Problem z google (nie wyszukuje haseł)


(Goldziak) #1

Witam

mam nastepujace problemy:

  1. przy starcie XP pojawiaja sie komunikat dotyczący 2 plików:

" RUNDLL Wystąpił błąd podczas ładowania C:\windows\system32\ayjlsfdd.dll Odmowa dostępu"

podobnie dla pliku jlbsuqfa.dll

  1. jak wpisuje jakiekolwiek słowo do wyszukania w googleach, to brak rezultatów. nie pojawia się żadnej komunikat a jedynie widać info jakby wyszukiwanie było w toku. wyłączenie procesu explorer.exe powoduje ze wyszukiwanie działa.

prosze o pomoc

logi z hijackthis tutaj: http://wklej.org/id/aeff6f6368


(Kamil2993) #2

O4 - HKLM..\Run: [b46c6879] rundll32.exe "C:\WINDOWS\system32\jlbsuqfa.dll",b

O4 - HKLM..\Run: [bMb75f5be5] Rundll32.exe "C:\WINDOWS\system32\ayjlsfdd.dll",s

O4 - HKUS\S-1-5-19..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA SIECIOWA')

O20 - Winlogon Notify: wvUnnKEW - C:\WINDOWS\SYSTEM32\wvUnnKEW.dl

O17 - HKLM\System\CS2\Services\Tcpip..{4AE5DB2A-81D5-4617-8722-05EF3B54A3EC}: NameServer = 194.146.219.19,194.146.216.16

O17 - HKLM\System\CS1\Services\Tcpip..{4AE5DB2A-81D5-4617-8722-05EF3B54A3EC}: NameServer = 194.146.219.19,194.146.216.16

O17 - HKLM\System\CCS\Services\Tcpip..{4AE5DB2A-81D5-4617-8722-05EF3B54A3EC}: NameServer = 194.146.219.19,194.146.216.16

O16 - DPF: {68282c51-9459-467b-95bf-3c0e89627e55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner

O4 - HKUS\S-1-5-19..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Ustawienia lokalne\Temp" (User 'USŁUGA LOKALNA')

Kind

O4 - HKUS\S-1-5-19..\RunOnce: [nlpo_02] rundll32 advpack.dll,DelNodeRunDLL32 "%SystemRoot%\System32\dllcache" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19..\RunOnce: [nlpo_03] cmd.exe /c md "%SystemRoot%\System32\dllcache" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19..\RunOnce: [nlpo_04] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19..\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'USŁUGA LOKALNA')

Kind

Visitor's assessment Analyzerdetails Unknown

O4 - HKUS\S-1-5-19..\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'USŁUGA

O4 - HKLM..\Run: [bMb75f5be5] Rundll32.exe "C:\WINDOWS\system32\ayjlsfdd.dll",s

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O2 - BHO: (no name) - {8a1c61e3-c437-450a-81b0-2a69d52184f0} - C:\WINDOWS\system32\vtUlLcYQ.dll (file missing)

O2 - BHO: (no name) - {D400F08E-6D61-46B9-A401-6A762257DA3A} - C:\WINDOWS\system32\xxyywxuu.dll

usuń to.


(Goldziak) #3

zrobilem co trzeba, ale wpis

O2 - BHO: (no name) - {D400F08E-6D61-46B9-A401-6A762257DA3A} - C:\WINDOWS\system32\xxyywxuu.dll

pojawia sie nadal, po restarcie kompa

komunikaty na początku już sie nie pojawiają i google dziala sprawnie

to co nie działało już działa, wiec temat uznaje za zamknięty

dzieki


(huber2t) #4

Kamil2993 Podawaj całe rozwiązanie logu

Podaj log z Combofix


(Goldziak) #5

witam

logi z hijackthis tutaj:

http://www.wklej.org/id/d9462a567e

teraz gdy wylacze proces explorer.exe i probuje uruchomic go ponownie pojawia sie komunikat:

rundll32.exe spod 0x771492 odwołuje się do pamięci pod adresem 0x771492. Pamięć nie może być "read"

objawy: google nadal nie wyszukuje hasel, nie moge nawet wpisujac adresu otworzyc strony dobreprogramy.pl (dziala przy wylaczonym procesie explorer.exe)

W dniu 08.07.2008 , o godzinie 20:59 został dopisany post przez goldziak

logi z Combofix tutaj:

http://wklej.org/id/0ce8282233

jakaś rada?


(huber2t) #6

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\xxyywxuu.dll 

C:\WINDOWS\BMb75f5be5.xml

C:\-1267963690


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C958724A-8A95-4958-9CAF-15B43F818E7E}]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link