dolarpoland Opublikowano 25 Lipca 2011 Zgłoś Udostępnij Opublikowano 25 Lipca 2011 Witam. Mój problem polega na tym, iż wiem że mam malware 'goingonearth' i nie wiem jak się go pozbyć i druga sprawa jest taka, że usług Centrum zabezpieczeń systemu Windows mi przestało działać. Nie chce robić reinstalacji systemu wolałbym problem rozwiązać bez tego typu operacji. Mam system Windows 7 Ultimate x64 Z Sp1. Bardzo proszę o pomoc. Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2011 Zgłoś Udostępnij Opublikowano 25 Lipca 2011 Czy przeczytałeś zasady działu (KLIK)? Bez logów nikt Ci nie jest w stanie pomóc. Proszę wygenerować raporty z OTL. Odnośnik do komentarza
dolarpoland Opublikowano 25 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 25 Lipca 2011 Witam. Zasady przeczytałem. Dołączam raporty z OTL. Pozdrawiam. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2011 Zgłoś Udostępnij Opublikowano 25 Lipca 2011 Wstępne pytanie - co zrobiłeś w TDSSKiller, bo widzę ten folder: [2011-07-25 00:09:08 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine Prócz infekcji są tu także śmieci w postaci szczątków po adware Faceemoods / DAEMON Tools Toolbar / MyHeritage. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" FF - prefs.js..browser.search.defaultenginename: "Facemoods Search" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 FF - prefs.js..keyword.URL: "http://search.myheritage.com/?orig=ds&q=" O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-3765280337-2808576157-2400975476-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKU\S-1-5-21-3765280337-2808576157-2400975476-1001..\Run: [] File not found [2011-07-14 20:47:55 | 000,064,000 | RHS- | C] () -- C:\Windows\SysWow64\cmluar.dll [2011-07-14 20:47:55 | 000,000,298 | -HS- | C] () -- C:\Windows\tasks\cnzrcecpo.job [2011-06-03 13:56:58 | 000,002,071 | ---- | M] () -- C:\Users\Darek\AppData\Roaming\Mozilla\Firefox\Profiles\o1y38s6m.default\searchplugins\absearch-search.xml [2011-02-06 02:03:16 | 000,002,059 | ---- | M] () -- C:\Users\Darek\AppData\Roaming\Mozilla\Firefox\Profiles\o1y38s6m.default\searchplugins\daemon-search.xml [2011-06-09 21:00:36 | 000,002,048 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i po restarcie powinien się zgłosić automatycznie log z wynikami usuwania. Jeśli nie, szukaj go w katalogu C:\_OTL. 2. Zaktywuj wyłączone przez infekcję funkcje: Centrum zabezpieczeń: Start > w polu szukania wklep services.msc > na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Wygeneruj nowe logi: log z OTL opcją Skanuj (przy czym nie potrzebuję już tak rozbudowanych treści i możesz zaznaczyć opcję Pomiń pliki Microsoftu) + log trybu skanu z AD-Remover. Dołącz także log z wynikami usuwania wygenerowany w punkcie 1. . Odnośnik do komentarza
dolarpoland Opublikowano 25 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 25 Lipca 2011 TDSSkiller usuwałem jakiegoś Rootkita ale nie pamiętam jakiego. 1. Wkleiłem log komputer się zrestartował załączam loga z OTL "OTLl.txt". 2. Aktywowałem wypisane funkcje bez problemów. 3. Załączam pozostałe logi - log.txt bo nie mogłem wgrać pliku który wygenerował się automatycznie oraz Ad-report-scan[1]. OTL.Txt log.txt Ad-Report-SCAN1.txt Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2011 Zgłoś Udostępnij Opublikowano 25 Lipca 2011 Tu zadanie wykonane. Jeszcze uruchom AD-Remover w trybie usuwania, by skasował te dwa kluczyki, które znalazł. A zanim zadam kroki końcowe: TDSSkiller usuwałem jakiegoś Rootkita ale nie pamiętam jakiego. I to mnie właśnie mocno niepokoi. Skoro jest folder kwarantanny tego narzędzia, proszę zaprezentować co jest w tym folderze + szukać też loga z TDSSKiller na dysku C:\. . Odnośnik do komentarza
dolarpoland Opublikowano 25 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 25 Lipca 2011 Dziękuje bardzo za bezinteresowną pomoc. Wielki szacunek dla Ciebie. Załączam log z tdskiller. Przepraszam że tak późno ale musiałem wyjść z domu. System działa o niebo szybciej :-) TDSSKiller.2.5.11.0_25.07.2011_00.08.43_log.txt Odnośnik do komentarza
picasso Opublikowano 25 Lipca 2011 Zgłoś Udostępnij Opublikowano 25 Lipca 2011 Mam wyczucie . Zgodnie z moimi podejrzeniami to nie był wcale rootkit i tego nie wolno w taki sposób usuwać: 2011/07/25 00:09:00.0397 3488 Detected object count: 12011/07/25 00:09:00.0397 3488 Actual detected object count: 12011/07/25 00:09:08.0634 3488 sptd (4b3f898dc1378ced2f35d04e5b0ce0df) C:\Windows\System32\Drivers\sptd.sys2011/07/25 00:09:08.0634 3488 Suspicious file (NoAccess): C:\Windows\System32\Drivers\sptd.sys. md5: 4b3f898dc1378ced2f35d04e5b0ce0df2011/07/25 00:09:08.0650 3488 C:\Windows\System32\Drivers\sptd.sys - copied to quarantine2011/07/25 00:09:08.0650 3488 LockedFile.Multi.Generic(sptd) - User select action: Quarantine To jest sterownik wprowadzany przez oprogramowanie tworzące wirtualne napędy (Alcohol / DAEMON Tools), mocny sterownik działający niskopoziomową techniką, dlatego doń nie ma dostępu (co Kaspersky notuje jako "podejrzane"). Cytuję z opisu TDSSKiller na naszym forum: Uwaga: przed podjęciem jakichkolwiek kroków na własną rękę najlepiej się skonsultować, ponieważ wyniki niekoniecznie mogą być rzeczywistym zagrożeniem i mieć kwalifikację do usuwania. Przykładowo, podstawowym obiektem wchodzącym w paradę jest sterownik emulacji napędów wirtualnych SPTD i Kaspersky będzie punktował ten obiekt jako "podejrzany", plik określi jako zablokowany, ale ustawi mu domyślną akcję na Skip. Przypominam ponownie główne ogłoszenie działu: Oprogramowanie emulujące napędy. I tak Kaspersky nie dał temu rady, bo w Twoim ostatnim OTL sterownik hula aż miło: DRV:64bit: - [2011-06-07 21:36:38 | 000,513,080 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd) Finalizując sprawę rzeczywistych infekcji i porządków po usuwaniu: 1. Odinstaluj AD-Remover. 2. W OTL uruchom Sprzątanie, co usunie kwarantannę OTL z trojanami oraz OTL / TDSSKiller z dysku. 3. Wykonaj aktualizacje / przetasowania zainstalowanych aplikacji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Ad-Aware" = Ad-Aware"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)"Mozilla Thunderbird (3.1.11)" = Mozilla Thunderbird (3.1.11)"Nowe Gadu-Gadu" = Nowe Gadu-Gadu - Nie przemęczaj systemu: Ad-aware do deinstalacji. To za dużo w zetknięciu z Norton Internet Security. - Pozostałe aplikacje do aktualizacji: INSTRUKCJE. - Proponuję też wymianę NGG programem alternatywnym z obsługą Gadu. W temacie Darmowe komunikatory są opisane alternatywy: AQQ, Kadu, WTW, Miranda. Polecam WTW - program znacznie lepiej dopasowany do systemu 64-bit niż oryginał (natywna wersja) plus dobra obsługa Gadu. . Odnośnik do komentarza
dolarpoland Opublikowano 25 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 25 Lipca 2011 Bardzo serdecznie dziękuje. Temat uważam za zamknięty. Odnośnik do komentarza
Rekomendowane odpowiedzi