Epiuqe Opublikowano 15 Lutego 2012 Zgłoś Udostępnij Opublikowano 15 Lutego 2012 Witam. Od kilku dni borykam się z problemem samoczynnego wyłączania się usługi RPC. Zostaje wyświetlone stosowne okienko z komunikatem "System windows muis byc uruchomiony ponownie poniewaz usluga zdalne wywolywanie procedur (RPC) została nieoczekiwanie przerwana.", po czym po minucie komputer uruchamia się ponownie. W uslugach systemu zmienilem opcje dla tej uslugi z "Uruchom komputer ponownie" na "Uruchom usluge ponownie". Usługa wyłącza sie raz po godzinie, innym razem po 3. Po ponownym uruchomieniu uslugi nie moge skopiowac zadnego pliku ani przeniesc go metoda przciagnij i upuść. Nie mam również dźwięku w systemie(muzyka, filmy,gg), ale w odtwarzaczach na youtube itp. stronach dźwięk mam. Po ponownym uruchomieniu PC wszystko wraca do normy aż do ponownego wyłączenia sie usługi RPC. Results of screen317's Security Check version 0.99.31 Windows XP Service Pack 3 x86 Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: ESET Smart Security Antivirus up to date! ``````````````````````````````` Anti-malware/Other Utilities Check: CCleaner Driver Cleaner 3 Java™ 6 Update 30 Java™ SE Development Kit 6 Update 26 Java DB 10.6.2.1 Adobe Flash Player 11.1.102.55 Adobe Reader X (10.1.1) Mozilla Firefox (9.0.1) ```````````````````````````````` Process Check: objlist.exe by Laurent ``````````End of Log```````````` OTL.Txt GMER_LOG.txt Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2012 Zgłoś Udostępnij Opublikowano 15 Lutego 2012 To nie jest pełny log z OTL, brakuje Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Infekcja jest obecna, są tu pliki charakterystyczne dla keyloggera nabytego przez trefne paczki Tibia. Pliki utworzone w jednej grupie: [2012-01-30 14:43:44 | 000,008,747 | ---- | C] () -- C:\Documents and Settings\User\Moje dokumenty\tibiaAuto.cfg.Holsweiger.xml[2012-01-30 14:38:13 | 000,000,089 | ---- | C] () -- C:\Program Files\Common Files\userInit.dll[2012-01-30 13:55:40 | 001,867,776 | ---- | C] () -- C:\WINDOWS\System32\python24.dll[2012-01-30 11:41:57 | 000,027,958 | ---- | C] () -- C:\Program Files\Common Files\logonInit.dll[2012-01-30 11:37:42 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\rjlb.dll Plik rjlb.dll to nowa wersja infekcji splg.dll. Plik podstawia systemowy WS2_32.dll. GMER pokazuje czynności tej biblioteki. Usunięcie pliku rjlb.dll bez korekty powoduje pad Windows i programów. W pierwszej kolejności należy wymienić plik systemowy. Pobierz i uruchom zgodnie z wytycznymi ComboFix. Przedstaw wynikowy raport. . Odnośnik do komentarza
Epiuqe Opublikowano 16 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lutego 2012 ComboFix log ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 16 Lutego 2012 Zgłoś Udostępnij Opublikowano 16 Lutego 2012 ComboFix wykonał, co miałam na uwadze, czyli podmianę zainfekowanego pliku systemowego ws2_32.dll: Zainfekowana kopia c:\windows\system32\ws2_32.dll została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\ERDNT\cache\ws2_32.dll Tylko mam wątpliwości jaki mamy teraz plik, bo odzyskiwał z C:\Windows\ERDNT\cache, a to jest folder ... generowany przez ComboFix. Jeżeli ComboFix nigdy tu nie był stosowany w systemie, ten folder powstał z bieżącej sytuacji. Dla pewności wykonaj skanowanie na sumy kontrolne, w tym dla pliku sfcfiles.dll, który również ma adnotację braku sygnatury. Uruchom OTL, ustaw "Rejestr - skan dodatkowy" na "Użyj filtrowania", w sekcji Własne opcje skanowania / skrypt wklej: /md5start ws2_32.dll sfcfiles.dll /md5stop Klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw logi wynikowe (powstanie i Extras). . Odnośnik do komentarza
Epiuqe Opublikowano 16 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 16 Lutego 2012 Logi OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 16 Lutego 2012 Zgłoś Udostępnij Opublikowano 16 Lutego 2012 Zdaje się, że plik ws2_32.dll już jednak jest poprawny, ma sumę kontrolną zgodną z sumą pliku w XP SP3. Nie widzę już także delikwenta rjlb.dll podpiętego w załadowanych modułach. Można przejść do zasadniczego usuwania pliku rjlb.dll: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\System32\rjlb.dll C:\Program Files\Common Files\userInit.dll :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Usuń wszystko co pobierałeś + instalowałeś tuż przed wystąpieniem objawów, a jest związane z Tibia. 3. Oczyść przeglądarki ze śmieci / wątpliwych wtyczek: w Firefox odinstaluj rozszerzenie LogiTool Community Toolbar, zaś w Google Chrome w pluginach wyłącz Conduit. Wtyczkę vShare omijam, bo nie widzę śmieci dodatkowych z nią związanych. 4. Wygeneruj nowy log z OTL opcją Skanuj (Extras po raz drugi nie potrzebuję) + dołącz log z wynikami usuwania z punktu 1. . Odnośnik do komentarza
Epiuqe Opublikowano 17 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lutego 2012 Firefox wszystko bez problemu poszło. W google chrome owego pluginu nie znalazłem, ani w samej przeglądarce ani poprzez lokalizacje z logow. W C:\Documents and Settings mam foldery użytkowników Sławek oraz Sławek.USER. Takowych użytkowników nie mam ani w panel sterowania>konta użytkowników ani w zarządzanie komputerem> użytkownicy i grupy lokalne > użytkownicy. Czy mogę po prostu usunąć te foldery? http://iv.pl/images/...12276950781.jpg Log ze skryptu.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Lutego 2012 Zgłoś Udostępnij Opublikowano 17 Lutego 2012 Skrypt pomyślnie wykonany, nie widzę żadnych dodatkowych symptomów infekcji. Przywróć domyślne ustawienia usługi RPC i wypowiedz się jasno czy problemy z awarią tej usługi nadal występują. W google chrome owego pluginu nie znalazłem, ani w samej przeglądarce ani poprzez lokalizacje z logow. vs. CHR - plugin: ConduitChromeApi (Enabled) = C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\nhpkmiagegecdobdhaoabenofkgdgjdb\2.4.0.4_0\js/ConduitChromeApiPlugin.dll Wykonaj edycję pliku konfiguracyjnego Google Chrome. Zamknij przeglądarkę, otwórz plik C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences, w nim wyszukaj ustęp "plugins": i wytnij z niego fragment podobny do tego (uważaj na zaknięcia {}, musisz zachować formułę listowania wtyczek wynikającą z ciągłości): { "enabled": true, "name": "ConduitChromeApi", "path": "C:\\..... ConduitChromeApiPlugin.dll", "version": "....." }, Zapisz zmiany w pliku. W C:\Documents and Settings mam foldery użytkowników Sławek oraz Sławek.USER. Takowych użytkowników nie mam ani w panel sterowania>konta użytkowników ani w zarządzanie komputerem> użytkownicy i grupy lokalne > użytkownicy. Czy mogę po prostu usunąć te foldery? Wygląda na to, że możesz to usunąć, skoro brak widzialnych kont, a aktualnie pracujesz na koncie User ładowanym z "C:\Documents and Settings\User". . Odnośnik do komentarza
Epiuqe Opublikowano 18 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2012 Powstał nowy problem. Chrome zaczął się sam wyłączać. Czasem od razu po starcie, przy próbie załadowania strony, odświeżając. Wstępnie pomyślałem, że się mogłem machnąć przy edycji tego pliku. Usunąłem przeglądarkę przez revouninstaler. Zainstalowałem ponownie lecz problem nie znikł. Odnośnik do komentarza
picasso Opublikowano 18 Lutego 2012 Zgłoś Udostępnij Opublikowano 18 Lutego 2012 Usunąłem przeglądarkę przez revouninstaler. Zainstalowałem ponownie lecz problem nie znikł. Czy Revo Uninstaller na pewno był tu skuteczny? 1. Odinstaluj Google Chrome normalną drogą. 2. Ręcznie usuń z dysku katalog C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google 3. Start > Uruchom > regedit i usuń klucze: HKEY_CURRENT_USER\Software\Google HKEY_LOCAL_MACHINE\Software\Google 4. Zainstaluj ponownie Google Chrome. Jakie efekty? . Odnośnik do komentarza
Epiuqe Opublikowano 18 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 18 Lutego 2012 Niestety nie pomogło. Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2012 Zgłoś Udostępnij Opublikowano 19 Lutego 2012 Zrób nowe logi z OTL. Odnośnik do komentarza
Epiuqe Opublikowano 19 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2012 Logi OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2012 Zgłoś Udostępnij Opublikowano 20 Lutego 2012 (edytowane) Wszystko zdaje się być w porządku, w rozumieniu: nie widzę żadnych niepożądanych zmian. Różnica między logami przed awarią Google Chrome i po to wersja przeglądarki, 16.0.912.75 vs. 17.0.963.56. Chrome zaktualizowało się. Nasuwa się, że może to być wada wersji lub brak współpracy wersji z doinstalowanymi wtyczkami. Wykonaj diagnostykę czy Chrome jest awaryjne: 1. Po wyłączeniu osłony rezydentnej ESET. 2. W stanie zredukowanych dodatków: - W pasku adresów chrome://extensions: wyłącz wszystkie niedomyślne rozszerzenia. - W pasku adresów chrome://plugins: wyłącz prawie wszystkie niedomyślne wtyczki (Adobe / Java / Silverlight i inne MS / Game Face / Google Update / Picasa / RealPlayer / Unity Player) - Przeładuj przeglądarkę. . Edytowane 25 Marca 2012 przez picasso 25.03.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi