Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Zainfekowany plik RJLB.DLL

xXMinecraft135

Rekomendowane odpowiedzi

xXMinecraft135

xXMinecraft135

Opublikowano
Opublikowano

Od paru dni co kilka godzin pojawiał mi się komunikat ,,Zamykanie systemu.,, więc postanowiłem przeskanować system za pomocą antywirusa Comodo, ale nic nie wykrył a system nadal się resetował. postanowiłem ściągnoć inny program ktury wykrył 10 infekcji, a usuną tylko 9. infekcją ktura została jest infekcja pliku rjlb.dll.

Co mam zrobić z tym plikiem? Pomocy!

Mam Windows xp 32-Bitowy

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Zapomniałeś o obowiązkowym raporcie z GMER, który byłby kolejnym dowodem na to, że keylogger Tibia działa. Moduł jest załadowany:

 

========== Modules (No Company Name) ==========
 

MOD - [2013-04-25 11:53:46 | 000,005,632 | ---- | M] () -- C:\WINDOWS\system32\rjlb.dll

 

Infekcja rjlb.dll modyfikuje systemowy plik ws2_32.dll, dlatego pliku rjlb.dll nie wolno usunąć "od ręki" (padnie system), najpierw należy wyleczyć plik systemowy ws2_32.dll. Podaj skan czy są poprawne kopie pliku do zamiany. Uruchom SystemLook i w oknie wklej:

 

:filefind
ws2_32.dll

 

Klik w Look. Log krótki, wklej zawartość wprost w poście.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Niestety, w systemie nie ma poprawnej kopii, muszę plik przesłać. Akcja:

 

1. Przesyłam na PW plik zgodny z XP SP3. Rozpakuj i umieść go wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

CopyFile:
C:\ws2_32.dll C:\WINDOWS\system32\ws2_32.dll

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows pojawi się ekran BlitzBlank. BlitzBlank utworzy na dysku C log.

 

3. Zrób nowy log z SystemLook na ten sam warunek co wcześniej oraz zaległy GMER. Wklej też wprost do posta zawartość raportu BlitzBlank.

 

 

Jeśli wszystko pójdzie dobrze, będzie można usunąć plik rjlb.dll oraz zająć się czyszczeniem systemu z adware.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

BlitzBlank oraz SystemLook wskazują, że plik został pomyślnie podmieniony, ale GMER ma podejrzane hooki z WS2_32.dll. Na razie tę rozbieżność pomijam i zabieram się za dalsze czyszczenie systemu, zobaczymy co będzie w modułach po kolejnych resetach. Akcje:

 

1. Przez Dodaj/Usuń programy odinstaluj adware Conduit Engine, DownTango Launcher Toolbar, Protected Search 1.1.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.google.com"
"Search Page Before"=-
"Start Default_Page_URL"=-
"Start Page"="about:blank"
"Start Page Before"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Default_Page_URL"=-
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AboutURLs]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"="http://www.google.com"
"CustomizeSearch"="http://www.google.com"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files



C:\WINDOWS\tasks\Protected Search.job



C:\WINDOWS\tasks\ROC_JAN2013_TB_rmv.job



@C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:WwsmSh7oT5QUDb0H



@C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:e8RTdGb9RvZ9moRLZ61



@C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:ntih27azDgFzIicT2wZVYvh2



C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\YPR6Az4Zyv



C:\Documents and Settings\Admin\Dane aplikacji\B1Toolbar



C:\Documents and Settings\Admin\Dane aplikacji\DealPly



C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\abqsuy23.default\prefs.js



C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\abqsuy23.default\extensions\{890a3e16-521d-4d00-bdf9-e07218d09c8d}



C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\abqsuy23.default\extensions\amo@dealplyshopping.com



C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\abqsuy23.default\searchplugins\Web Search.xml



C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Extensions\IMVUClientXUL@imvu.com



C:\Program Files\mozilla firefox\searchplugins\babylon.xml



C:\Program Files\mozilla firefox\searchplugins\Web Search.xml



C:\Program Files\DealPly


 



:OTL



IE - HKU\S-1-5-21-1547161642-1425521274-1177238915-1003\..\URLSearchHook: {b6e58c46-0d70-4e2b-ab06-1311ea3de818} - No CLSID value found



FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Web Player\npdivx32.dll File not found



FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll File not found



FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Unity\WebPlayer\loader\npUnity3D32.dll File not found



O3 - HKU\S-1-5-21-1547161642-1425521274-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.



O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - Reg Error: Value error. File not found



DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)



DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)



DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnet.sys -- (ZTEusbnet)



DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)



DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\massfilter.sys -- (massfilter)



DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)



DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)



DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ewfiltertdidriver.sys -- (filtertdidriver)



DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)



DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)


 



:Commands



[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Uwaga: resetuję preferencje Firefox poprzez usunięcie pliku prefs.js. To oznacza, że ustawienia wrócą do postaci domyślnej i będziesz musiał ręcznie ustawić stronę startową czy przeinstalować pożyteczne używane rozszerzenia.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Na Pulpicie są obiekty o wadliwej nazwie:

 

========== Files - Modified Within 30 Days ==========
 

File not found -- C:\Documents and Settings\Admin\Pulpit\Hero's come back nobodykonows

File not found -- C:\Documents and Settings\Admin\Pulpit\Demi Lovato Performs

 

Skasuj je za pomocą Delete FXP Files.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 3 oraz ten utworzony przez AdwCleaner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Podmiana zainfekowanego pliku ws2_32.dll odbyła się już i obecnie nie ma oznak (ani w GMER, ani w OTL w załadowanych modułach), by plik rjlb.dll był czynny. On owszem jest na dysku nadal, ale to w historii tematu naturalne, ponieważ pliku nie wolno usunąć, dopóki nie zostanie podmieniony ws2_32.dll. Obecnie plik rjlb.dll jest nieczynny i można go skasować w prosty sposób. W dostarczonych tu raportach ogólnie nie widać żadnych oznak czynnej infekcji, a wcześniej wykonane zadania udane. Tylko poprawki:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\System32\rjlb.dll
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Do oceny wystarczy tylko log z wynikami usuwania OTL. Nowy skan zbędny. I wypowiedz się wyraźnie, czy nadal są jakieś problemy.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Skrypt pomyślnie wykonany.

 

Od kilku dni mi komputer się tnie

 

Wielokrotnie był uruchamiany GMER. Sprawdź czy nie wystąpiły skutki uboczne skanu, czyli obniżenie szybkości transferu dysku z DMA do PIO. Instrukcje weryfikacji: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Ważną linią przy ocenie jest "bieżący tryb transferu".

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W ogóle nie sprawdziłeś tego co należało. Mówiłam która linia jest istotna:

 

Sprawdź czy nie wystąpiły skutki uboczne skanu, czyli obniżenie szybkości transferu dysku z DMA do PIO.
(...)
Ważną linią przy ocenie jest "bieżący tryb transferu".

 

Na pierwszym obrazku dla Urządzenia głównego stoi: Bieżący tryb transferu: Tryb PIO. Kliknij prawym na Podstawowy kanał IDE i wybierz opcję deinstalacji. Zresetuj system. Jeśli akcja powiedzie się, Windows przyzna DMA i wszystko znacznie przyśpieszy.



.

Odnośnik do komentarza
  • 2 tygodnie później...
picasso

picasso

Opublikowano
Opublikowano

"Napisałeś" = jestem kobietą. Problem rozwiązany, więc możemy kończyć:

 

1. Usuń narzędzia: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę dokasuj ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Porównaj co wymaga aktualizacji (ostatni z dostarczonych raportów OTL dzieli trochę czasu już): KLIK.

 

4. Prewencyjnie pozmieniaj hasła logowania w grach i serwisach oline.

 

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...