Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   [решено] файл mstmdm.dll, что за зверь? (http://forum.oszone.net/showthread.php?t=108309)

helge12 02-06-2008 16:10 816682
файл mstmdm.dll, что за зверь?
 
Долго не обновлял базы, за что и поплатился. Хапнул вирус. То ли Win32.HLLW.Gavir, то ли Worm.Win32.AutoRun. После обновления баз и сканирования системы антивирус удалил кроме ravmon.exe и autorun.inf еще и библиотеку c:\WINDOWS\system32\mstmdm.dll. Теперь при каждой загрузке системы выводится сообщение, что модуль mstmdm.dll не найден. Дальнейшая загрузка проходит нормально. Комп не виснет и работает без глюков.
Теперь вопрос? Что это за модуль mstmdm.dll? Это деталь системы или плод творения вируса? Нужен ли он для работы Windows? В дистрибутиве я не нашел такого файла. И как сделать, что бы при загрузке не выводилось предупреждение об отсутствии этого файла? Где то же в системе прописано, что при загрузке этот файл должен загружаться? Поиск в реестре не нашел ни одной ссылки на этот файл.
Да, система WinXP SP2 русская.

Blast 02-06-2008 16:12 816684
Цитата:
Цитата helge12
Это деталь системы или плод творения вируса? »
второе

Проверьтесь по этим правилам
И проверьте в реестре, в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - параметр Shell - по умолчанию его значение равно Explorer.exe

P.S. Смотрите здесь: http://www.trendmicro.com/vinfo/viru...N%2EJ&VSect=Sn

helge12 05-06-2008 07:23 818790
Проверил. В указанной ветке реестра все нормально. Ключа, указанного в P.S. на моей машине не существует. Хотя я сделал полный поиск по реестру по имени файла mstmdm.dll. Ничего не нашел.
Откуда же от лезет?

Angry Demon 05-06-2008 08:08 818811
helge12, а в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls ссылки на эту пакость нету?

Blast 05-06-2008 09:15 818838
Цитата:
Цитата Blast
Проверьтесь по этим правилам »
не вижу логов

Dirk Diggler 05-06-2008 11:53 818951
можно использовать autoruns от sysinternals и AVZ - там есть фича типа менеджера автозагрузки.
К тому же этот файл может подгружаться другим файлом 8-)

helge12 18-06-2008 12:24 829036
Вложений: 1
Вот логи. Наконец протестировал.
Судя по логам, этот файл грузится из ветки HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, UpdateCheck
Там стоит ссылка на ключ {AC874E86-8BDE-4263-A7DA-F8CE6C5292DD}.
Нашел в реестре этот ключ. В нем значение Java.Runtime52

Pili 18-06-2008 12:50 829072
helge12,
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\TVICHW32.SYS','');
 QuarantineFile('C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll','');
 QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
 DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (если найдется)
Код:
O21 - SSODL: UpdateCheck - {AC874E86-8BDE-4263-A7DA-F8CE6C5292DD} - C:\WINDOWS\system32\mstmdm.dll (file missing)
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Повторите логи virusinfo_syscheck.zip, hijackthis

Blast 18-06-2008 12:51 829074
Pili, переносим к тебе в лазарет?

Pili 18-06-2008 13:07 829088
Blast, можно, хотя и не обязательно, вероятнол проблемы после скрипта д.б. уже решены :)

helge12 18-06-2008 14:45 829172
А чем вам C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll не понравился? Это же обычная качалка. Она у меня уже пару лет и с ней никогда проблем не было.
Еще меня смущает SENTINEL.SYS. Это драйвер-затычка (типа кряка) для одной CAD программы. Если его снести, то она работать не будет. Т.е. после автоматического устранения всех проблем программой AVZ, я боюсь получить еще большие проблемы. Или я напрасно опасаюсь?

P.S. Интересно. Почему у меня быстрый ответ в форуме не работает. Появляется надпись "Сообщение отправляется. Пожалуйста подождите" и стрелка крутится. Так может висеть бесконечно долго. А обычный ответ нормально отправляется.

Pili 18-06-2008 15:29 829226
Цитата:
Цитата helge12
А чем вам C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll не понравился? »
понравился - если чист, пойдет в базу безопасных, то же самое с SENTINEL.SYS
Цитата:
Цитата helge12
Появляется надпись "Сообщение отправляется. Пожалуйста подождите" и стрелка крутится. »
не часто, но бывает и у меня тоже (и у остальных скорее всего также)

helge12 19-06-2008 09:59 829811
Проблема решилась. Сообщение при загрузке системы больше не выскакивает. Спасибо Pili, Blast, всем кто откликнулся.


Время: 08:08.

Время: 08:08.
© OSzone.net 2001-