Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Левая DLL при старте Windows XP SP2 (http://forum.oszone.net/showthread.php?t=108325)

Solker 02-06-2008 20:54 816868
Левая DLL при старте Windows XP SP2
 
Вложений: 1
При загрузке винды, вылезает сообщение мол не найдена библиотека i3xawuo6t5.dll.
Библиотека совершенно левая, не понятно откуда взялась и что делает. Но при этом упорно каждый раз нам сообщает, что не может ее подгрузить.
При отключении абсолютно всех НЕстандартных программ и служб из автозагрузки - ей не помеха, всеравно просит. Однако в безопасном режиме все работает без проблем, и не какая дллка ему не нужна.
Пробывал искать по реестру - название дллки, не нашел ни одной ссылки.
Прочесал весь event log, так же не одного упоминания.
Пробывал сделать DLL-заглушку, буквально там с одной функции. Но она видите ли стала нам заявлять что в длл она не смогла найти нужной функции.
regsvr32 /u i3xawuo6t5.dll так же не дает результатов.

Вообщем, вопрос стоит в том, что бы узнать что пытается подзгрузить данную библиотеку при старте винды. И собственно избавится от этого приложения.
Заранее спасибо.

Blast 02-06-2008 20:55 816870
файл mstmdm.dll, что за зверь? - для вас действия те же

Solker 10-06-2008 21:08 823238
Добавил логи, следуя инструкции.

Pili 10-06-2008 22:49 823309
Solker, В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('2shxne');
 StopService('a0c8y6');
 StopService('mxdispdr');
 SetServiceStart('mxdispdr', 4);
 StopService('acpidisk');
 SetServiceStart('acpidisk', 4);
 StopService('SoSCAR');
 SetServiceStart('SoSCAR', 4);
 StopService('sysloader');
 SetServiceStart('sysloader', 4);
 StopService('spoo1v');
 SetServiceStart('spoo1v', 4);
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\jjDXAYrrs1.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll','');
 QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9YE.EXE','');
 QuarantineFile('C:\Program Files\Punto Switcher\ps.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\oc7vbj.sys','');
 QuarantineFile('E:\INSTALL\GMSIPCI.SYS','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ga4kemtko.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\devis.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\2shxne.sys','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\spoo1v.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE','');
 QuarantineFile('C:\WINDOWS\system32\drivers\acpidisk.sys','');
 QuarantineFile('C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FUIC19YE.DLL','');
 QuarantineFile('D:\CARDSERV\Cardserv.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\mxdispdr.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\a0c8y6.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\2shxne.sys','');
 QuarantineFile('C:\WINDOWS\system32\winlib .dll','');
 QuarantineFile('C:\WINDOWS\system32\msplrct.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\finder.dll','');
 QuarantineFile('i3xawuo6t5.dll','');
 DeleteService('mxdispdr');
 DeleteService('acpidisk');
 DeleteService('spoo1v');
 DeleteService('sysloader');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\finder.dll');
 DeleteFile('C:\WINDOWS\system32\msplrct.dll');
 DeleteFile('C:\WINDOWS\system32\winlib .dll');
 DeleteFile('C:\WINDOWS\system32\drivers\mxdispdr.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\acpidisk.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\jjDXAYrrs1.dll');
 DelBHO('{EE60714F-AC17-427e-861A-FD60CBDF119A}');
 DelBHO('{C86488AF-13D5-4FEF-9DDF-9FB88698CFC1}');
 DelBHO('{385AB8C6-FB22-4D17-8834-064E2BA0A6F0}');
BC_ImportAll;
ExecuteSysClean;
 BC_QrFile('C:\WINDOWS\system32\Drivers\2shxne.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\acpidisk.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\mxdispdr.sys');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (что найдется)
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zhaodao123.com/?h
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://client.jogo.cn/cdn/browser/customsearch/customsearch-en.html
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO: Adobe Common Objects - {C86488AF-13D5-4FEF-9DDF-9FB88698CFC1} - C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\jjDXAYrrs1.dll
O9 - Extra button: ТЧИ¤№єОп - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O9 - Extra 'Tools' menuitem: ТЧИ¤№єОп - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O24 - Desktop Component 0: (no name) - http://img-fotki.yandex.ru/get/13/marmarix2.5/0_7584_c8be6c3c_-1-orig
Цитата:
база от 02.06.2008
Обновите антивируную базу AVZ и повторите логи. Вы помощью AVPTool проверяли систему?

Solker 19-06-2008 18:06 830323
Карантинные файлы выслал на указанный email.
Выполнил все выше перечисленное.
Повторяю логи.

С помощью AVPTool не проверял систему. Стоит DrWeb.

Pili 19-06-2008 19:35 830399
По касперскому:
C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\jjDXAYrrs1.dll - AdWare.Win32.IEHlpr.hb
C:\WINDOWS\system32\drivers\devis.sys -Trojan.Win32.Zapchast.ew
C:\WINDOWS\System32\DRIVERS\2shxne.sys - Trojan-Downloader.Win32.Hmir.sm
C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe - Trojan-Downloader.Win32.Agent.pfh, Trojan-Downloader.Win32.Agent.jdz
C:\WINDOWS\system32\drivers\mxdispdr.sys - Trojan.Win32.Inject.tf
C:\WINDOWS\system32\drivers\a0c8y6.sys - Trojan-Downloader.Win32.Hmir.dje
C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\finder.dll - Trojan-Downloader.Win32.Agent.pfh
C:\WINDOWS\system32\drivers\acpidisk.sys - новый, RKIT/Cinmus.M по AntiVir по VT тут

Где лог hijakthis?

Скачайте IceSword, запустите, выберите в меню File, появится аналог проводника, найдите в нем указанные файлы (если найдутся)
нажмите по файлам правой кнопкой мыши и скопируйте файлы
Код:
C:\WINDOWS\system32\drivers\ga4kemtko.sys
C:\WINDOWS\system32\drivers\oc7vbj.sys
C:\WINDOWS\SYSTEM32\spoo1v.exe
в какую-нибудь папку (создайте напр. папку virus) при помощи Copy to..., потом удалите файлы
Код:
C:\WINDOWS\System32\DRIVERS\2shxne.sys
C:\WINDOWS\system32\drivers\a0c8y6.sys
C:\WINDOWS\system32\drivers\ga4kemtko.sys
C:\WINDOWS\system32\drivers\oc7vbj.sys
C:\WINDOWS\system32\drivers\devis.sys
C:\WINDOWS\SYSTEM32\spoo1v.exe
с помощью force delete (прав. кн. мыши, на запрос подтверждения ответьте "да").
Скопированные файлы запакуйте в архив с паролем virus и пришлите, потом выполните скрипт
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('oc7vbj');
 SetServiceStart('oc7vbj', 4);
 StopService('ga4kemtko');
 SetServiceStart('ga4kemtko', 4);
 StopService('a0c8y6');
 SetServiceStart('a0c8y6', 4);
 StopService('2shxne');
 SetServiceStart('2shxne', 4);
 StopService('devis');
 SetServiceStart('devis', 4);
 QuarantineFile('C:\WINDOWS\SYSTEM32\spoo1v.exe','');
 QuarantineFile('C:\WINDOWS\LIVING~1.SCR','');
 QuarantineFile('C:\WINDOWS\system32\drivers\oc7vbj.sys','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE','');
 QuarantineFile('C:\WINDOWS\system32\drivers\ga4kemtko.sys','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE','');
 DeleteFile('C:\WINDOWS\system32\drivers\devis.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\a0c8y6.sys');
 DeleteFile('spoo1v.exe');
 DeleteFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\2shxne.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\ga4kemtko.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\oc7vbj.sys');
 DeleteService('2shxne');
 DeleteService('a0c8y6');
 DeleteService('ga4kemtko');
 DeleteService('oc7vbj');
 DeleteService('devis');
 DeleteService('spoo1v');
 BC_QrFile('C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE');
 BC_QrFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\a0c8y6.sys');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\spoo1v.exe');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\devis.sys');
 BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\2shxne.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ga4kemtko.sys');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\oc7vbj.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_QrSvc('SoSCAR');
 BC_QrSvc('spoo1v');
 BC_DeleteSvc('devis');
 BC_DeleteSvc('oc7vbj');
 BC_DeleteSvc('ga4kemtko');
 BC_DeleteSvc('a0c8y6');
 BC_DeleteSvc('2shxne');
 BC_DeleteSvc('spoo1v');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему
Рекомендую провериться с помощью AVPTool
Повторите логи

Solker 20-06-2008 00:17 830645
Через IceSword удалил C:\WINDOWS\System32\DRIVERS\2shxne.sys, других попросту не было.
Запустил очередной скрипт для AVZ, ошибка пропала.
Следовательно спасибо.

Если quarantine.zip еще нужен, вышлю в ближайшее время.

Pili 20-06-2008 08:20 830776
Solker, quarantine.zip нужен. По некоторым файлам из предыдущего карантина ждем ответа из вирлаба. Повторите логи.


Время: 06:07.

Время: 06:07.
© OSzone.net 2001-