Skocz do zawartości

Security Tool


Rekomendowane odpowiedzi

witam,

 

jestem po raz pierwszy na tym forum, informację o nim znalazłam na bleepingcomputer gdzie szukałam linka do ComboFix'a

 

ale od początku, w piątek po odpaleniu komputera domowego) system Windows XP natrętnie zaczęły się otwierać okienka programu Security Tool podającego się za program antywirusowy

 

wszelkie próby zrobienia czegokolwiek kończyły się wyświetleniem pytania "kontynuować bez ochrony" i po potwierdzeniu koniecznością ponownego,wielokrotnego potwierdzania, że TAK chcę kontynuować bez ochrony

 

nie jestem w stanie odpalić antywirusa (McFee), ściągnąć żadnego innego AV, otworzyć "Dodaj/usuń programy", wyrzuca mnie ze stron internetowych (ale z samego internetu to już nie wyrzuca)

 

po 20 minutach działania komputera pojawił się w blueescreen z informacją, że to działanie podjęte w obronie komputera, że może być za to odpowiedzialny plik SPCMDCOM.sys i wiele innych innych informacji nie do końca przeze mnie zrozumiałych bo w komputerach jestem laikiem a na dodatek informacja jest po angielsku i techniczne zwroty są dla mnie prawie zupełnie niezrozumiałe

 

po paru minutach komputer się sam zrestartował

 

polecono mi ComboFix'a (kolega z pracy, informatyk) - na wielu forach mnóstwo peanów na jego temat ale że widziałam też sporo ostrzeżeń zaczęłam szukać więcej informacji - ostatecznie trafiłam tutaj

 

w tej chwili korzystam z komputera poza domem, w domu wyrzuca mnie z niektórych stron

 

jakiego rodzaju informacje musiałabym podać żeby przynajmniej umożliwić Wam wstępną diagnozę problemu?

 

dalsze pytania po odpowiedzi na to pierwsze ;)

 

pozdrawiam

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

ok, dzięki... ale... ja jestem laik i "log" nic mi nie mówi

 

poczytam sobie podrzucone informacje, jeśli będę potrzebowała pomocy, żeby podać wymagane logi odezwę się znowu :)

 

jeśli dam radę z logami to też się odezwę ;)

 

zdaje sobie sprawę, że najprawdopodobniej skończy się na przekazaniu komputera fachowcowi ale nie mam ochoty dać sobie wciskać kitu, że "to zupełnie coś innego i że przy okazji trzeba wymienić jakąś kartę tudzież płytę główną"

i tak bywało, niestety...

Odnośnik do komentarza

witam ponownie

 

wczoraj próbowałam zastosować się do wskazówek ale niestety Security Tool uniemożliwia mi podjęcie jakichkolwiek działań

 

nie mogę otworzyć "Dodaj/usuń programy" - ST wyświetla komunikat "rundl32.exe zainfekowany Lemena_.3544 (lub Virus._Eupru.1731 lub cokolwiek innego, za każdym razem inny)Dany robak stara się nadać dane Państwa karty kredytowej, używając rundl32.exe do podłączenia do oddalonego hosta"

 

udało mi się pobrać otl.exe ale nie pozwala go uruchomić (podobnie z otl.com oraz otl.scr) wyświetlając komunikat "otl.exe zainfekowany Bacdoor_.Win32_.Nanspy.f (lub Virus_.Linux.Gildo lub cokolwiek innego, za każdym razem inny)Dany robak stara się nadać dane Państwa karty kredytowej, używając otl.exe do podłączenia do oddalonego hosta"

 

więc nie jestem w stanie przesłać logów

Odnośnik do komentarza

witam ponownie

 

oto co udało mi się dzisiaj uzyskać po użycie RKill'a

 

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as Eliza on 2010-11-17 at 20:36:54.

 

 

Services Stopped:

Services Stopped:

 

Services Stopped:

Processes terminated by Rkill or while it was running:

 

Rkill completed on 2010-11-17 at 20:36:59.

C:\WINDOWS\Temp\_ex-08.exe

C:\Documents and Settings\Eliza\Ustawienia lokalne\Temp\594.tmp\pev.rkexe

C:\Documents and Settings\Eliza\Ustawienia lokalne\Temp\591.tmp\pev.rkexe

C:\Documents and Settings\Eliza\Ustawienia lokalne\Temp\58E.tmp\pev.rkexe

 

 

Rkill completed on 2010-11-17 at 20:36:59.

Odnośnik do komentarza

nie resetowałam komputera ale RKill zawiesił mi pulpit i musiałam się przelogować

 

przepuściłam jeszcze raz RKill - ten przesłany log

 

ST nadal jest bardzo aktywny

 

RKilla udało mi się uruchomić po 20 minutach klikania, czy przy OTL ta technika zadziała? ;)

 

dobra, wiem jak uruchomić w trybie awaryjnym ale czy dalej sobie poradzę? nie robiłam tego nigdy

Edytowane przez picasso
Posty połączone. //picasso
Odnośnik do komentarza
dobra, wiem jak uruchomić w trybie awaryjnym ale czy dalej sobie poradzę? nie robiłam tego nigdy

 

Chodzi mi tylko o stworzenie redukowanego środowiska procesów. Czyli start do awaryjnego i zrobienie logów (bez nich nie jestem w stanie zgadywać gdzie infekcja umieściła pliki), więc tu nie ma nic do "nie poradzenia sobie", o ile infekcja nie przeszkodzi znów.

 

PS. I proszę stosuj buttonik "Edytuj", jeśli nikt jeszcze nie odpisał, a chcesz coś uzupełnić, zamiast pisać kolejnego posta pod spodem.

Odnośnik do komentarza
w awaryjnym nie chodzi internet - to normalne?

musiałam przejść na normalny

 

Tak, normalne. Internet może chodzić tylko w Trybie awaryjnym z obsługą sieci, o ile sprzęt sieciowy nie wymaga jakiś sterowników, które nie mogą być w tym trybie załadowane.

 

 

1. Pobierz plik FIX.TXT (z prawokliku na link opcja Zapisz): FIX.TXT

 

2. Startujesz ponownie do Trybu awaryjnego, uruchamiasz OTL, wybierasz opcję Wykonaj skrypt a na pytanie o plik wskazujesz mu FIX.TXT. Skrypt powinien wykonać zadanie i ma nastąpić restart komputera, a finałowo dostaniesz log.

 

3. Startujesz już do Trybu normalnego, w panelu Dodaj/Usuń odinstalowujesz śmieci: My Web Search (Popular Screensavers) + ShopperReports + Softonic-Eng7 Toolbar.

 

4. Generujesz nowe logi z OTL oraz GMER. Teraz powinno już się dać te narzędzia uruchomić normalnie. Prezentujesz je razem z logiem uzyskanym z usuwania OTL w punkcie 2.

 

 

.

Odnośnik do komentarza

Chyba oślepłam, a miałam to przed oczami (nowo wygenerowane foldery Administrator świadczące o inicjalizacji konta, które nigdy dotychczas nie było logowane). Oczywiście, że ten log pokazuje, że jest w porządku, a jak wracasz na Tryb normalny to atakuje fałszywy antywirus. Działasz na złym koncie, zalogowałaś się na serwisowe ukryte konto Administrator:

 

Computer Name: PIOTROWS-9937B4 | User Name: Administrator | Logged in as Administrator.

 

Dotychczas były tu w zasadzie sprzątane wpisy HKLM (ogólne maszyny, aplikują się dla wszystkich kont). Ta infekcja jest nastawiona na działanie z poziomu bieżącego użytkownika, dlatego log musi pokazywać wygląd konta dotkniętego tą infekcją, z poziomu innego konta zobaczysz co innego. Na ekranie startu do Trybu awaryjnego nie masz wybierać konta Administrator tylko konto własne użytkownika na którym jest problem. I z poziomu tego konta masz zrobić log z OTL. Po ilości folderów widzialnych w logu z OTL należy przypuszczać, że masz konta: aaa, Eliza i Julek. Każde dodatkowe konto, inne niż Administrator, może mieć zapisy tej infekcji i należy to czyścić po kolei...

 

 

.

Odnośnik do komentarza
ok, czyli wracam w awaryjny i dla każdego konta(poza Administratorem) osobno robię OTL i zapewne też GMER, tak?

 

GMER wystarczy zrobić tylko raz, z jednego z wybranych kont. OTL z każdego konta z osobna (z wyłączeniem Administratora, którego widok już znam).

 

nie wiem jak konto aaa wygląda, bo go nie używamy ale ST jest i na moim koncie i na koncie syna - u niego się wszystko zaczęło

 

Jeśli na ekranie logowania Trybu normalnego widzisz tylko dwa konta (Eliza i Julek) do których są dwa pasujące foldery na dysku, to możliwe, że to "aaa" to jakiś odpadek po wcześniejszych manipulacjach z kontami.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...