← Вернуться в раздел «Microsoft Windows»

» Ошибка XP (RunDLL)

Автор: OrkOK
Дата сообщения: 25.11.2007 23:14

После избавления от 4-5 троянов сразу после ввода пароля при старте стала появляться ошибка RUNDLL. Не находит i3eoo1.dll. См. скриншот:

При этом дальнейшая загрузка останавливается до нажатия на ОК (окно модальное).

Если верить процесс-эксплореру, ошибка возникает при вызове RunDLL32.exe Windows Explorer'ом (возможно происходит попытка запуска одной из надстроек Проводника или её автоудаления - если верить строке запуска). Вычислить, где грохнуть эту самую строку запуска (см. тот же скриншот) не могу - в реестре нет ничего похожего. Возможно, она находится в сжатом EXE (или DLL).

DLL-ки, естественно, в папке винды тоже нет. И не известно, кому/чему она принадлежала - поиск в сети ничего не дает.

Помогите, пожалуйста, советом.

Автор: Cheery
Дата сообщения: 25.11.2007 23:16

OrkOK

Цитата:

Вычислить, где грохнуть эту самую строку запуска (см. тот же скриншот) не могу - в реестре нет ничего похожего

autoruns и смотреть где и что цепляется

Автор: OrkOK
Дата сообщения: 25.11.2007 23:30

Что цепляется - там видно (но прямого вызова rundll32 с обращением к i3eoo1.dll там нет), а когда цепляется.... ну как определить по autoruns момент и "источник" конкретного вызова rundll32?

Нет, для "обычных" случаев, конечно можно - перейти по autoruns в соответствующую ветку реестра и грохнуть. А когда в реестре заведомо нет такой ветки/ключа - тогда как? найти и обезвредить...

Автор: Pili
Дата сообщения: 26.11.2007 07:37

Можно с помощью HijackThis (http://www.tomcoyote.org/hjt/) исправить

Автор: OrkOK
Дата сообщения: 26.11.2007 14:29

Исправить-то можно было бы, но не видно же ничегооо... ( похожего.

Автор: Pili
Дата сообщения: 26.11.2007 14:42

Лог HJ выложи

Автор: OrkOK
Дата сообщения: 01.12.2007 19:03

Logfile of HijackThis v1.99.1
Scan saved at 18:52:32, on 01.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avast\aswUpdSv.exe
C:\Program Files\Avast\ashServ.exe
C:\Program Files\Avast\ashMaiSv.exe
C:\Program Files\Avast\ashWebSv.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Program Files\AutoMate 6\AMTS.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CAPRPCSK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\Rundll32.exe
E:\ZIP\HiJack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RusLat95] RusLat95.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Append to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted IP range: 192.168.0.1
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195242011062
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D268576-BDFE-4502-BF95-F32FAB02D026}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C427BE07-B50D-4DB6-9582-57E4E08E4E0B}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E93965FE-1079-4A53-A222-01E958D7C192}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF2D4FE1-B3B5-4F5A-9229-2CA19DA32317}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AutoMate 6 (AutoMate6) - Network Automation, Inc. - c:\Program Files\AutoMate 6\\AMTS.EXE
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast\ashWebSv.exe" /service (file missing)
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Лог на момент ожидания нажатия ОК в окне ошибки (система (в частности Эксплорер) недозагружена полностью) - лог сделан через запуск HiJackThis из taskmgr, вызванного по Ctrt-Alt-Del.

Автор: SKaDT
Дата сообщения: 02.12.2007 18:49

можно попытаться снять регистрацию библиотеки командой:

regsvr32 /u %SystemRoot%\system32\i3eoo1.dll

предварительно рекомендуется убить процесс из памяти

Автор: Pili
Дата сообщения: 03.12.2007 08:04

В логах ничего подозрительного, ещё бы увидеть логи AVZ - по 3-му скрипту ("Файл"- "Стандартные скрипты")
HijackThis уже есть версии 2.02!
Пофиксить в HJ (нажать кнопку "Fix Checked")

Цитата:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

Там д.б. в принципе O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll - проверка подлинности windows
Или в AVZ (http://z-oleg.com/avz4.zip) - файл-восстановление системы - п.7

Страницы: 1

Предыдущая тема: Microsoft Windows Vista перезагружается

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.