Security shield - rootkity


(Psych) #1

Witam.

Wątek wyodrębniłem z tego tematu (rootkit-zeroacces-przekierowania-przegladarki-logi-t478473-15.html)

Proszę o pomoc w rozwiązaniu problemu.

Wszystko zaczęło się od momentu, kiedy to sam zainstalował mi się 'secutity shield' - chyba nie muszę wyjaśniać co to za złośliwe dziadostwo.

Poradziłem sobie z nim czytając fora i stosując się do wskazówek. Wydawało się, że to koniec problemu, ale nagle przeglądarki zaczęły szaleć i przekierowywać mnie na jedną stronę po wynikach wyszukiwania w gogle. nie ważne co się klikało. Do tego cały czas upierdliwie zmienia się ustawienie proxy w firefoxie.

Nie umiem sobie z tym wszystkim poradzić i liczę na pomoc.

logi:

OTL

http://wklej.to/Bz8jU

TDSS killer póki co nic nie znalazł

Malwarebytes anti-malware:

http://wklej.to/oEwpE

uda się coś z tym zrobić póki jeszcze nie rozpleniło mi się po całym kompie?


aktualnie tak jak poradził spandaupol, przygotowuję Combofixa. Za moment jak pójdzie dobrze, podam logi.


(Spandau) #2

Dobrze będziemy kontynuować w tym temacie. Czekamy na raport Combofixa.


(Psych) #3

Właśnie mieli. Piszę z laptopa. Coś bardzo długo mu to idzie ale co zrobić...


(Spandau) #4

Długo to znaczy ile może skanować około do 10 góra 15 minut. Na razie czekaj i obserwuj. Na jakim jest etapie? Jeśli się zawiesi to zrestartuj system Uruchom OTL klikasz Skanuj i pokaż nowy raport OTL na forum


(Psych) #5

Długo, to znaczy już jakieś dobre 40 minut. Ale przeszedł wszystkie etapy, coś tam automatycznie porobił, coś pousuwał i zrestartował komputer. Nic nie dotykałem. Uruchomił się i wyświetla 'przygotowanie wyniku skanowania'. Tak już z 10 minut. Czekam i nic nie ruszam.


(Spandau) #6

Dobrze poczekaj jeszcze trochę to nie jest łatwa infekcja nawet dla Combofixa. Właśnie tworzy raport.


(Psych) #7

Mam nadzieję, że się uda Tobie coś z tym zrobić. W sumie bardzo na to liczę, sam nawet nie jestem w stanie ocenić co się dzieje i co to za infekcja. Najgorsze też, że nie wiem skąd ona się wzięła. Ostatnie wirusy pamiętam z czasów win98, później zawsze miałem spokój.

ComboFix pracuje i cały czas przygotowuje raport. Widać że coś mieli na dyskach.

edit.

jest raport!

http://wklej.to/Dx8Ee


(Spandau) #8

To jest rootkit zeroaccess. Skąd się wzięła? Pewno coś ściągnąłeś z internetu.

Jeśli nie uda się mu wyprodukować raportu. To usuwanie już się odbyło więc będziesz musiał zrestartować komputer Uruchomić OTL klikasz Skanuj i pokazać nowy raport OTL.txt na forum


(Psych) #9

zdążyłem wyedytować swój powyższy post i dokleić link do raportu zanim zobaczyłem odpowiedź.

Proszę, oto on: http://wklej.to/Dx8Ee


(Spandau) #10

Start - w pole Wyszukaj programy i pliki wpisz regedit z prawokliku Uruchom jako administrator Idziesz do klucza

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost znajdź netsvcs z prawokliku wybierasz Exportuj - zapisz do pliku reg jako kopię na wypadek gdyby coś poszło nie tak

Naprawiamy Netsvcs

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Ustaw rozszerzenie na Wszystkie pliki - zapisz pod nazwą Fix.reg z prawokliku opcja Scal

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Psych) #11

jestem pod wrażeniem!

Zrobiłem wszystko po kolei, bez problemów.

skan z usuwania:

http://wklej.to/CKiO0

skan po restarcie

http://wklej.to/jr3Pu


(Spandau) #12

Dobrze teraz po kolei

Combofix usuwał plik D:\install.exe to nie jest plik infekcji

Wejdź do folderu C:\ Qoobox\Quarantine.. znajdź ten plik install.exe skasuj mu rozszerzenie . vir i przywróć na dysk D gdyż tam on był Jeśli będzie jakiś problem opis masz w instrukcji do Combofixa lub napisz nie wykonuj kolejnych kroków.

Następnie odinstalujemy Combofixa w prawidłowy sposób Start - w pole Wyszukaj programy i pliki wpisz

"c:\users\KadrArt\Desktop\ComboFix.exe" /uninstall i Enter Początkowo proces deinstalacji będzie przebiegał tak jakby Combofix się uruchamiał więc proszę się nie dziwić

Będę usuwać OTLem kilka rzeczy o których teraz napisze Jeśli nie zgadzasz się z którymś punktem pisz nie wykonuj skryptu

Pozostałość po Ad-Avare Lavasoftu. Jeśli masz ten program pisz

Jeśli sam tego nie ustawiłeś dam do usuwania to proxy. Jeśli ustawiałeś pisz

definitywnie folder infekcji do usunięcia

Start - Panel sterowania - odinstaluj program znajdź i odinstaluj

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.


(Psych) #13

Ok, tak zrobiłem. Chyba właśnie program się odinstalowuje, choć faktycznie znów lecą te etapy. Mam nadzieję, że znów tak długo nie będzie to trwało.

Wypisane pozycje można śmiało usunąć wszystkie. Proxy także nie ustawiałem. Być może to powodowało, że przeglądarki ładowały się na niepożadane strony a w firefoxie opcja proxy ciągle sama się ustawiała.

W panelu sterowania/ odinstaluj nie mam czegoś takiego jak ask toolbar

Jak ComboFix skończy uruchomię skrypt


coś chyba nie gra, bo comboFix znów usuwa plik D:\install.exe, który przywróciłem


(Spandau) #14

Tak to powodował rootkit Czekam na raporty OTL z usuwania i skanu.

Jaką komende wkleiłeś? Powinno być

"c:\users\KadrArt\Desktop\ComboFix.exe" /uninstall

Czekam na raporty OTL zobaczymy co zrobiłeś


(Psych) #15

Tak wkleiłem całość. Obecnie komputer uruchamia się ponownie. Mam spróbować jeszcze raz wkleić całą komendę?

Na pocieszenie, program nic nie usunął poza tym install.exe i jakimś katalogiem tmp na dysku C


(Spandau) #16

Nie. Przejdź do skryptu do OTL


(Psych) #17

no to sprawa wygląda tak:

combo fix, po tym jak sie nie odinstalował, ale przeskanował:

http://wklej.to/RxT60

OTL po usuwaniu

http://wklej.to/hlvtL

OTL skan

http://wklej.to/D1fTz


(Spandau) #18

Dokładnie Combofix wykonał skan. Komenda którą podałem jest prawidłowa i nie wiem co się stało. Dlatego resztę po Combofixie będziemy usuwać OTL'em Oczywiście przywróć plik install.exe na swoje miejsce.

Chodziło mi żebyś odinstalował ten toolbar AskBarDis

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Uruchom OTL klikasz Sprzątanie to usunie OTL'a wraz z jego kwarantanną

Wykonaj pełny skan Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V ... 12768.html Jak program coś wykryje proszę nic nie usuwać tylko pokaż raport z wykrytych zagrożeń. Jeśli nic nie wykryje odinstaluj go http://support.kaspersky.com/pl/faq/?qid=208284189

Jak skaner nic nie wykryje użyj Security Check [http://www.fixitpc.pl/topic/61-diagnost ... #entry9515](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program


(Psych) #19

http://wklej.to/WQrqS

log po usuwaniu OTLem

Obecnie kaspersky skanuje.

Mam nadzieję, że to już finish? :slight_smile:


Hurra! kaspersky nic nie znalazł! Chyba mogę się cieszyć? Jeszcze tym drugim polecę

--

log z security check:

http://wklej.to/8La8A


(Spandau) #20

Cały system do aktualizacji

Win7 SP1, IE9, Java, Adobe, Mozilla

Proszę zmienić wszystkie hasła logowania