Problem z otwarciem pewnej aplikacji

[trickman]

Witam.

Kiedy chcę otworzyć pewną aplikację pojawia się okno zawierające następujący komunikat:

Odnalazłem tę bibliotekę w folderze C://Windows/system32/

Ściągnąłem ją z internetu, okazało się, że gdy chcę ją zastąpić to ta nowa, ściągnięta jest większym plikiem. Mankamentem jest to, że nie da się jej ani zastąpić, ani usunąć. Proszę o pomoc, bardzo ważne.

[ziom]

A jaka to aplikacja?

[dar55]

http://support.microsoft.com/kb/296551/pl

http://support.microsoft.com/kb/895959/pl

[trickman]

*.exe

Dokładniejsze info masz na [PW]

[ Dodano: 2007-08-02, 14:07 ]

System Windows Millennium Edition

Ja mam XP a tutaj jest troszkę inaczej w msconfigu.

[dar55]

ale czytać umiesz? różnica niewielka , twój wybór

[tazman]

Ten plik MSVCRL.DLL to jest rootkit Goldun ale w specjalnej wersji = on modyfikuje tablicę w pliku exe IE dopisując tam uruchamianie swojego dll. Po usunięciu dll oczywiście Internet Explorer się nie uruchamia bo w tablicy ciągle ma zapis. Pliku EXE IE nie da się ręcznie zmodyfikować a jak widać z loga Haxfix nie ma jego kopii zapasowej. Trzeba będzie reinstalować IE. I na szczęście da się to zrobić bo nie masz SP2 tylko SP1. Proszę wykonaj:

Start >>> Uruchom >>> regedit i w kluczu:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{89820200-ECBD-11cf-8B85-00AA005B4383}

W wartości IsInstalled zamienić 1 na 0. Reset kompa i montować Internet Explorer 6 Service Pack 1.

[dar55]

tazman, mała uwaga

Ten plik MSVCRL.DLL to jest rootkit Goldun

ma być MSVCRT.DLL

[tazman]

dar55, Faktycznie mała nieuwaga z mej strony dzięki za sprostowanie dar

[CatchMe]

Ja bym prosił logi z HijackThis i ComboFix + Gmer (z 2 opcji).

[trickman]

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 17:29:20, on 2007-08-02Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Boot mode: NormalRunning processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:WINDOWSExplorer.EXEC:WINDOWSsystem32spoolsv.exeC:WINDOWSsystem32nvsvc32.exeC:WINDOWSSOUNDMAN.EXEC:PROGRA~1NEOSTR~1CnxMon.exeC:PROGRA~1NEOSTR~1TaskbarIcon.exeC:Program FilesWinampwinampa.exeC:WINDOWSsystem32svchost.exeC:WINDOWSsystem32wscntfy.exeC:Program FilesSAGEMSAGEM F@st 800-840dslmon.exeC:PROGRA~1NEOSTR~1NeostradaTP.exeC:PROGRA~1NEOSTR~1ComComp.exeC:PROGRA~1NEOSTR~1Watch.exeC:WINDOWSsystem32svchost.exeC:Documents and Settingstr1kcmaN1PulpitGammaAdjuster.exeC:Program FilesMozilla Firefoxfirefox.exeC:Program FilesGadu-Gadugg.exeC:Program FilesTrend MicroHijackThisHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.neostrada.plR1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada TPR0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:PROGRA~1NEOSTR~1SEARCH~1.DLLO2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:Program FilesBitComettoolsBitCometBHO_1.1.7.4.dllO4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [nwiz] nwiz.exe /installO4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInitO4 - HKLM..Run: [soundMan] SOUNDMAN.EXEO4 - HKLM..Run: [WooCnxMon] C:PROGRA~1NEOSTR~1CnxMon.exeO4 - HKLM..Run: [WOOWATCH] C:PROGRA~1NEOSTR~1Watch.exeO4 - HKLM..Run: [WOOTASKBARICON] C:PROGRA~1NEOSTR~1TaskbarIcon.exeO4 - HKLM..Run: [WinampAgent] C:Program FilesWinampwinampa.exeO4 - HKLM..Run: [WinxDiagUpdate] WinxDiagUpdateO4 - HKLM..Run: [.nvsvc] C:WINDOWSsystemsmss.exe /wO4 - HKLM..RunServices: [WinxDiagUpdate] WinxDiagUpdateO4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesGadu-Gadugg.exe" /trayO4 - HKCU..Run: [skype] "C:Program FilesSkypePhoneSkype.exe" /nosplash /minimizedO4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'USŁUGA LOKALNA')O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'USŁUGA SIECIOWA')O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st 800-840dslmon.exeO8 - Extra context menu item: &D&ownload &with BitComet - res://C:Program FilesBitCometBitComet.exe/AddLink.htmO8 - Extra context menu item: &D&ownload all video with BitComet - res://C:Program FilesBitCometBitComet.exe/AddVideo.htmO8 - Extra context menu item: &D&ownload all with BitComet - res://C:Program FilesBitCometBitComet.exe/AddAllLink.htmO9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exeO9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:Program FilesBitComettoolsBitCometBHO_1.1.7.4.dllO17 - HKLMSystemCCSServicesTcpip..{74A5F650-3FDA-4C8B-A7F2-C1C1AE81D51A}: NameServer = 194.204.152.34 217.98.63.164O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLLO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe--End of file - 4038 bytes

To jest z Hijacka a to 2 skad sciagnac ? :/

[CatchMe]

Mamy infekcje.

Przenoszę do działu Bezpieczeństwa.

[trickman]

Mhm, i co w tym wypadku ? :zez:

[CatchMe]

Zablokuj porty programami WWDC i Seconfig XP

Użyj: http://stopwirusom.pl/index.php?option=com...7&Itemid=26

Użyj: http://stopwirusom.pl/index.php?option=com...=7&Itemid=4 (z opcji 2 w trybie awaryjnym).

- Po wykonaniu powyższych czynności wygeneruj nowy log z HijackThis i dodatkowo wklej log z ComboFix. (Opis w dziale poradniki >>> windows)