A więc od początku, miałem problem z kompem - przyznam się bez bicia że zaniedbałem trochę ochronę.
Ad-Aware usunęło śmieci, SmitFraudFlix też był uruchomiony. Akcja rozpoczęła się po Ad-Aware całym przeskanowaniu i usunięciu syfu.
Winlogon.exe została zamknięta, jakiś problem z sfc_os.dll, ale system się uruchamiał, Daemon Tool Lite oszalał, po chwili jeszcze coś doszło i pecet sam się restartował. Udało mi się w trybie awaryjnym usunąć podejrzaną aplikacje herss.exe z autostartu, ale cały czas problem był z Winlogon.exe przy uruchamianiu…
Pół godziny szukałem w googlach co zrobić ale na zbyt wiele się nie zdało, wszedłem na chomikuj - ściągnąłem plik sfc_os.dll dałem go do System32(nawet nie podmieniłem) i eureka, wszystko działa, może ktoś mi naświetlić sprawę co ja właściwie zrobiłem albo co zrobił wirus?
Aha, cały czas Ad-Aware znajduje w sfc_os.dll jakiegoś trojana, na razie tego nie ruszam, czekam na wskazówki.
Atis
6 Marzec 2012 21:05
#2
Plik powinien być zgodny z wersją systemu (SP), a nie przypadkowy pobrany z internetu.
Przeskanuj plik tutaj:
https://www.virustotal.com/
Pobierz i uruchom OTL
Do okna Własne opcje skanowania / skrypt wklej:
/md5start
sfc_os.dll
/md5stop
Kliknij Skanuj i pokaż logi.
http://wklejto.pl/119350
Hmhm, za pierwszym razem jak skanowałem zawieszka i automatyczny restart, coś tam jeszcze siedzi.
Atis
6 Marzec 2012 22:53
#4
Odinstaluj Babylon Toolbar.
Wyłącz Ad-Aware i pozostałe programy ochronne żeby niczego nie blokowały.
Najlepiej uruchom system w trybie awaryjnym.
Pobierz czysty plik zgodny z XP SP3 i zapisz bezpośrednio na C:
C:\sfc_os.dll
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (cpuxp)
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=109993&babsrc=SP_ss&mntrId=e8de37c1000000000000bcaec532a67c
CHR - default_search_provider: Search the web (Babylon) (Enabled)
CHR - default_search_provider: search_url = http://search.babylon.com/?q={searchTerms}&AF=109993&babsrc=SP_ss&mntrId=e8de37c1000000000000bcaec532a67c
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - No CLSID value found.
[2012-03-06 22:21:30 | 000,000,000 | ---D | C] -- C:\Program Files\BabylonToolbar
[2012-03-06 22:21:17 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Babylon
O32 - AutoRun File - [2012-03-06 18:16:40 | 000,000,051 | RHS- | M] () - D:\autorun.inf -- [NTFS]
[2012-03-06 22:21:16 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon
[2012-03-06 22:21:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Jarek\Dane aplikacji\Babylon
[2012-03-06 23:05:57 | 000,000,308 | ---- | M] () -- C:\WINDOWS\tasks\fbagent.job
[2012-03-06 23:05:56 | 000,000,308 | ---- | M] () -- C:\WINDOWS\tasks\systems.job
[2012-03-06 10:49:41 | 000,000,336 | ---- | M] () -- C:\WINDOWS\System32\secustat.dat
[2012-03-06 10:41:27 | 000,000,891 | ---- | M] () -- C:\WINDOWS\System32\secushr.dat
[2011-10-21 16:11:56 | 000,111,104 | ---- | C] () -- C:\WINDOWS\System32\uha.exe
:Files
C:\WINDOWS\system32\dllcache\sfc_os.dll|C:\sfc_os.dll /replace
C:\WINDOWS\system32\sfc_os.dll|C:\sfc_os.dll /replace
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart. Pokaż raport z usuwania Pokaż nowy log Skanuj:
/md5start
sfc_os.dll
/md5stop
C:\*.*
D:\*.*
Atis
9 Marzec 2012 07:53
#6
Nie udało się podmienić pliku.
Czy uruchomiłeś system w trybie awaryjnym?
F8 po uruchomieniu komputera i później wybierz tryb awaryjny.
Ten plik nadal ma być na C:\sfc_os.dll
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – -- (cpuxp) IE - HKCU…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&AF=109993&babsrc=SP_ss&mntrId=e8de37c1000000000000bcaec532a67c CHR - default_search_provider: Search the web (Babylon) (Enabled) CHR - default_search_provider: search_url = http://search.babylon.com/?q={searchTerms}&AF=109993&babsrc=SP_ss&mntrId=e8de37c1000000000000bcaec532a67c O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO) O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM…\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - No CLSID value found. [2012-03-06 22:21:30 | 000,000,000 | —D | C] – C:\Program Files\BabylonToolbar [2012-03-06 22:21:17 | 000,000,000 | —D | C] – C:\Documents and Settings\Jarek\Ustawienia lokalne\Dane aplikacji\Babylon O32 - AutoRun File - [2012-03-06 18:16:40 | 000,000,051 | RHS- | M] () - D:\autorun.inf – [NTFS] [2012-03-06 22:21:16 | 000,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2012-03-06 22:21:15 | 000,000,000 | —D | C] – C:\Documents and Settings\Jarek\Dane aplikacji\Babylon [2012-03-06 23:05:57 | 000,000,308 | ---- | M] () – C:\WINDOWS\tasks\fbagent.job [2012-03-06 23:05:56 | 000,000,308 | ---- | M] () – C:\WINDOWS\tasks\systems.job [2012-03-06 10:49:41 | 000,000,336 | ---- | M] () – C:\WINDOWS\System32\secustat.dat [2012-03-06 10:41:27 | 000,000,891 | ---- | M] () – C:\WINDOWS\System32\secushr.dat [2011-10-21 16:11:56 | 000,111,104 | ---- | C] () – C:\WINDOWS\System32\uha.exe :Files C:\WINDOWS\system32\sfc_os.dll|C:\sfc_os.dll /replace ws.exe /alldrives :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Pokaż nowy log Skanuj:
walker123
15 Marzec 2012 15:55
#7
http://www.wklejto.pl/120122
http://www.wklejto.pl/120123
Przepraszam że tak późno. Wszystko robione w awaryjnym.
Atis
15 Marzec 2012 16:19
#8
Teraz suma kontrolna jest zgodna z prawidłowym plikiem w wersji SP3, więc podmiana przebiegła prawidłowo.
Wklej do OTL i kliknij Wykonaj skrypt:
Później kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Kaspersky Virus Removal Tool 2011