Problem z rjlb.dll

[Kris91]

Witam. Mam poważny problem z moim laptopem. Nie mogę uruchomić większości programów gdyż wyskakuję błąd, że aplikacja się nie uruchomi, ponieważ nie można odnaleźć pliku rjlb.dll. Próbowałem zamienić plik ws2_32.dll tak jak to było napisane w innym temacie na tym forum, ale problem nie znikł chociaż plik został skopiowany. Z braku efektywności moich poprzednich działań uruchomiłem ComboFixa i w załączniku dodaje log. Proszę o rozpatrzenie mojego problemu, nakierowanie mnie na rozwiązanie i wskazanie źródła przez który mógł być spowodowany. Z góry dziękuję za pomoc

ComboFix.txt

[picasso]

ComboFix uruchomiony niepotrzebnie. Nic tu nie pomógł.

 

 

nakierowanie mnie na rozwiązanie i wskazanie źródła przez który mógł być spowodowany

 

Żródło problemu: trefne zainfekowane paczki Tibia. Keylogger rjlb.dll podmienia plik systemowy ws2_32.dll. Na systemie 64-bit jednak sprawa jest zawężona tylko do 32-bitowej sfery SysWOW64, plik natywnie 64-bitowy nie jest podmieniony. To oznacza, że po usunięciu pliku trojana rjlb.dll bez przywrócenia prawidłowej kopii ws2_32.dll nie działają tylko 32-bitowe programy. Akcja:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Admministrator > wklej komendę:

 

sfc /scanfile=C:\Windows\SysWOW64\ws2_32.dll

 

Zresetuj system.

 

2. 32-bitowe programy zaczną się uruchamiać, toteż wygeneruj do oceny logi z OTL.

 

 

 

.

[Kris91]

Dziękuje za pomoc i wyjaśnienie problemu. Zrobiłem tak jak napisałaś i programy działają prawidłowo. Załączam logi z OTL-a

Extras.Txt

OTL.Txt

[picasso]

Co do Twoich poprzednich akcji, robiłeś jakieś dziwne rzeczy, plik ze złą nazwą (kreska górna a nie dolna) i będę go usuwać:

 

[2012/07/07 01:46:01 | 000,206,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ws2-32.dll

 

W symiemie jest do czyszczenie jeszcze adware i odpadki.

 

1. Odinstaluj poprzez Panel sterowania adware Incredibar Toolbar on IE and Chrome + Web Assistant. Powtórz likwidację tego "asystenta" w menedżerze rozszerzeń Google Chrome i menedżerze dodatków Firefox.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll File not found
O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll File not found
O3 - HKLM\..\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll File not found
O4 - HKU\S-1-5-21-3220530570-2144932778-1864548182-1000..\Run: [csrs.exe] C:\Windows\csrs.exe File not found
IE - HKU\S-1-5-21-3220530570-2144932778-1864548182-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb165/?search={searchTerms}"
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.110.0: C:\Program Files (x86)\Battlelog Web Plugins\1.110.0\npesnlaunch.dll File not found
[2012/06/13 12:35:01 | 000,000,447 | ---- | C] () -- C:\user.js
[2012/07/07 01:46:01 | 000,206,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\ws2-32.dll
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{BE2CE06D-B156-471D-BD35-3B4B81CF9CBF}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

3. Otwórz Google Chrome i przejdź do menedżera wyszukiwarek, aktualnie domyślną jest śmieć:

 

========== Chrome  ==========
 
CHR - default_search_provider: MyStart Search (Enabled)
CHR - default_search_provider: search_url = "http://mystart.incredibar.com/mb165/?loc=IB_DS&search={searchTerms}&a=6R8vRHGZNx&i=26"
CHR - default_search_provider: suggest_url = 

 

Przestaw domyślną wyszukiwarkę na cokolwiek innego, następnie usuń MyStart Search z listy.

 

4. Uruchom AdwCleaner i użyj opcję Delete. Wynikowo na dysku C powstanie log.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 2 oraz AdwCleaner z punktu 4.

 

 

 

.

[Kris91]

Zrobiłem wszystko tak jak napisałaś i jeszcze raz bardzo dziękuję za pomoc. W załączniku zamieszczam logi o które prosiłaś w punkcie 5

usuwanie.txt

AdwCleanerS1.txt

OTL.Txt

[picasso]

Wszystko zostało wykonane. Przejdź do kolejnych czynności:

 

1. Prawidłowa deinstalacja ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej:

 

C:\Users\Krzychu\Desktop\ComboFix.exe /uninstall

 

2. Następnie w OTL uruchom Sprzątanie + w AdwCleaner Uninstall + przez SHIFT+DEL skasuj katalog C:\Windows\erdnt (kopia rejestru zrobiona przez ComboFix).

 

3. W związku z obecnością trojana z Tibia wykonaj dodatkowe skany następującymi narzędziami: Malwarebytes Anti-Malware + Kaspersky Virus Removal Tool. Jeżeli coś zostanie wykryte, przedstaw raporty z wynikami.

 

 

 

.

[Kris91]

Wykonałem wszystkie punkty i przeskanowałem komputer tymi dwoma narzędziami. W załączniku dołączam wynik skanowania tylko w malware, ponieważ log z kaspersky'iego zajmuje 271 MB. Teraz będę baczniej uważał z jakich źródeł ściągam programy. Dziękuje za pomoc

malware.txt

[picasso]

Wyniki MBAM: instalator ventrilo to chyba fałszywy alarm, dwa pozostałe to nośniki śmieci (opakowane instalatory).

 

 

W załączniku dołączam wynik skanowania tylko w malware, ponieważ log z kaspersky'iego zajmuje 271 MB

 

Mnie interesują tylko wyniki Detected, a Ty mówisz o logu z wszystkimi typami rekordów.

 

 

.

Edytowane 15 Sierpnia 2012 przez picasso
15.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso