RUNDLL

BETAVIRTUAL · 14 de julho de 2005

Bom gente estou com problemas toda vez que ligo a maquina aparece

Esta mensagem:

Topo:rundll

Mensagem excesão ao tenta executar c:/windows/newdot~1,newdotnetstartup

Começou acontecer isso depois que passei o hjacthis e infelizmente acho que fiz besteira!!!!!!!!!

Espero que alguem me ajude vou colocar o log do hjackthis para que alguem que tenha conhecimento deste maravilhoso programa possa me ajudar

Logfile of HijackThis v1.99.1

Scan saved at 16:42:47, on 14/7/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\WinZip\WZQKPICK.EXE

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Microsoft Office\Office10\WINWORD.EXE

C:\Arquivos de programas\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrador\Meus documentos\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.globo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = &http://home.microsoft.com/intl/br/access/allinone.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = &http://home.microsoft.com/intl/br/access/allinone.asp

O2 - BHO: FavoriteMan Class - {139D88E5-C372-469D-B4C5-1FE00852AB9B} - C:\WINDOWS\system32\ofrg.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\arquivos de programas\google\googletoolbar2.dll

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - C:\WINDOWS\Downloaded Program Files\gbieh.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\arquivos de programas\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Detector] C:\WINDOWS\twain_32\300X600\Detector.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\WINDOWS\NEWDOT~1.DLL,NewDotNetStartup

O4 - HKLM\..\Run: [inCD] C:\Arquivos de programas\Ahead\InCD\InCD.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Arquivos de programas\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Arquivos de programas\WinZip\WZQKPICK.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Arquivos de programas\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\acstart16.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Google Search - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\arquivos de programas\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Arquivos de programas\Messenger\msmsgs.exe

O10 - Hijacked Internet access by New.Net

O12 - Plugin for .ofb: C:\ARQUIV~1\INTERN~1\PLUGINS\NPONFLOW.DLL

O12 - Plugin for .pdf: C:\Arquivos de programas\Internet Explorer\PLUGINS\nppdf32.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=&http://home.microsoft.com/intl/br/access/allinone.asp

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1114871287207

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061...all/xscan53.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D483A188-C759-4728-A8EE-6B8E8A5E953C}: NameServer = 200.204.0.10 200.204.0.138

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Arquivos de programas\Arquivos comuns\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Arquivos de programas\Arquivos comuns\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

O23 - Service: WinPPPoverEthernet - Unknown owner - C:\Arquivos de programas\Speedy\WrOS.EXE (file missing)

USO O WINDOWS XP PROFISSIONAL COM O PACK 2 INSTALADO

OBRIGADO DESTE JA!!!!

BETAVIRTUAL · 14 de julho de 2005

A proposito esta eu dando uma olhada no log do meu hjackthis e me assustei

Alguem que conheça o programa poderia me dizer se esta linha e normal aparecer ???????

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

GRATO

Tópico editado por estar escrito todo em maiusculas

JoseMelo · 14 de julho de 2005

- Abra o Adicionar e Remover Programas no Painel de Controle e veja se há o programa New.Net ou NewDot.Net. Se houver desinstale.

- 1 - Configure o computador para mostrar todos os arquivos:

Painel de Controle > Opções de Pasta > Modo de Exibição e desmarque Ocultar arquivos protegidos do sistema operacional (recomendado). Marque Mostrar pastas e arquivos ocultos;

2 - Abra o Bloco de Notas e copie todo o conteúdo deste post para ele e salve em local de fácil acesso;

3 - Reinicie o PC em entre em modo seguro (pressione F8 durante a inicialização e escolha modo seguro na tela de seleção);

4 - Já em modo seguro, abra o HijackThis, clique em Do a system scan only. Marque somente as entradas abaixo e clique Fix checked:

O2 - BHO: FavoriteMan Class - {139D88E5-C372-469D-B4C5-1FE00852AB9B} - C:\WINDOWS\system32\ofrg.dll

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\WINDOWS\NEWDOT~1.DLL,NewDotNetStartup

O16 - DPF: {2E3C3651-B19C-4DD9-A979-901EC3E930AF} - https://wwwss.bradesco.com.br/ib2k1/scpsssh2.cab

5 - Faça o download do programa abaixo e execute-o clicando em Executar Cleaner:

CCleaner

- Faça uma busca pela pasta abaixo e delete o arquivo em destaque:

C:\WINDOWS\system32\ofrg.dll

- Gere novo log e cole-o na sua resposta.

BETAVIRTUAL · 14 de julho de 2005

Caro amigo josemelo você esta me respondendo sobre o rudll ou sobre minha duvida sobre o bradesco?????

Acredito que seja sobre o bradesco , então isso quer dizer que minha maquina foi invadida??????

Bom seguirei sua orientação e procurarei mais sobre o caso ate e obrigado por enquanto

Tópico editado por estar escrito todo em maiusculas

JoseMelo · 14 de julho de 2005

- Sim sobre os dois casos:

NewDot.Net é um spyware que foi instalado no seu PC e é necessário removê-lo;

- No caso do link do Bradesco também foi baixado por um programa para obtenção de senhas. Para excluí-los siga as instruções acima e cole novo log na sua resposta.

BETAVIRTUAL · 14 de julho de 2005

E Realmente Os Dois Assuntos Estão Ligados Quando Tento Desinstalar O New.Net Instalaccion Aparece A Mesma Mensagem Que Citei Sobre O Rundll , Mas Estou Tentando

Tópico editado por estar escrito todo em maiusculas

JoseMelo · 14 de julho de 2005

- Se não conseguir a desinstalação, execute os procedimentos citados.

- Após os procedimentos com o HijackThis, gere novo log e cole na sua resposta.

BETAVIRTUAL · 14 de julho de 2005

Prezado josemelo sua dica foi maravilhosa minha maquina ficou até mais rapida , muito obrigado!!!!!

So que devido a lentidão da minha maquina ja estava caçando uma sulução mais não sabia o que era , com certeza era isso e você foi muito util com o seu tuto obrigado , mas tive que fugir um pouco do seu tuto vou descrever o que fiz e por gentileza ve se você aprova ai tá!!!!

Quando tenteva desinstalar o new.net application (esse era o nome que ele instalou no desinstalar e remover programa ele me dava a mensagem identica do rudll em que eu poste minha duvida!!!!! E consequentimente não me deixava desinstalar o mesmo.

Mesmo assim entrei em modo de segurança e utilizei o hjackthis e segui sua dica e obti exito , mas faltava uma coisa desinstalar o tal new.net ai abaixei o programa ccleaner e o executei em modo de segurança e não encontrei o tal c:\windows\system32\ofrg.dll , mas não desisti então fui para o recurso regetit e ai procurei pela palavra new.net e apaguei tudo que se encontrava com esse nome e felizmente quando fui ao desinstalar e remover programa o maldito new.net application não estava mais .

Espero ter feito tudo certo e espero que avalie o modo que usei para que essa seja mais uma opção para esse problema josemelo.

Bom estou enviando aqui tb meu novo log do hjackthis para o seu conhecimento.

Espero ter eliminado este problema e agradeço mais uma vez

aproveitando quando você tiver um tempo me indique um tuto que me fale o que eu tenho que ter ou não no log do hjackthis pois gostaria de ajudar outras pessoas como você me ajudou!!!!!

Logfile of HijackThis v1.99.1

Scan saved at 19:55:09, on 14/7/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Arquivos de programas\Arquivos comuns\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\ARQUIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Arquivos de programas\Ahead\InCD\InCD.exe

C:\Arquivos de programas\MSN Messenger\msnmsgr.exe

C:\Arquivos de programas\WinZip\WZQKPICK.EXE

C:\Arquivos de programas\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe