Problem z rjlb.dll

[mayysterr]

Ten problem pojawiał się już kilka razy na forum, i tym razem ja jestem ofiarą. Przy otwieraniu większości programów wyskakuje okno "Nie można uruchomić programu, ponieważ na komputerze nie znaleziono rjlb.dll .(...)". Działa IE w wersji 64 bit.

 

Mam Windows 7 Home Premium, Service Pack 1, 64 bitowy system operacyjny.

Proszę o pomoc.

 

p.s Mam już combofixa, ale jeszcze go nie uruchamiałem.

[Landuss]

Bez ComboFixa da się to też naprawić i najpierw tak spróbujmy. Programy 64 bitowe powinny się uruchamiać normalnie. Wykonaj jednak jeszcze raport na dodatkowym warunku - uruchom SystemLook x64 i do okna wklej:

 

:filefind
ws2_32.dll

 

Klik w Look. Przedstaw raport.

[mayysterr]

SystemLook 30.07.11 by jpshortstuff

Log created at 19:35 on 04/06/2012 by Acer

Administrator - Elevation successful

========== filefind ==========

Searching for "ws2_32.dll"

C:\Windows\System32\ws2_32.dll --a---- 297984 bytes [15:27 08/12/2011] [13:27 20/11/2010] 4BBFA57F594F7E8A8EDC8F377184C3F0

C:\Windows\SysWOW64\ws2_32.dll --a---- 207360 bytes [15:27 08/12/2011] [19:46 03/06/2012] 131970B01C07AE2F94814FCD767EBAF7

C:\Windows\winsxs\amd64_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7600.16385_none_4eaca269e8070c6b\ws2_32.dll --a---- 296448 bytes [23:21 13/07/2009] [01:41 14/07/2009] 7083F463788CB34FCC42F565D56F89E8

C:\Windows\winsxs\amd64_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7601.17514_none_50ddb631e4f59005\ws2_32.dll --a---- 297984 bytes [15:27 08/12/2011] [13:27 20/11/2010] 4BBFA57F594F7E8A8EDC8F377184C3F0

C:\Windows\winsxs\x86_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7600.16385_none_f28e06e62fa99b35\ws2_32.dll --a---- 206336 bytes [23:12 13/07/2009] [01:16 14/07/2009] DAAE8A9B8C0ACC7F858454132553C30D

C:\Windows\winsxs\x86_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7601.17514_none_f4bf1aae2c981ecf\ws2_32.dll --a---- 206848 bytes [15:27 08/12/2011] [12:21 20/11/2010] 7FF15A4F092CD4A96055BA69F903E3E9

-= EOF =-

 

p.s czytałem że ta infekcja to keylogger, a wcześniej korzystałem z bankowosi online. Czy w jakiś sposób to coś mogło wykraść hasła używane jednnorazowo (niezapamiętane przez przerglądarkę) ?

[Landuss]

Z loga wynika, że w systemie jest poprawna kopia pliku do podmiany. Wykonaj poniższe zalecenia:

 

Przy starcie komputera wciśnij F8 > Napraw komputer > Wiersz polecenia i wykonaj dwie operacje:

 

1. Wpisz komendę notepad, z menu Plik > Otwórz > z boku przełącz na Komputer, co otworzy listę dysków. Sprawdź pod jaką literą jest widziany w tym środowisku dysk z Windows.

 

2. Wpisz komendę zamiany plików:

 

copy /y X:\Windows\winsxs\x86_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7601.17514_none_f4bf1aae2c981ecf\ws2_32.dll X:\Windows\SysWOW64\ws2_32.dll

 

Gdzie X = litera dysku z Windows pobrana w punkcie 1.

 

Restartujesz do Windows. Jeśli wszystko poprawnie się wykonało to powinieneś już uruchomić OTL i zaprezentować logi.

 

p.s czytałem że ta infekcja to keylogger, a wcześniej korzystałem z bankowosi online. Czy w jakiś sposób to coś mogło wykraść hasła używane jednnorazowo (niezapamiętane przez przerglądarkę) ?

 

Tak to pewnego rodzaju keylogger, zmianą haseł zajmiesz się na samym końcu jak już wszystko zostanie wyleczone.

[mayysterr]

Próbowałem kilkukrotnie, ale za każdym razem wyświetla się w cmd "Nazwa pliku, nazwa katalogu lub składnia etykiety woluminu jest niepoprawna. Liczba skopiowanych plików: 0"

 

W otwieraniu w notepadzie mam do wyboru

-System reserved(C:)

-Acer(E:)

-Boot(X:)

-Dane(D:)

-PQSERVICE(F:)

 

Zawsze wybierałem dysk C.

 

Czy jest inna możliwość podmiany tych plików ?

[picasso]

Zawsze wybierałem dysk C.

 

C z etykietą "System reserved" to nie jest dysk z Windows, to partycja rozruchowa trzymająca tylko pliki startowe. Wg spisu najbardziej prawdopodobną jest partycja E z etykietą "Acer".

 

 

Czy jest inna możliwość podmiany tych plików ?

 

Można też wymienić pliki przez trik z notatnikiem, jak opisane tu: KLIK. Plik X:\Windows\winsxs\x86_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7601.17514_none_f4bf1aae2c981ecf\ws2_32.dll to ten prawidłowy, kopiujesz go w celu nadpisania zainfekowanego pliku X:\Windows\SysWOW64\ws2_32.dll.

 

 

 

.

[mayysterr]

Pliczki podmieniłem, faktycznie byly na partycji E.

 

Załączam logi.

Extras.Txt

OTL.Txt

[picasso]

Plik rjlb.dll został skasowany wcześniej, aktualnie poprzez podmianę pliku systemowego ws2_32.dll skorygowany problem nieotwierających się programów. Zostały do likwidacji drobne szczątki paskowe.

 

 

1. Odinstaluj wszystkie dodatki do Tibia (na liście zainstalowanych np. widzę ElfBot NG 4.5.9 / Tibia MULTI-ip changer). To jeden z dodatków jest źródłem keyloggera rjlb.dll.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = loft4605.serverloft.com:3128
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = loft4605.serverloft.com:3128
IE - HKU\S-1-5-21-3372220405-3466121577-2169093991-1002\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}:&SearchSource=4&ctid=CT1060933&SSPV=IENOSGBR
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1060933&SSPV=IENOSGBR"
IE - HKU\S-1-5-21-3372220405-3466121577-2169093991-1002\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found
IE - HKU\S-1-5-21-3372220405-3466121577-2169093991-1002\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
O3 - HKU\S-1-5-21-3372220405-3466121577-2169093991-1002\..\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-781CD0E19F00} - No CLSID value found.
O3 - HKU\S-1-5-21-3372220405-3466121577-2169093991-1002\..\Toolbar\WebBrowser: (no name) - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - No CLSID value found.
O3 - HKU\S-1-5-21-3372220405-3466121577-2169093991-1002\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
FF - prefs.js..browser.search.defaultthis.engineName: "Freecorder Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=2&q="
[2012/05/31 01:33:28 | 000,000,000 | ---D | M] (Freecorder Community Toolbar) -- C:\Users\Acer\AppData\Roaming\mozilla\Firefox\Profiles\k9i5go0w.default\extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612}
[2012/05/06 10:17:14 | 000,000,923 | ---- | M] () -- C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\k9i5go0w.default\searchplugins\conduit.xml
[2012/05/10 12:48:13 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Conduit
[2012/05/10 12:48:12 | 000,000,000 | ---D | C] -- C:\Users\Acer\AppData\Local\Conduit
[2011/06/26 13:15:44 | 000,000,198 | ---- | M] () -- C:\Windows\Tasks\{7B0A945C-2471-4779-BF4D-85B3DB183543}.job
[2011/11/30 18:46:19 | 000,000,198 | ---- | M] () -- C:\Windows\Tasks\{87A04C84-9186-408D-AB1B-381D2B3B0B15}.job
[2011/06/26 13:28:26 | 000,000,624 | ---- | M] () -- C:\Windows\Tasks\{B66E5C90-025C-4281-A96E-EA1812049E8B}.job
[2011/06/26 13:29:21 | 000,000,198 | ---- | M] () -- C:\Windows\Tasks\{D11EFB66-871F-449D-97E0-7B77DCA6831F}.job
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

3. Zastosuj w AdwCleaner opcję Delete.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi pozyskane z usuwania w punktach 2+3.

 

 

 

.

[mayysterr]

Zrobione. Tak późno odpisuje bo w szkole byłem.

Samą tibie zostawiłem.

 

Log z pkt 2 to ten z cyframi w nazwie. Aby móc wstawić go na forum usunełem dopisek ".log" z nazwy.

AdwCleanerS1.txt

OTL.Txt

06052012_162755.txt

[picasso]

Zadania wykonane. Zmierzamy do finału, ale przed tym istotna sprawa innego gatunku. Nie zauważyłam tego wcześniej: pierwszy log z OTL zrobiłeś tylko z 32-bitowej części systemu (ominąłeś opcję), to dopiero ostatni adresuje także komponenty 64-bit. Ujawniło się niepożądane ustawienie, czyli wyłączona usługa Dziennik zdarzeń systemu Windows:

 

========== Win32 Services (SafeList) ==========
 
SRV:64bit: - [2010/11/20 15:27:28 | 001,646,080 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\SysNative\wevtsvc.dll -- (eventlog)

 

Dziennik zdarzeń jest nadrzędną zależnością dla Harmonogramu zadań. Po wyłączeniu Dziennika pada Harmonogram i wszystkie funkcje na nim oparte, m.in. wbudowana w system defragmentacja, Przywracanie systemu, Windows Update. Należy przywrócić usługę do formy:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
sc config eventlog start= auto /C
sc start eventlog /C

 

Klik w Wykonaj skrypt.

 

2. Przeklej wprost do posta wynik zwrotny z wykonania skryptu.

 

 

 

.

 

[mayysterr]

Czy w pkt 1. Włączyłem już ten dziennik zdarzeń, czy muszę to zrobić ręcznie ?

Kiedyś na forach było zalecane wyłączenie go aby nie zacinało się GTA 4.

 

Kod poniżej:

========== FILES ==========
[color=#A23BEC]< sc config eventlog start= auto /C >[/color]
[sC] ChangeServiceConfig SUKCES
C:\Users\Acer\Desktop\cmd.bat deleted successfully.
C:\Users\Acer\Desktop\cmd.txt deleted successfully.
[color=#A23BEC]< sc start eventlog /C >[/color]
SERVICE_NAME: eventlog
    TYPE			   : 20  WIN32_SHARE_PROCESS 
    STATE			  : 2  START_PENDING
						    (NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
    WIN32_EXIT_CODE    : 0  (0x0)
    SERVICE_EXIT_CODE  : 0  (0x0)
    CHECKPOINT		 : 0x0
    WAIT_HINT		  : 0x7d0
    PID			    : 724
    FLAGS			  :
C:\Users\Acer\Desktop\cmd.bat deleted successfully.
C:\Users\Acer\Desktop\cmd.txt deleted successfully.

OTL by OldTimer - Version 3.2.46.0 log created on 06062012_194046

[picasso]

Czy w pkt 1. Włączyłem już ten dziennik zdarzeń, czy muszę to zrobić ręcznie ?

 

Wg zwrotu ze skryptu pomyślnie został zmieniony Typ uruchomienia usługi "[sC] ChangeServiceConfig SUKCES".

 

 

Kiedyś na forach było zalecane wyłączenie go aby nie zacinało się GTA 4.

 

Coś mi tu nie pasuje ... Czy na pewno chodziło o usługę "Dziennik zdarzeń systemu Windows"?

 

 

---

Finalizujemy sprawę czyszczenia:

 

1. Porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner zastosuj Uninstall.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Drobne aktualizacje do nadrobienia: KLIK. Z Twojej listy zainstalowanych wykaz wersji 32-bitowych aplikacji (64-bit niewidoczne, ze względu na okrojony log OTL):

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0483BE07-260D-4E4D-815E-F737C0A72E40}" = Adobe Flash Player 10 ActiveX
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 26
"{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.0 MUI
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

 

 

.

[mayysterr]

Zrobione. To wszystko ?

[picasso]

To wszystko. Temat zamykam.