törölhetetlen dll

Hello!

Vangy egy olyan problémám, hogy valahonnan bejött egy file névszerint ez "ddcYoOHy.dll" ténylegesen nem csinál semmit, de kétlem,h neki ott lenne a helye a system32-ben.
Nem lehet törölni a hájdzsákthisz ezt logolja:

Logfile of HijackThis v1.99.1
Scan saved at 11:51:07, on 2008.08.10.
Platform: Windows XP Szervizcsomag 2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\HijackThis.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xportálás Microsoft Excel formátumba - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Kutatás - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Mint látható van nod32 ami meg sem találja van avast ami szintén nem jelez semmit, egyedül a Spoybot irkálja hogy valami nem jó vele és a registrtyben is bele bele írogatja magát ez a file, amit ha kitörlök akkor visszakerül boot után.
Nincs másik OS itt amibe át lehetne rakni a vinyót, nincs kislemez meghajtó, h bebootoljak vele, nem lehet törölni csökkentett módban.
Ja és gőzöm nincs mi használja!

THX a segítséget előre is!!!

Hozzászólások

USB-ről lehet indítani?

------------------------
Debian testing KDE amd64
MSI K8N-Neo-4, Athlon64 3800+, Leadtek 6600GT

Fogj egy Ubuntu live cd-t (peldaul), majd torold le a fajlt es kesz. (Max mentsd le hatha valami stuff ami beepult). Igaz ez "nem win megoldas", de elvegre is HUPon vagyunk. :)

Töltsd le a process explorert és nézd meg törléskor mi az ami visszaírja.

--
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.

Iktasd ki azt a sok felesleges vírusírtót (mert látod mennyir ér :) ) és próbálj ki egy Trojan Removert (30 napig fullosan használható, és elég keményen el tud bánni a memóriában futó és megújuló vírusokkal is). Maga a file meg tuti hogy káros... eredeti példányait lehet hogy megtalálod a Documents and Settings\saját user\Local Settings alatt, szerintem nagy valószínűség szerint a Temp-ben vagy pedig a Temporary Internet Files-ban. Ezek a könyvtárak amúgy is érettek sztem egy takarításra.

Vagy szerezz egy Hiren's Boot CD/DVD. Azon is vannak kellemes dolgok (a legegyszerűbb pld. nfts command line, ott biztos ki tudod törölni,
persze biztos hogy vannak társai is)
---
Szerk:
ja ,most láttam a postot, ez utóbbi akkor tárgytalan)

A registrybol az automatikus indulasokat nezd meg. Ami nem oda tartozik, azt fogod, felirod, hogy melyik file. Registrybol kitorlod. Reboot, csokkentett mod, file kitorol. Kesz.

Az automatikus indulásokat javaslom én is, de célszerűbben ne a reg-et, hanem autruns-sal. Ha ez sem megy előbb keress rá az összes azonos méretű fájlra, azok közt már könnyű megtalálni, ha úgy sem megy esetleg a tömörített fájlokban (pl: tc.), ha ez sem, a dll beli pár bájtra keress rá az összes fájlban, ha az sem /dev/hda-n , izé \\.\Physicaldrive0-n :)
Ja és merész egyetlen működő rdszt használni:) minimum valahonnan ubi live cd/pendrive, mégha söralátétnek is használod, egyszer jól jöhet:) (mellé még egy "live" cd ami nekem bejött az ubcd)
Process explorer ctrl+f se írja ki hogy vmi használná?

Hali!

Csökkentett mód volt, reg törlés is és akkor sem engedte törölni a filet!!
Most Trojan Remover prg-vel játszom úgy néz ki sikerrel bár most nem értem miért nem enged a googlen keresni... :)
Arra rájöttem hogy a .dll fileok amiket kártékonynak jelöltek azok egy és ugyan az é csak ranomd írt filenevek, szal egy trójairól van szó...valamit arra hogy rundll32.exe-t használja mert amikor sikeresen kilőttem mindíg sírt a fertőzött dll hogy nem tud elindulni.
De most a googleval játszom szenvedek, szal úgy néz ki még mindíg nem jó vmi, ja és a másik az hogy a spybot folyamatsan megfog valamit ami beakar íródni a regisrtybe.
Csak hát nem valami beszédes...
Próbálkozom még és köszönöm a segítséget...ezzel tudok csak dolgozni, mivel itt más nincs és bizonyos okokból és a békesség kedvéért inkább így próbálom megoldani ezt a problémát.

A Virtumonde trójai lehet a gondok okozója nálad. Vannak az eltávolítására segédprogramok, azzal kellene megpróbálni. pl. ComboFix

Arra ügyelj, hogy a Rendszervisszaállítási szolgáltatást ki kell kapcsolni az eltávolítás előtt. Sikeres eltávolítás után visszakapcsolható.

Unlocker is alkalmas a feladatra, nyomsz a dll-en egy sima törlést, ha nem végrehajtható, az unlocker automatikusan elindul, és kilőheted azokat a processeket, amik fogják. Ha nem fogja semmi, akkor is le tudod vele törölni.