| Author |
Message
|
Riona1
Poziom 3
Joined: 08 Mar 2009
Posts: 5
|
 #1
 08 Mar 2009 11:14 Jak usun±ć System security protect your pc? |
|
|
|
Witam,
Zainstalował mi się program o nazwie "System security protect your pc"
Nie mogę go w żaden sposób usun±ć, wł±cza się ci±gle i skanuje
Próbowałam usun±ć to przez znalezion± na tym forum instrukcję, ale się nie udało.
Oto log z combatfix:
| Moderated by mat_ed: |
| Logi umieszczamy w zał±czniku. Tym razem poprawiłem, proszę jednak zapamiętać na przyszło¶ć i stosować. |
|
|
| Back to top |
|
 |
orzelpiotr
Poziom 22
Joined: 29 Mar 2007
Posts: 2107
Location: "-"
|
#2
08 Mar 2009 11:20 Re: Jak usun±ć System security protect your pc? |
|
|
|
Możesz spróbować tym Link
Można też tak Link
|
|
| Back to top |
|
|
Google
|
| #
08 Mar 2009 11:20 |
|
|
|
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 27305
Location: Warszawa
|
#3
08 Mar 2009 13:56 Re: Jak usun±ć System security protect your pc? |
|
|
|
Zrob skan przy pomocy Dr.Web CureIt oraz Malwarebytes Anti-Malware.
Uzyj CFScript.txt  z combofix:
File::
C:\WINDOWS\system32\874c969c-5078-18be-658b-f056356d844d.exe
C:\WINDOWS\system32\dsmquwnplcqkjwvdd.dll-uninst.exe
C:\WINDOWS\system32\rtnabljuznh.exe
C:\WINDOWS\system32\nsm5E9.dll
C:\Documents and Settings\All Users\Dane aplikacji\firstlsp.reg.dat
C:\Documents and Settings\All Users\Dane aplikacji\ÝŮĂÄ3113›.sys
C:\Program Files\mozilla firefox\components\nsadservefast.dll
C:\WINDOWS\System32\atmf.dll
C:\WINDOWS\system32\drivers\ojurssiu.sys
C:\Documents and Settings\All Users\Application Data\2D848BB6.exe
Folder::
C:\Documents and Settings\All Users\Application Data\1765047158\
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53332D9B-8A0A-4DFA-8C3A-2833D4CE8469}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{62dbad9c-f9d3-40fa-a866-bbe27b1bdd75}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"359F5809-00B8-4455-A73A-9EA62A51101B"=-
"1197178194"=-
Driver::
ojurssiu
Po wykonaniu daj log.
|
|
| Back to top |
|
|
Riona1
Poziom 3
Joined: 08 Mar 2009
Posts: 5
|
#4
09 Mar 2009 07:21 Re: Jak usun±ć System security protect your pc? |
|
|
|
Witam
Zrobiłam jak radził Kolobos, program odinstalował się, ale dalej pojawia się komunikat , który kieruje do ¶ci±gnięcia tego ¶wiństwa. Registry blokuje się w pewnym momencie, więc nie mogę usun±ć tych hkeyów.
Co oznacza Driver::
ojurssiu ?
Bardzo dziękuję za pomoc:)
Oto log:
| Filename: |
ComboFix.txt |
Download |
| Contents: |
|
| Filesize: |
7.21 KB |
| Punkty: |
0.00 |
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 27305
Location: Warszawa
|
#5
09 Mar 2009 11:37 Re: Jak usun±ć System security protect your pc? |
|
|
|
Nie klam, NIC nie zrobilas! Masz utworzyc plik, ktory podalem z zawartoscia, ktora podalem i przeciagnac go na ikone combofix.exe, czy to takie trudne?
|
|
| Back to top |
|
|
Google
|
| #
09 Mar 2009 11:37 |
|
|
|
|
|
| Back to top |
|
|
Riona1
Poziom 3
Joined: 08 Mar 2009
Posts: 5
|
#6
09 Mar 2009 16:22 Re: Jak usun±ć System security protect your pc? |
|
|
|
Sprawdziłam - nie wszystko zaznaczyłam i nie wszystko się wkleiło do notatnika, zrobiłam jeszcze raz
Proszę o sprawdzenie loga
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 27305
Location: Warszawa
|
#7
09 Mar 2009 17:17 Re: Jak usun±ć System security protect your pc? |
|
|
|
Rootkit dalej jest.
Uzyj nowego CFScript.txt:
DSS::
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
Firefox::
FF - ProfilePath - c:\documents and settings\Ala\Dane aplikacji\Mozilla\Firefox\Profiles\zofw483f.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: keyword.URL -
FF - ProfilePath - c:\documents and settings\Ala\Dane aplikacji\Mozilla\Firefox\Profiles\zofw483f.default\user.js
FF - user.js: browser.search.defaultenginename -
FF - user.js: browser.search.defaulturl -
FF - user.js: browser.search.selectedEngine -
FF - user.js: keyword.URL -
File::
c:\windows\system32\_963a5fe4a87afae59e172fd886aad950.sys_.vir
c:\windows\system32\963a5fe4a87afae59e172fd886aad950.sys
c:\windows\System32\dcbaccaeabaeee.dll
c:\windows\system32\drivers\ojurssiu.sys
c:\windows\System32\atmf.dll
c:\windows\system32\ROB5B3.tmp
c:\windows\system32\ROB598.tmp
c:\windows\system32\ROB59B.tmp
c:\windows\system32\ROB5AB.tmp
c:\windows\system32\ROB5A3.tmp
c:\windows\system32\ROB5B8.tmp
c:\windows\system32\ROB5A0.tmp
c:\windows\system32\ROB5B0.tmp
c:\windows\system32\ROB5A8.tmp
c:\windows\system32\ROB593.tmp
c:\windows\system32\ROB590.tmp
c:\windows\system32\ROB58B.tmp
c:\windows\system32\vumer.dll
c:\windows\explorerg.exe
c:\windows\system32\atmf.dll
c:\windows\system32\drivers\nthiruqi.sys
c:\windows\system32\nsi4E.dll
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\963a5fe4a87afae59e172fd886aad950]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dcbaccaeabaeee]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53332D9B-8A0A-4DFA-8C3A-2833D4CE8469}]
Driver::
963a5fe4a87afae59e172fd886aad950
ojurssiu
LMIRfsClientNP
Po wykonaniu daj log. Daj tez log z SDFix wykonany w trybie awaryjnym.
|
|
| Back to top |
|
|
Riona1
Poziom 3
Joined: 08 Mar 2009
Posts: 5
|
#8
09 Mar 2009 21:08 Re: Jak usun±ć System security protect your pc? |
|
|
|
Witam
Proszę o sprawdzenie loga
Nie wiem niestety jak wykonać log z SDFix w trybie awaryjnym.
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 27305
Location: Warszawa
|
#9
10 Mar 2009 00:06 Re: Jak usun±ć System security protect your pc? |
|
|
|
Wystarczy sciaganc SDFix, uruchomic komputer w trybie awaryjnym, uruchomic SDFix i po zakonczeniu dac log.
Sciagnij i uruchom gmer, kliknij na >>> wybierz zakladke CMD w czarnym oknie wklej:
gmer -killall
gmer -del service ojurssiu
gmer -del c:\windows\system32\drivers\nthiruqi.sys
gmer -del c:\windows\system32\drivers\ojurssiu.sys
gmer -del c:\windows\System32\atmf.dll
gmer -del c:\windows\system32\963a5fe4a87afae59e172fd886aad950.sys
gmer -del c:\windows\system32\_963a5fe4a87afae59e172fd886aad950.sys_.vir
gmer -reboot
Po wklejeniu nacisnij Uruchom.
Nastepnie uzyj combofix z nowy CFScript.txt:
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53332D9B-8A0A-4DFA-8C3A-2833D4CE8469}]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\963a5fe4a87afae59e172fd886aad950]
|
|
| Back to top |
|
|
Riona1
Poziom 3
Joined: 08 Mar 2009
Posts: 5
|
#10
10 Mar 2009 11:03 Re: Jak usun±ć System security protect your pc? |
|
|
|
Prosze o sprawdzenie logów:
| Filename: |
ComboFix.txt |
Download |
| Contents: |
|
| Filesize: |
7.42 KB |
| Punkty: |
0.00 |
| Filename: |
report.txt |
Download |
| Contents: |
|
| Filesize: |
6.97 KB |
| Punkty: |
0.00 |
|
|
| Back to top |
|
|
Google
|
| #
10 Mar 2009 11:03 |
|
|
|
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 27305
Location: Warszawa
|
#11
10 Mar 2009 13:19 Re: Jak usun±ć System security protect your pc? |
|
|
|
Eh, nie wiem jak mozna tak zainfekowac system.
Utworz w C:\Windows\ plik fix.txt, wklej do niego:
DISABLE 963a5fe4a87afae59e172fd886aad950
DISABLE ojurssiu
DISABLE aujasnkj
ATTRIB -R-S-H c:\windows\system32\drivers\ojurssiu.sys
ATTRIB -R-S-H c:\windows\system32\drivers\nthiruqi.sys
ATTRIB -R-S-H c:\windows\system32\atmf.dll
ATTRIB -R-S-H c:\windows\system32\963a5fe4a87afae59e172fd886aad950.sys
ATTRIB -R-S-H c:\windows\system32\_963a5fe4a87afae59e172fd886aad950.sys_.vir
DEL c:\windows\system32\_963a5fe4a87afae59e172fd886aad950.sys_.vir
DEL c:\windows\system32\963a5fe4a87afae59e172fd886aad950.sys
DEL c:\windows\system32\atmf.dll
DEL c:\windows\system32\drivers\nthiruqi.sys
DEL c:\windows\system32\drivers\ojurssiu.sys
Zapisz go, uruchom konsole odzyskiwania z plyty instalacyjnej XP:
http://www.searchengines.pl/index.php?showtopic=14270
Po uruchomieniu wpisz:
Batch FIX.TXT
Exit
Po resecie uzyj ponownie combofix i daj log. Jezeli to nie usunie infekcji to daj jeszcze log z gmera z zakladki rootkit zaznaczone tylko uslugi oraz pokaz wszystko i szukaj.
|
|
| Back to top |
|
|
