Zainfekowany rjlb.dll

[wookiee]

Witam, mam zainfekowany plik rjlb.dll i gdy go usunę przez jakiś program antywirusowy to nie chcą uruchamiać się programy, Skorzystałem z jednych tematów niżej i wkleiłem do wiersza poleceń: sfc /scanfile=C:\Windows\SysWOW64\ws2_32.dll i zrestartowałem komputer.

Następnie przeskanowałem komputer OTLem i wklejam tutaj logi.

coś mam zrobić jeszcze? czy już wszystko jest w porządku?

OTL.Txt

Extras.Txt

[picasso]

Ta infekcja ma źródło w zainfekowanych paczkach Tibia. Wywołałeś komendę naprawy systemowego pliku, toteż plik rjlb.dll został odładowany i można go bezpiecznie usuwać (nadal go widzę na dysku). Zostały do doczyszczenia też odpadki adware, wpisy puste i szczątki antywirusów.

 

 

1. Odinstaluj: wszystkie boty / dodatki ostatnio pobrane do Tibia, cracka TNod User & Password Finder do ESET, AVG Security Toolbar (element pozostawiony po deinstalacji AVG) oraz LiveVDO plugin 1.3 (nośnik adware). W Google Chrome w rozszerzeniach odmontuj LiveVDO plugin.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\SysWow64\rjlb.dll
C:\Windows\program.exe
C:\Program Files (x86)\StartSearch plugin
C:\Users\Łukasz\AppData\Roaming\Mozilla\Firefox\Profiles\k790gcsx.default\searchplugins\startsear.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{3BBADD77-73E0-4B9B-9D12-252958E15110}"
 
:OTL
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=cf1c0f51-2042-11e1-aa66-889ffadeb38b&q={searchTerms}"
IE - HKU\S-1-5-21-1190575886-4199918518-1241815171-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={F2671539-C5C6-4353-9791-0FE3E17ECA98}&mid=12838f4cc2af4b9581533abf243c7561-d49aeee4c2bf9153833f4cc94d705b2574106eee&lang=en&ds=hk014&pr=sa&d=2012-08-03 11:36:01&v=12.2.5.32&sap=dsp&q={searchTerms}"
O3 - HKLM\..\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll File not found
O3 - HKU\S-1-5-21-1190575886-4199918518-1241815171-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1190575886-4199918518-1241815171-1001\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\S-1-5-21-1190575886-4199918518-1241815171-1001\..\Toolbar\WebBrowser: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll File not found
O4:64bit: - HKLM..\Run: [spywareTerminatorShield] C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorShield.exe File not found
O4:64bit: - HKLM..\Run: [spywareTerminatorUpdater] C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorUpdate.exe File not found
O4:64bit: - HKLM..\Run: [TNOD UP] "C:\Program Files (x86)\TNod User & Password Finder\TNODUP.exe" /i File not found
[2012/09/04 11:44:11 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft Security Client
[2012/08/18 11:50:47 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\AVG
[2012/08/18 11:41:44 | 000,000,000 | ---D | C] -- C:\ProgramData\MFAData
[2012/07/09 00:03:12 | 000,285,328 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\aswBoot.exe
[2012/07/03 23:54:58 | 000,000,000 | ---D | C] -- C:\ProgramData\AVAST Software
[2012/07/03 23:54:58 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software
[2012/03/01 00:28:38 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Trend Micro
[2012/02/29 22:11:06 | 000,000,000 | ---D | C] -- C:\Users\Łukasz\DoctorWeb
[2012/02/27 21:25:06 | 000,000,000 | ---D | C] -- C:\Users\Łukasz\AppData\Local\Threat Expert
[2012/02/27 12:05:34 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PC Tools
[2012/02/27 12:02:00 | 000,230,952 | ---- | C] (PC Tools) -- C:\Windows\SysNative\drivers\PCTSD64.sys
[2012/02/27 12:01:56 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\PC Tools
[2012/02/27 12:01:23 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools
[2011/11/25 13:06:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder
[2011/11/25 13:06:15 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\TNod User & Password Finder
[2011/11/25 13:05:07 | 000,000,000 | ---D | C] -- C:\Users\Łukasz\AppData\Roaming\ESET
[2011/11/25 13:05:07 | 000,000,000 | ---D | C] -- C:\Users\Łukasz\AppData\Local\ESET
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner.

 

 

 

.

[wookiee]

Dziękuję bardzo za pomoc. Poniżej zamieszczam trzy logi.

09042012_205401a.txt

AdwCleanerS1.txt

OTL.T1xt.txt

[picasso]

Skrypt nie znalazł pliku rjlb.dll na dysku (w logu uprzednio widoczny), najwyraźniej w międzyczasie jednak go skasowałeś. Reszta zadań wykonana. Przejdź do tej porcji czynności:

 

1. Mini poprawka na odpadek po pasku AVG. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [ROC_ROC_JULY_P1] "C:\Program Files (x86)\AVG Secure Search\ROC_ROC_JULY_P1.exe" / /PROMPT /CMPID=ROC_JULY_P1 File not found

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. W Google Chrome ostały się wtyczki LiveVDO:

 

========== Chrome  ==========
 
CHR - plugin: LiveVDO plug-in (Enabled) = C:\Users\\u0141ukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\chvsharetvplg.dll
CHR - plugin: LiveVDO plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll

 

Ich wycięcie wymaga edycji pliku Preferences, jak rozpisane tutaj w punkcie 3: KLIK. Oczywiście bierz poprawkę na inną nazwę wtyczek.

 

3. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java™ 6 Update 20 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

 

Windows nie aktualizowany (brak SP1+IE9), a wszystkie stare Java i Adobe odinstaluj zastępując najnowszymi wersjami.

 

 

PS. Gadu-Gadu 10 też sugeruję zamienić czymś przyjaźniejszym dla zasobów. Propozycje: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.