← Вернуться в раздел «Microsoft Windows»

» Странная dll-ka - pdjanhbl.dll

Автор: Ludwiq_1
Дата сообщения: 18.08.2008 23:51

Коллеги. Странная проблема
Сегодня утром при перезагрузке WinXP Sekurity Alerts сообщил, что, дескать, выключено у ткбя обновление. Включил. ОЧень скоро ad-aware честно отрапортовала, что хочет обновиться dll-ka pdjanhbl.dll по адресу C:\WINDOWS\system32\pdjanhbl.dll
Ради интереса полез в Сеть, узнать, что за библиотека такая. И НИЧЕГО НЕ НАШЕЛ. Ни одного упоминания. НА всякий случай заблокировал обновление и откатился на день назад. Обновление пока не включаю.
Может кто знает - что за зверь такой?
И еще - попутная трудность. До отката Internet Explorer вдруг срывался на некий адрес http://windowsscanner-freever.com/2009/1/_freescan.php?aid=77052205 (на всякий случай не ходите туда, вдруг чего подхватите), где какой-то подозрительный Antivirus 2009 (кажется) заявлял, что мой компьютер поражен шпионами, агрессивно меня сканировал и предлагал что-то там скачать, если я вовремя его не вырубал. Короче, чего-то я подхватил (возможно).
Может ли кто-то объяснить, что со мной было? И помочь добрым советом...
Спасибо

Автор: KLASS
Дата сообщения: 19.08.2008 02:24

Цитата:

где какой-то подозрительный Antivirus 2009 (кажется)

Да уж, "грамотно" гадость подсовывают почитать
Даже поставил (предлагаемый файл AV2009Install_77052205.exe, после установки самоликвидируется) себе из любопытства. Все обнаруженные (якобы) заразы, находятся где угодно, а адреса вида (обратите внимание на двойной слеш, причем в обратную сторону):
C://windows/system32/svchost.exe
C://windows/system32/

Цитата:

pdjanhbl.dll

Если подписи у .dll-ки нет (по-крайней мере в ХР такой библиотеки нет), то смело удаляйте и подчистите реестр от нее.

Автор: 01pump
Дата сообщения: 19.08.2008 10:37

У тебя кроме ad-aware чтонибудь еще стоит? С ней ты гадость не победишь. Надо вручную лопатить.

Вопросы будут-пиши в личку

Автор: NPC
Дата сообщения: 19.08.2008 15:18

Ludwiq_1 установи Kaspersky Internet Security 8 заразу должен удалить

Автор: LiquidStorm
Дата сообщения: 20.08.2008 07:50

DLL сама по себе не загружается в системе. Нужно скачать с мелкософта Autoruns и пошерстить ей в системе (поставить галки "проверять подписи" + "скрыть поделки мелкософта") - тут то все и вылезет

technet.microsoft.com/en-us/sysinternals/bb963902.aspx

Автор: Ludwiq_1
Дата сообщения: 20.08.2008 14:22

Короче, приключения продолжаются.
Поставил KAV 7, пока он ищет (и находит, кстати, - почитал, что в Tours у меня заражены неколько файлов WindowsPlayers, хотя я им почти не пользуюь).
Каждый день нечто (пока не знаю что) генерирует у меня в System 32 новые dll-ки о трашными названиями: dqxckerd.dll, ghmnvjmv.dll, vcqtyqxc.dll, nkxqylfe.dll и т.п.
Я их перемещаю в отдельную папочку для дальнейшего изучения. Registry Crawler нашел их все в реестре, после чего все пути были удалены.
Сегодня меня донимает tnevriui.dll. НЕсмотря на то, что она тоже перемещена, что-то требует ее обновить (ad-aware сообщает).
Вычищаю реестр и через минуту нахожу там новую точно такую же запись (хотя самого файла там уже нет).
KEY INFORMATION:
Computer: Local
Hive: HKEY_LOCAL_MACHINE
Key: SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Full Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Number of Sub Keys: 1
Number of Values: 31
Last Modified: 20 августа 2008 г. 14:08:20

VALUE INFORMATION:
Value: BM33b0d949
Type: REG_SZ (String)

DATA INFORMATION:
Data: Rundll32.exe "C:\WINDOWS\system32\tnevriui.dll",s

Вот такая петрушка.

Автор: 01pump
Дата сообщения: 20.08.2008 14:51

Не парься сам и не мучай каспера

сходи на этот ресурс http://virusinfo.info там тебе помогут.

Автор: ValdikZZ
Дата сообщения: 20.08.2008 19:33

так ты посмотри, нет ли чего подозрительного в процессах

Автор: Ludwiq_1
Дата сообщения: 20.08.2008 23:43

ValdikZZ
В процессах, вроде, все четко

Автор: ohlos
Дата сообщения: 21.08.2008 00:25

Цитата:

В процессах, вроде, все четко

Симптомы представителя трояна.даунлоудера, скорей всего у тебя winlogon уже "пропатченый" и через него (svchost) идет и подкачка и размножение дряни. Почему и в процессах "все четко". Каспер не всегда успешен в борьбе.
sfc /scannow поможет восстановить модифицированные системные файлы.
Ручками поудаляй из WINDOWS\system32 и из Documents and Settings\твой_профиль\Local Settings\Temp\ все свежие ехе, sys, tmp. После этого можно перегружаться и предоставить Касперу добивать остатки.

Автор: Ludwiq_1
Дата сообщения: 21.08.2008 14:00

ohlos
Спасибо. Попробую. Из наделанных в поледние дни dll-лок Капер одну рапознал как троян. Но я прикончил всех. Кроме того, Каспер посчитал троянами все wmv-файлы, ипользовавшиеся, например, NEro в своих приложениях.

Добавлено:
Самое удивительное, что когда в реестре я убиваю ключ и путь к новой злосчастной dll-ке, через секунду все это восстанавливается, блин

Страницы: 1

Предыдущая тема: Посоветуйте XP Corporate Edition

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.