Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Explorer moj nasusni iliti WTF je pmnoLdAr.dll???

[es] :: Zaštita :: Explorer moj nasusni iliti WTF je pmnoLdAr.dll???

[ Pregleda: 1652 | Odgovora: 4 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Kosmosnaut
Beograd, Srbija

Član broj: 13011
Poruke: 41
*.cpe.vektor.net.



Profil

icon Explorer moj nasusni iliti WTF je pmnoLdAr.dll???16.07.2008. u 16:02 - pre 190 meseci
OK, šta je dođavola pmnoLdAr.dll? To je moje pitanje.


Imam (imao) sam Windows XP SP2. A onda je pre nekoliko dana explorer.exe počeo da se restaruje/gasi. Kad god bi se malo opteretio taj servis (kopiranje među folderima, listanje sadržaja foldera itd.) ili posle nekog vremenskog intervala explorer.exe bi se ili gasio ili restartovao. Nikako nisam uspevao da dođem do Event Viewer-a. A evo šta sam sve uradio da bih otklonio ''kvar'' (nisam siguran za tačan redosled).

Prvo sam restartovao kompjuter, ali nepromenjeno. Zatim sam uredno ažuriranim Spybot S&D odradio Imunize pa skenirao sistem, pronašao neke malware, obrisao ih, restartovao, ali i dalje nepromenjeno. Napominjem da imam rezidentnu AV zaštitu NOD32, a i pratio sam sve konenkcije putem Vstat-a, međutim ništa sumnjivo. U Safe modu je sve radilo najnormalnije. U međuvremenu sam iščitao log fajlove sistema i video sledeće -

Source:Winlogon;
EventID:1002;
Message:The shell stopped unexpectedly and Explorer.exe was restarted.

Naravno tu poruku sam dobijao u log fajlu svaki put kada bi explorer ''stradao''. Malo sam listao po netu i nigde nije bilo identičnog predloga rešenja. Bio sam u dilemi da li krenuti linijom manjeg otpora i reinstalirati Windows ili potrošiti više vremena, pronaći uzrok i otkloniti ga. Kako se informacionim tehnologijama bavim profesionalni, krenuo sam ''dužim'' putem.

Da ne dužim sa detaljima, narednih par dana sam koristio sledeće alate i metode:
repair instalacija Windows XP SP2 preko postojeće, Registry Mechanic, CCleaner, SuperAntiSpyware, Advance Widows Care, defragmentacija diska, testiranje RAM i drugih komponenti high stress testovima (a pritom sistememi na drugim particijama rade ok), full AV skeniranja, gro alata sa UBCD4WIN i Hiren's-a, instalacija Service Pack 3, + još milion programa i metoda, ali opet bezuspešno. Ne samo da nisam rešio problem, nego nisam znao ni uzrok.

Zatim sam pomoću ShellExView-a odradio disable svih komponenti koje nisu Microsoft. E tu se već nazire rešenje. Nakon restarta sam opet pokrenuo ShellExView i video da jedna komponenta nije disable-ovana. Niti ima Extension Name, niti verziju, niti Product Name, niti, niti, niti... Ima samo koji fajl je u pitanju (gore navedeni pmnoLdAr.dll), vreme kada je kreiran (u noćnom periodu kada je samo uTorrent bio aktivan), CLSID u registru i tip Browser Helper Object. Kada sam fajl obrisao, naravno tako što sam podigao Win sa druge particije, problemi su nestali. Ostaje zapis u registru koji se uvek pojavljuje i nakon brisanja, ali Widows sada radi ok.


E sad, zašto sam sve ovo napisao? Pa u slučaju da neko ima slične probleme može da ih reši bez da uludo troši vreme. A s druge strane i mene zanima šta je ovo. Pa da ponovim pitanje, zna li neko šta je dođavola pmnoLdAr.dll?


Hvala unapred.

PS
Da, odradio sam pretragu na Google, ali nema nikakvih rezultata.
 
Odgovor na temu

Flash411

Član broj: 53039
Poruke: 1846
*.adsl.net.t-com.hr.

Jabber: flash411@jid.pl
ICQ: 296417234
Sajt: www.etfos.hr/~mgavlik/goo..


+4 Profil

icon Re: Explorer moj nasusni iliti WTF je pmnoLdAr.dll???16.07.2008. u 16:27 - pre 190 meseci
Virus,99%,iskljuci(disable ili stagod),restart,obrisi ili nadji neki program da obrise tokom boot-a.
Gone insane,be right back..... | Malo drugacija google pretraga
http://poremecenum.blog.hr/ | http://www.etfos.hr/~mgavlik/googledirectorysearch/
____________________________________________________
Failure is not an option. It comes bundled with Windows.
 
Odgovor na temu

Kosmosnaut
Beograd, Srbija

Član broj: 13011
Poruke: 41
*.cpe.vektor.net.



Profil

icon Re: Explorer moj nasusni iliti WTF je pmnoLdAr.dll???16.07.2008. u 21:10 - pre 190 meseci
Citat:
Flash411: Virus,99%,iskljuci(disable ili stagod),restart,obrisi ili nadji neki program da obrise tokom boot-a.


Kao što sam već rekao, skenirao sam komp sa NOD32, McAfee, Avast, svaki uredno ažuriran, ali ništa. Ne mogu u potpunosti da tvrdim da nije virus, ali u ovom trenutku ne verujem da je to u pitanju.

Treba imati u vidu da su virusi karakteristični po tome što napadaju već postojeće fajlove na sistemu, bilo da ih u potpunosti menjaju ili ga modifikuju. Pak s druge strane crvi su ti koji se kopiraju kao novonastali fajlovi na sistemu (ovo je ujedno glavna razlika između ove dve pošasti). Međutim ako krenemo od toga da je u pitanju crv, a ne virus, treba uzeti u obzir drugu glavnu karakteristiku crva, a to je usporavanje sistema usled nekontrolisanog trošenja resursa, što kod mene nije slučaj. Sve je radilo fenomenalno sem činjenice da se explorer.exe gasi ili restartuje. U pitanju je fajl (pmnoLdAr.dll) koji se integrisao u shell. Znači simptomi nisu u potpunosti karakteristični niti za viruse niti za crve.

Treća kategorija pošasti koja bi došla u obzir je malware/spyware, što je po mom mišljenju najverovatnije, ali mi je čudno što ga ni jedan program (Spybot S&D, AWC, AdAware, SuperAntiSpyware, plus još ko zna koliko sličnih programa) uredno ažuriranih, nije detektovalo. Niti je bilo nekih sumljivih konekcija (Vstat, netstat).

E sad možda sam ja jednostavno takve sreće da sam zakačio neku zero-day pošast. Međutim prošlo je već 4 dana od kada se problem javio, odnosno jedan od kako sam problem rešio, ali na Internetu još nema ništo o tome. Znam da ovaj period deluje i suviše kratko, ali kompanije koje se bave zaštitom sistema su najažurnije u IT industriji, a ni jedan od velikih igrača nema odgovor na to, odnosno nema ništa o tome (doduše nisam probao Kasperky i Norton ;-) ). Naravno, ovo govorim ako je stvarno u pitanju neki virus/crv/malware/spyware.

Ah da, nećkao sam se oko toga da li da ovu temu postavim u Zaštitu ili Desktop. Međutim kako je problem bio u servisu koji je osnova Windows UI-a tema je završila u Desktop, ali poštujem odluku moderatora.

Pozdrav.
 
Odgovor na temu

Flash411

Član broj: 53039
Poruke: 1846
*.adsl.net.t-com.hr.

Jabber: flash411@jid.pl
ICQ: 296417234
Sajt: www.etfos.hr/~mgavlik/goo..


+4 Profil

icon Re: Explorer moj nasusni iliti WTF je pmnoLdAr.dll???16.07.2008. u 21:29 - pre 190 meseci
Imas pravo,ovo je crvoliko ponasanje. No medjutim,ja to ne sortiram,to je za mene
nezeljen fajl,koji tu ne treba biti,pa da je ne znam od koga,i da je ne znam zbog cega tu.
Primjetio sam da je u zadnjih godinu dana vrlo popularan ovaj nacin sirenja "virusa",da ih tako
nazovem. U pocetku je to bilo relativno jednostavno,vidis novi proces,nepoznat,sigurno je
"virus". Kasnije su ih poceli malo sakrivati,kao nevidljive IE prozore ili kao rundll32.exe,tako da se
nevidi sta je tocno. Sad su ih poceli integrirati u npr. winlogon.exe,explorer.exe kao dodatne dll-ove
pri startup-u,tako da ih je nemoguce naci bez specijaliziranih alata,i nisam jos vidio nijedan
antivirus,ni ostale anti* programe koji ih uspjesno prepoznaju,no medjutim ti dll-ovi znaju svasta
raditi,stvaraju i diskovnu i mreznu aktivnost tako da nikako nisu dobrocudni i treba ih iskorijeniti.
Ali samim tim integriranjem su i nevidljivi,a i tesko ih je ukloniti jer njihove host procese nemozes
iskljuciti pa njih izbrisati. Uvijek ostaje file handle otvoren s nekim procesom koji je visi u hijerarhiji
i moras koristiti neki alat da ga maknes iz startup-a i onda jos neku alatku da ga obrise tokom boot-a
ili koristiti live cd,ili u krajnjem slucaju spojit hard na drugo racunalo. Mislim da to nije zero-day,to se
odavno povlaci,a u zastiti je iz ocitih razloga.
Gone insane,be right back..... | Malo drugacija google pretraga
http://poremecenum.blog.hr/ | http://www.etfos.hr/~mgavlik/googledirectorysearch/
____________________________________________________
Failure is not an option. It comes bundled with Windows.
 
Odgovor na temu

[es] :: Zaštita :: Explorer moj nasusni iliti WTF je pmnoLdAr.dll???

[ Pregleda: 1652 | Odgovora: 4 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.