Ponownie pytanie ws. rjlb.dll

[Urunin]

Witam.

 

Niestety, przez moją nieostrożność, zainfekowałem komputer tym keyloggerem. Avira jednak wykryła go dopiero po fakcie i usunęła rjlb.dll, co skutkowało niemożnością uruchomienia programów x32. Wtedy, jeszcze na własną rękę, chciałem naprawić problem i udało mi się tylko ustalić, że problem leży w pliku ws2_32.dll, ale nie wiedziałem skąd wziąć jego prawidłową wersję. Dzięki poprzedniemu tematowi na Waszym forum (LINK - zgadzał się log z SystemLook x64 z moim logiem) dowiedziałem się tego, lecz podany tam sposób podmiany tych plików był u mnie nieskuteczny:

- z poziomu Windows, gdy chciałem skopiować plik, wyskakiwał błąd: Z plikiem tym nie jest skojarzony program umożliwiający wykonanie tej czynności. Skojarz odpowiedni program, używając apletu Opcje folderów w Panelu sterowania.

- z poziomu Naprawiania Systemu i Trybu Awaryjnego odmówiono dostępu do pliku.

 

W przypływie bezradności uruchomiłem najnowszego ComboFixa, który dobrze rozpoznał problem i naprawił go - wszystkie programy już dobrze się uruchamiają. Nie jestem jednak pewny czy keylogger został poprawnie i ostatecznie usunięty (nie ma już pliku rjlb.dll w SysWOW64). Dlatego zwracam się z prośbą o przeanalizowanie loga z OTL, czy nie występują w nim jeszcze jakieś błędy, co warto usunąć i dlaczego nie mogłem dokonać operacji skopiowania biblioteki w wierszu poleceń?

 

OTL

 

Extras

[picasso]

Komentarze na temat:

 

lecz podany tam sposób podmiany tych plików był u mnie nieskuteczny:

- z poziomu Windows, gdy chciałem skopiować plik, wyskakiwał błąd: Z plikiem tym nie jest skojarzony program umożliwiający wykonanie tej czynności. Skojarz odpowiedni program, używając apletu Opcje folderów w Panelu sterowania.

- z poziomu Naprawiania Systemu i Trybu Awaryjnego odmówiono dostępu do pliku.

 

1. Podmiana plików "z palca" nie jest możliwa, z dwóch powodów: Windows 7 ogranicza dostęp do krytycznych komponentów systemowych poprzez technikę Ochrony zasobów (uprawnienia) + zajęcie przez procesy. Dlatego do podmiany tego szczególnego pliku musi być zastosowana metoda, która albo obchodzi ograniczenie poprzez podmianę przy restarcie systemu (i narzędzie ma na dodatek dostęp do sfer chronionych), albo z poziomu środowiska zewnętrznego. Swoją drogą, błąd wskazuje że omyłkowo coś całkiem innego robiłeś. To jest błąd otwierania pliku a nie jego nadpisu kopią. Przy nadpisie bardziej logiczny błąd to "Odmowa dostępu".

 

2. Tryb awaryjny: patrz wyżej, te same zasady (uprawnienia nie przekonfigurują się samoistnie). Napraw komputer: nie opisałeś jak ta podmiana wyglądała, tzn. między jakimi ścieżkami oraz czy w prawidłowy sposób pobrałeś literę dysku z Windows. Dysk z Windows 7 z zewnątrz może mieć całkiem odmienną dalszą literę ze względu na obecność ukrytej partycji "Zastrzeżone przez system" z plikami rozruchowymi. I tu się coś nie zgadza, brak dostępu z poziomu środowiska zewnętrznego? Zakładając ten scenariusz ComboFix też nic by nie zrobił, bo ComboFix to narzędzie słabsze niż środowisko zewnętrzne. Ja tu raczej przypuszczam, że próbowałeś kopiować między złymi ścieżkami dostępu.

 

 

W przypływie bezradności uruchomiłem najnowszego ComboFixa, który dobrze rozpoznał problem i naprawił go - wszystkie programy już dobrze się uruchamiają.

 

No więc właśnie, gdzieś ów log z ComboFix z tamtego uruchomienia? Raport musi być sprawdzony, czy ComboFix nie naruszył czegoś innego / co jeszcze kasował. Nie uruchamiaj narzędzia ponownie, chodzi o raport z tamtego uruchomienia.

 

I dlaczego log z OTL ma "wykropkowane" ******* dane układu + pojemności dysków, locale systemowe, pomiar pamięci? Zakładasz, że te typowe informacje są niepotrzebne / niebezpieczne? Nie wiem co to za pomysł, nie wiem co miałeś na celu wymazując te informacje. Ocena układu partycji czy zasobności RAM jest jednym z elementów analizy tutaj.

 

 

 

.

[Urunin]

1. i 2. Nieprecyzyjnie się wyraziłem. Chodziło mi o wiersz poleceń uruchomiony w normalnym trybie Windowsa, w trybie awaryjnym i w trybie naprawy komputera (F8 => Napraw komputer => Wiersz poleceń). "Z palca" nawet nie próbowałem. Jednak trafna diagnoza - wpisywałem prawdopodobnie błędnie

copy /y X:\Windows\winsxs\x86_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7601.17514_none_f4bf1aae2c981ecf\ws2_32.dll X:\Windows\SysWOW64\ws2_32.dll

jako 2 oddzielne polecenia... What a shame...Okazuje się, że niepotrzebnie uruchamiałem ComboFixa :/

 

No więc właśnie, gdzieś ów log z ComboFix z tamtego uruchomienia?

 

Z tym jest problem, bo z tego co wiem, log tworzony jest po zresetowaniu przez ComboFix komputera. U mnie już się ten program po restarcie nie uruchomił, a specjalnie odczekałem dla pewności jakieś półtorej godziny. Mimo to sprawdziłem możliwe miejsca, gdzie raport mógł być zapisany (tj. C:\; C:\ComboFix; C:\Qoobox i pulpit) i nie mogłem go znaleźć. Z tego co zaobserwowałem w oknie programu to znalazł i naprawił tylko 1 błędny plik ws2_32.dll i pousuwał jakieś pliki tymczasowe.

 

I dlaczego log z OTL ma "wykropkowane" ******* dane układu + pojemności dysków, locale systemowe, pomiar pamięci? Zakładasz, że te typowe informacje są niepotrzebne / niebezpieczne? Nie wiem co to za pomysł, nie wiem co miałeś na celu wymazując te informacje. Ocena układu partycji czy zasobności RAM jest jednym z elementów analizy tutaj.

 

Wiem, że nie są to jakieś drażliwe dane, bo byle jaka strona może je sprawdzić, ale mimo wszystko miałem jakieś opory, aby wrzucić je w plain txt. Nie sądziłem, że mogą być użyteczne, tak więc proszę:

 

 

 

OTL logfile created on: 2012-06-05 14:36:43 - Run 1

OTL by OldTimer - Version 3.2.46.1 Folder = F:\Pobrane pliki

64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation

Internet Explorer (Version = 9.0.8112.16421)

Locale: 00000409 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

3.01 Gb Total Physical Memory | 1.79 Gb Available Physical Memory | 59.47% Memory free

6.00 Gb Paging File | 1.47 Gb Available in Paging File | 24.51% Paging File free

Paging file location(s): [binary data over 100 bytes]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)

Drive C: | 65.06 Gb Total Space | 13.09 Gb Free Space | 20.12% Space Free | Partition Type: NTFS

Drive D: | 199.99 Gb Total Space | 41.72 Gb Free Space | 20.86% Space Free | Partition Type: NTFS

Drive E: | 99.99 Gb Total Space | 83.85 Gb Free Space | 83.86% Space Free | Partition Type: NTFS

Drive F: | 99.99 Gb Total Space | 15.46 Gb Free Space | 15.46% Space Free | Partition Type: NTFS

Drive M: | 465.65 Gb Total Space | 354.88 Gb Free Space | 76.21% Space Free | Partition Type: FAT32

 

 

[picasso]

Nieprecyzyjnie się wyraziłem. Chodziło mi o wiersz poleceń uruchomiony w normalnym trybie Windowsa, w trybie awaryjnym i w trybie naprawy komputera

 

Drobny komentarz: dwie pierwsze linie poleceń to jak kopiowanie "z palca", tzn. brak dostępu / odpowiedniej mocy. Tylko trzecia linia poleceń ma odpowiednio silny mechanizm obchodzący problemy Ochrony.

 

Wyjaśniłeś mi gdzie potencjalnie mogłeś popełnić błąd, toteż w tej kwestii już nie mam dodatkowych uwag.

 

 

Wiem, że nie są to jakieś drażliwe dane, bo byle jaka strona może je sprawdzić, ale mimo wszystko miałem jakieś opory, aby wrzucić je w plain txt.

 

Nie wiem dlaczego. Dane nie są zbyt charakterystyczne, zwłaszcza w porównaniu z pozostałą częścią raportu.

 

 

Mimo to sprawdziłem możliwe miejsca, gdzie raport mógł być zapisany (tj. C:\; C:\ComboFix; C:\Qoobox i pulpit) i nie mogłem go znaleźć.

 

Czy w C:\Qoobox jest może częściowy raport ComboFix-quarantined-files.txt?

 

 

---

Po sprawdzeniu logów z OTL wynika, że nie ma tu już jawnych śladów infekcji. Do wykonania poboczne akcje:

 

1. Odinstaluj / usuń wszystkie dodatki do Tibia (jeden z nich jest matką tego keyloggera), o ile już tego nie zrobiłeś. Zmień także hasła.

 

2. Usunięcie szczątków po pasku DAEMON Tools Toolbar, śmieci nabitych przez GG10 (pliki Temp*.hmtl) i czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKU\S-1-5-21-934565907-630151199-1971563921-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
 
:Files
C:\Users\MWM\AppData\Local\Temp*.html
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Odinstaluj w prawidłowy sposób ComboFix (co wyczyści i foldery Przywracania systemu). Klawisz z flagą Windows + R i w polu Uruchom wklej:

 

"ścieżka dostępu do ComboFix.exe" /uninstall

 

Gdy ukończy się to zadanie, zastosuj Sprzątanie w OTL usuwające program wraz z kwarantanną.

 

4. Wykonaj drobne aktualizacje: KLIK. Tu wyciąg wersji z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416031FF}" = Java™ 6 Update 31 (64-bit)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Mozilla Thunderbird 9.0.1 (x86 pl)" = Mozilla Thunderbird 9.0.1 (x86 pl)
"Opera 11.62.1347" = Opera 11.62

 

 

 

PS. A jeśli szukasz niezasobożernej i bezreklamowej alternatywy dla GG10 z dobrą obsługą tegoż, to do wglądu mój artykuł Darmowe komunikatory. Liczą się propozycje WTW, Miranda, Kadu, AQQ (ten ma reklamy i więcej "ciągnie prądu").

 

 

 

.

[Urunin]

Wszystko wykonane i dziękuję za pomoc Temat do zamknięcia.