Trojan rndll.exe


(Ro Land 66) #1

Cześć,

Po kliknięciu linku z msn zainstalowało się oprogramowanie na c:\windows pod nazwą rndll.exe

Gdy tylko rndll.exe zaczął działać odszukał G:\ (usb pen drive) i gdy go znalazł automatycznie uruchomił się scrypt autorun.inf script i załadował do niego wirusa

Avast nie raportuje rndll.exe jako złośliwe oprogramowanie /wirus

Avast rozpoznaje to jako VBS:Malware-gen ale nie można go usunąć bo rndll.exe stale go klonuje i podmienia

szczegółowe info:

rndll.exe loguje się na koncie msn i wysyła wiadomość do wszystkich kontaktów:

"check your pictures haha http://www-photos***.com/photo.php?=xxxxx@hotmail.com" (address is edited to prevent accidents)

Po kliknięciu linku rndll.exe ładuje się do c:\windows, i ukrywa się jako plik systemowy

rndll.exe dodaje poniższe wpisy do rejestru:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run]

@=""

"Firevall Administrating"="rndll.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Firevall Administrating]

"key"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

"item"="rndll"

"hkey"="HKLM"

"command"="rndll.exe"

"inimapping"="0"

proszę o pomoc w usunięciu


(Gutek) #2

Pokaż log z: OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan. - otl-gmer-rsit-dds-inne-instrukcje-t370405.html


(Ro Land 66) #3

http://www.wklejto.pl/51363


(Gutek) #4

Daj log - OTL.txt


(Ro Land 66) #5

http://www.wklejto.pl/51372


(Gutek) #6

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.


(Ro Land 66) #7

nowy log:

http://www.wklejto.pl/51378

log z czyszczenia:

http://www.wklejto.pl/51380


(Gutek) #8

Wykonaj pełny skan Dr. Web CureIt


(Ro Land 66) #9

nie mogę uruchomić Dr. Web Curelt ściąga sie instal, ale po kliknieciu nic się nie dzieje


(Gutek) #10

To skan http://www.kaspersky.pl/virusscanner.html