crystobal
25 Grudzień 2009 11:52
#1
Cześć,
Po kliknięciu linku z msn zainstalowało się oprogramowanie na c:\windows pod nazwą rndll.exe
Gdy tylko rndll.exe zaczął działać odszukał G:\ (usb pen drive) i gdy go znalazł automatycznie uruchomił się scrypt autorun.inf script i załadował do niego wirusa
Avast nie raportuje rndll.exe jako złośliwe oprogramowanie /wirus
Avast rozpoznaje to jako VBS:Malware-gen ale nie można go usunąć bo rndll.exe stale go klonuje i podmienia
szczegółowe info:
rndll.exe loguje się na koncie msn i wysyła wiadomość do wszystkich kontaktów:
“check your pictures haha http://www-photos***.com/photo.php?=xxxxx@hotmail.com ” (address is edited to prevent accidents)
Po kliknięciu linku rndll.exe ładuje się do c:\windows, i ukrywa się jako plik systemowy
rndll.exe dodaje poniższe wpisy do rejestru:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run]
@=""
“Firevall Administrating”=“rndll.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Firevall Administrating]
“key”=“SOFTWARE\Microsoft\Windows\CurrentVersion\Run”
“item”=“rndll”
“hkey”=“HKLM”
“command”=“rndll.exe”
“inimapping”=“0”
proszę o pomoc w usunięciu
Gutek
25 Grudzień 2009 12:06
#2
Pokaż log z: OTL
Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :
Klikasz Run Scan . - otl-gmer-rsit-dds-inne-instrukcje-t370405.html
crystobal
25 Grudzień 2009 12:29
#3
crystobal
25 Grudzień 2009 13:39
#5
Gutek
25 Grudzień 2009 13:47
#6
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:Processes Explorer.EXE :OTL PRC - [2009-12-22 18:28:32 | 00,114,829 | RHS- | M] () – C:\Windows\rndll.exe FF - prefs.js…browser.search.defaultenginename: “Ask” FF - prefs.js…browser.search.order.1: “Ask” FF - prefs.js…browser.search.selectedEngine: “Ask” FF - prefs.js…browser.search.useDBForOrder: true FF - prefs.js…extensions.enabledItems: {e001c731-5e37-4538-a5cb-8168736a2360}:0.9.8.4 FF - prefs.js…keyword.URL: “http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q= ” [2009-12-25 12:06:38 | 00,000,000 | —D | M] (No name found) – C:\Users\Roland\AppData\Roaming\mozilla\Firefox\Profiles\ka4qcsxq.default\extensions{e001c731-5e37-4538-a5cb-8168736a2360} e4a8a97b-f2ed-450b-b12d-ee082ba24781} [2009-11-28 00:22:03 | 00,000,681 | ---- | M] () – C:\Users\Roland\AppData\Roaming\Mozilla\FireFox\Profiles\ka4qcsxq.default\searchplugins\ask.xml O4 - HKLM…\Run: [Firevall Administrating] C:\Windows\rndll.exe () O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Key error.) O18:64bit: - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found O18:64bit: - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Reg Error: Key error. File not found [2009-12-22 18:50:39 | 00,114,829 | RHS- | C] () – C:\Windows\rndll.exe :Files C:\Windows\rndll.exe :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
crystobal
25 Grudzień 2009 14:17
#7
Gutek
25 Grudzień 2009 14:20
#8
Wykonaj pełny skan Dr. Web CureIt
crystobal
25 Grudzień 2009 15:44
#9
nie mogę uruchomić Dr. Web Curelt ściąga sie instal, ale po kliknieciu nic się nie dzieje
Gutek
25 Grudzień 2009 17:03
#10