

Sprawdź czy masz ten plik stmctrl.dll na dysku w folderze C:\windows\system32

babcia_ela · 10 Grudzień 2008 12:14

W Combofix pojawia się taka informacja: System nie może odnaleźć pliku version.txt a następnie wyskakuje okienko ERROR The contents of folder C:/WINDOWS/erdnt/HIV-backup could not be completely deleted!

spandaupol · 10 Grudzień 2008 12:23

A co z tym Sprawdź czy masz ten plik stmctrl.dll na dysku w folderze C:\windows\system32

babcia_ela · 10 Grudzień 2008 16:29

Musiałam wyść z domu. Włączyłam komputer o 17:00 i aby wejść na forum musiało minąc 20 minut. Nadal przy włączeniu komputera są takie objawy. Nadal wyskakuje okienko RUNDLL z informacją “Wystąpił błąd podczas ładowania stmctrl.dll. Nie można odnaleźć określonego modułu”

Przed wyłączeniem komputera chciałam sprawdzić czy w w folderze C:\windows\system32 jest ten plik i niestety nie udało się tam wejść, po kliknięciu na folder czekałam 10 minut i nic aż wyłączyłam komputer.

spandaupol · 10 Grudzień 2008 16:34

Czy Ty masz modem ZXDSL 852?

Pobierz Malwarebytes’ Anti-Malware Instrukcja i program tutaj http://cybertrash.pl/Tata/MBAM/Malwareb … lware.html przeskanuj wszystkie dyski usuń co znajdzie, daj log na forum

babcia_ela · 10 Grudzień 2008 17:11

chyba tak z orange Freedom

spandaupol · 11 Grudzień 2008 07:34

Jeśli tak jest to odinstaluj sterowniki od modemu przeczyść system oraz rejestr Przeczyść system oraz rejestr CCleaner zainstaluj ponownie sterowniki

Należy przed tą operacją zapisać swoje ustawienia Internetu, np user name, password wątek poniżej

Zobacz także ten wątek viewtopic.php?t=91864 wiem że to dotyczy konkretnie neostrady ale może się przyda

babcia_ela · 11 Grudzień 2008 07:37

Po skanowaniu programem Malwareb … wg. wskazań należało zrobić restart, po restarcie komputer włączył się i nic poza tapetą nie było, próbowałam ok. 10 razy resetować i wciąż to samo. Ikonki z pulpitu nie reagują, albo z ogromnym opóźnieniem. Nie mogę znaleźć pliku tekstowego Logs ponieważ nic nie działa. Zapisał się na pulpicie tylko plik tekstowy który utworzył się po skanowaniu a przed wyrzuceniem infekcji.

Dziś po włączeniu komputera była taka sama sytuacja jak wczoraj, nadal wyskakuje komunikat RUNDLL

spandaupol · 11 Grudzień 2008 07:40

Rozumie że Malwarebyte s coś znalazł W takim razie uruchom program wejdź do zakładki logi i tam powinien być ten plik

babcia_ela · 11 Grudzień 2008 08:01

Nie wiem czy dobrze to zrobiłam czy o to chodziło:

http://www.wklejto.pl/18243

spandaupol · 11 Grudzień 2008 11:31

Tak dobrze zrobiłaś nie mogłem wcześniej odpowiedzieć bo miałem problem z połączeniem się ze stroną

Pobierz ponownie Combofix

Na czas pobierania wyłącz antywirusa i zaporę. Wejdź w tryb awaryjny windows opis http://forum.pcformat.pl/showthread.php?tid=13358

uruchom Combofixa dwuklikiem przeskanuj system i daj log na forum

babcia_ela · 11 Grudzień 2008 15:44

Udało się, niestety tyle to trwało, tak właśnie mułowato chodzi mi komuter, trzeba mieć cierpliwość ze złota

http://www.wklejto.pl/18295

huber2t · 11 Grudzień 2008 15:47

Daj pełnego loga z combofix

babcia_ela · 11 Grudzień 2008 15:55

wszystko wkleiłam co było w pliku tekstowym ComboFix, nie pokazało się w głównym oknie tylko była ścieżka gdzie znajduje się ten plik

huber2t · 11 Grudzień 2008 15:58

Przeskanuj ponownie i daj log

babcia_ela · 11 Grudzień 2008 16:12

ComboFix w trybie awaryjnym?

MichaelP · 11 Grudzień 2008 16:13

Jeżeli nie da się uruchomić w normalnym trybie, to tak.

spandaupol · 11 Grudzień 2008 16:14

Sprawdź najpierw czy to co jest w pliku ComboFix.txt to to samo co wkleiłaś na forum

Jeśli tak to przeskanuj ponownie możesz w trybie awaryjnym windows. Czy komunikat nadal się pojawia?

babcia_ela · 11 Grudzień 2008 16:25

jednak się trochę różni, ale dlaczego się tak stało?

http://www.wklejto.pl/18303