törölhetetlen dll

Microsoft Windows

Hello!

Vangy egy olyan problémám, hogy valahonnan bejött egy file névszerint ez "ddcYoOHy.dll" ténylegesen nem csinál semmit, de kétlem,h neki ott lenne a helye a system32-ben.
Nem lehet törölni a hájdzsákthisz ezt logolja:

Logfile of HijackThis v1.99.1
Scan saved at 11:51:07, on 2008.08.10.
Platform: Windows XP Szervizcsomag 2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\HijackThis.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&xportálás Microsoft Excel formátumba - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Kutatás - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Mint látható van nod32 ami meg sem találja van avast ami szintén nem jelez semmit, egyedül a Spoybot irkálja hogy valami nem jó vele és a registrtyben is bele bele írogatja magát ez a file, amit ha kitörlök akkor visszakerül boot után.
Nincs másik OS itt amibe át lehetne rakni a vinyót, nincs kislemez meghajtó, h bebootoljak vele, nem lehet törölni csökkentett módban.
Ja és gőzöm nincs mi használja!

THX a segítséget előre is!!!

  • 6348 megtekintés

( Tuschke | 2008. 08. 10., v – 12:04 )

USB-ről lehet indítani?

------------------------
Debian testing KDE amd64
MSI K8N-Neo-4, Athlon64 3800+, Leadtek 6600GT

( honorshark | 2008. 08. 10., v – 12:04 )

Fogj egy Ubuntu live cd-t (peldaul), majd torold le a fajlt es kesz. (Max mentsd le hatha valami stuff ami beepult). Igaz ez "nem win megoldas", de elvegre is HUPon vagyunk. :)

( Polesz v | 2008. 08. 10., v – 12:26 )

Töltsd le a process explorert és nézd meg törléskor mi az ami visszaírja.

--
Elméletileg nincs különbség elmélet és gyakorlat között. Gyakorlatilag van.

( nyekhere | 2008. 08. 10., v – 12:56 )

Iktasd ki azt a sok felesleges vírusírtót (mert látod mennyir ér :) ) és próbálj ki egy Trojan Removert (30 napig fullosan használható, és elég keményen el tud bánni a memóriában futó és megújuló vírusokkal is). Maga a file meg tuti hogy káros... eredeti példányait lehet hogy megtalálod a Documents and Settings\saját user\Local Settings alatt, szerintem nagy valószínűség szerint a Temp-ben vagy pedig a Temporary Internet Files-ban. Ezek a könyvtárak amúgy is érettek sztem egy takarításra.

Vagy szerezz egy Hiren's Boot CD/DVD. Azon is vannak kellemes dolgok (a legegyszerűbb pld. nfts command line, ott biztos ki tudod törölni,
persze biztos hogy vannak társai is)
---
Szerk:
ja ,most láttam a postot, ez utóbbi akkor tárgytalan)

( persicsb | 2008. 08. 10., v – 13:58 )

A registrybol az automatikus indulasokat nezd meg. Ami nem oda tartozik, azt fogod, felirod, hogy melyik file. Registrybol kitorlod. Reboot, csokkentett mod, file kitorol. Kesz.

( tomaza | 2008. 08. 10., v – 14:58 )

Az automatikus indulásokat javaslom én is, de célszerűbben ne a reg-et, hanem autruns-sal. Ha ez sem megy előbb keress rá az összes azonos méretű fájlra, azok közt már könnyű megtalálni, ha úgy sem megy esetleg a tömörített fájlokban (pl: tc.), ha ez sem, a dll beli pár bájtra keress rá az összes fájlban, ha az sem /dev/hda-n , izé \\.\Physicaldrive0-n :)
Ja és merész egyetlen működő rdszt használni:) minimum valahonnan ubi live cd/pendrive, mégha söralátétnek is használod, egyszer jól jöhet:) (mellé még egy "live" cd ami nekem bejött az ubcd)
Process explorer ctrl+f se írja ki hogy vmi használná?

Hali!

Csökkentett mód volt, reg törlés is és akkor sem engedte törölni a filet!!
Most Trojan Remover prg-vel játszom úgy néz ki sikerrel bár most nem értem miért nem enged a googlen keresni... :)
Arra rájöttem hogy a .dll fileok amiket kártékonynak jelöltek azok egy és ugyan az é csak ranomd írt filenevek, szal egy trójairól van szó...valamit arra hogy rundll32.exe-t használja mert amikor sikeresen kilőttem mindíg sírt a fertőzött dll hogy nem tud elindulni.
De most a googleval játszom szenvedek, szal úgy néz ki még mindíg nem jó vmi, ja és a másik az hogy a spybot folyamatsan megfog valamit ami beakar íródni a regisrtybe.
Csak hát nem valami beszédes...
Próbálkozom még és köszönöm a segítséget...ezzel tudok csak dolgozni, mivel itt más nincs és bizonyos okokból és a békesség kedvéért inkább így próbálom megoldani ezt a problémát.

( Umath v | 2008. 08. 10., v – 16:48 )

A Virtumonde trójai lehet a gondok okozója nálad. Vannak az eltávolítására segédprogramok, azzal kellene megpróbálni. pl. ComboFix

Arra ügyelj, hogy a Rendszervisszaállítási szolgáltatást ki kell kapcsolni az eltávolítás előtt. Sikeres eltávolítás után visszakapcsolható.

( BaT | 2008. 08. 10., v – 17:41 )

Unlocker is alkalmas a feladatra, nyomsz a dll-en egy sima törlést, ha nem végrehajtható, az unlocker automatikusan elindul, és kilőheted azokat a processeket, amik fogják. Ha nem fogja semmi, akkor is le tudod vele törölni.