Personal Shield Pro - problem


(Infernalmajesty) #1

Witam, mam sporawy problem z programem Personal Shield Pro. Z tego co widze, to dosyc znany problem na tym forum, ale znawca nie jestem i nie potrafie sobie sam z tym poradzic. Prosze o pomoc :slight_smile:

(wybaczcie brak polskich znakow, ale mam niemieckiego laptopa...)

Wklejam log z OTL

http://wklejto.pl/103022

(jessica) #2

1) Użyj USBFix, >http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0

Kliknij w nim na:DELETION.

Daj raport z tego usuwania.

2) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

3)

To teoretycznie OTL powinien usunąć, ale z praktyki wiem, że OTL nie radzi sobie z usuwaniem tego folderu, więc usuń go ręcznie.

4) Zainstaluj bezpieczniejszą wersję Javy >Java 7 (JRE)

Starą wersję odinstaluj.

5) Pokaż nowy log OTL.txt oraz raport z usuwania, i raport z USBFix.

jessi


(Infernalmajesty) #3

1) Zrobilem jak wskazalas, ale nie jestem w stanie wkleic raportu, bo po otwarciu notatnika wyskakuje mi komunikat ''odmowa dostepu''

2) Skrypt wklejony, ale restartowac komputer musialem recznie - zadne prosba o restart sie nie pojawila

3) Usunalem recznie

Jest teraz inny problem - po zalogowaniu sie na moje konto, system bardzo dlugo sie wlacza i to z wygladem ''staro-windowsowym'', nie jak XP. Dodatkowo wyskakuje mi komunikat z HDeck ''Windows sockets initialization failed''. Wciaz nie moge sie polaczyc z antywirusem, nie moglem uruchomic OTL (brak uprawnien, itd) - odpalilem go z pendriva. Wklejam log:

http://wklejto.pl/103041

Raport z USBFix: Research

http://wklejto.pl/103042

Deletion:

http://wklejto.pl/103043

Po uzyciu deletion, wyglad XP wrocil, ale nie moge przywrocic Active Desktop (''Wystapil blad w skrypcie na tej stronie'')


(jessica) #4

Nie wszystko się usunęło, więc:

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Masz nieprawidłowe obiekty na pulpicie:

Takie coś usuniesz za pomocą Delete FXP Files >http://www.deletefxpfiles.com/index2.html

No cóż, ta infekcja powoduje różne problemy - jeśli się to jakoś samo nie naprawi po restarcie, to można będzie zrobić zwykłe Przywracanie Systemu do stanu przed usuwaniem infekcji.

Infekcja oczywiście będzie dalej.

jessi


(Infernalmajesty) #5

Wkleilem, chociaz znow sam musialem restartowac komputer. Nie wiem, mam wrazenie, ze wciaz nie wszystko jest usuniete. Moze trzeba to zrobic inaczej? Po kazdym restarcie nie mam dostepu do OTL, musze odpalac nowy, sciagniety - dlatego nie mam loga bezposrednio po uruchomieniu komputera, tylko sam robie skan.

Log:

http://wklejto.pl/103081

Dodatkowo mam pytanie:

Oznacza to, ze ktos sobie przegladal strony pornograficzne? Moze tutaj sie sciagnal ten program?

-- Dodane 16.08.2011 (Wt) 16:21 --

zauwazylem w menedzerze zadan, ze jest odpalony proces ''3714195592:2011143458.exe'' - z tego co udalo mi sie dowiedziec, jest to proces tego zlosliwego programu. Nie moge go zamknac ani znalezc - czy to on jeszcze zostal i nie moge go usunac?


(jessica) #6

Nie, te wpisy to wprowadził do HOSTS Twój "Spybot - Search & Destroy".

Coś to usuwanie Ci się nie udaje.

Spróbujemy inaczej:

1) Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.google.pl/"


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.google.pl/"


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"Pbosohece"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >> plik uruchom (dwuklik i OK). 2) Ściągnij -->Avenger. wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\3714195592

C:\WINDOWS\3714195592:2011143458.exe

C:\WINDOWS\coacvil.dll

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

3) Daj nowe logi z OTL.

jessi


(Infernalmajesty) #7

Ciagle nie moge sie go pozbyc, mimo ze Avenger usunal plik :frowning:

Log z OTL:

http://www.wklejto.pl/103118

Log z Avengera:

http://www.wklejto.pl/103119

-- Dodane 17.08.2011 (Śr) 12:08 --

plik 3714195592 wciaz wraca po restarcie - niewazne jak go usune


(jessica) #8

Tak, to jest dalej.

Coś mi się wydaje, że w swoim pierwszym poście popełniłam ogromny błąd w ocenie tego powyższego.

To najprawdopodobniej efekt Rootkita ZEROACCES.

Usuwanie tego poprzez Script OTL nie miało żadnego sensu, jeśli jest ten Rootkit.

Ja na pewno nie poradzę sobie z takim Rootkitem, a zwłaszcza nie poradzę sobie z usuwaniem skutków jego działalności, już po usunięciu samego Rootkita.

W tej sytuacji zalecam Ci udanie się na forum >http://www.fixitpc.pl/

Tam @ Picasso potrafi działać z tym Rootkitem.

Przykłady:

jessi


(Infernalmajesty) #9

Ech, no nic, bede tam probowal. Tak czy owak, dzieki za pomoc i za poswiecony czas :slight_smile: