Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Jak usunąć System security protect your pc?

Riona1 08 Mar 2009 10:14 17277 10
  • #1 08 Mar 2009 10:14
    Riona1
    Poziom 9  

    Witam,
    Zainstalował mi się program o nazwie "System security protect your pc"
    Nie mogę go w żaden sposób usunąć, włącza się ciągle i skanuje
    Próbowałam usunąć to przez znalezioną na tym forum instrukcję, ale się nie udało.
    Oto log z combatfix:

    Moderowany przez mat_ed:

    Logi umieszczamy w załączniku. Tym razem poprawiłem, proszę jednak zapamiętać na przyszłość i stosować.

    0 10
  • #3 08 Mar 2009 12:56
    Kolobos
    Spec od komputerów

    Zrob skan przy pomocy Dr.Web CureIt oraz Malwarebytes Anti-Malware.

    Uzyj CFScript.txt Jak usunąć System security protect your pc? z combofix:

    File::
    C:\WINDOWS\system32\874c969c-5078-18be-658b-f056356d844d.exe
    C:\WINDOWS\system32\dsmquwnplcqkjwvdd.dll-uninst.exe
    C:\WINDOWS\system32\rtnabljuznh.exe
    C:\WINDOWS\system32\nsm5E9.dll
    C:\Documents and Settings\All Users\Dane aplikacji\firstlsp.reg.dat
    C:\Documents and Settings\All Users\Dane aplikacji\ÝŮĂÄ3113›.sys
    C:\Program Files\mozilla firefox\components\nsadservefast.dll
    C:\WINDOWS\System32\atmf.dll
    C:\WINDOWS\system32\drivers\ojurssiu.sys
    C:\Documents and Settings\All Users\Application Data\2D848BB6.exe

    Folder::
    C:\Documents and Settings\All Users\Application Data\1765047158\

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53332D9B-8A0A-4DFA-8C3A-2833D4CE8469}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{62dbad9c-f9d3-40fa-a866-bbe27b1bdd75}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "359F5809-00B8-4455-A73A-9EA62A51101B"=-
    "1197178194"=-

    Driver::
    ojurssiu

    Po wykonaniu daj log.

    0
  • #4 09 Mar 2009 06:21
    Riona1
    Poziom 9  

    Witam
    Zrobiłam jak radził Kolobos, program odinstalował się, ale dalej pojawia się komunikat , który kieruje do ściągnięcia tego świństwa. Registry blokuje się w pewnym momencie, więc nie mogę usunąć tych hkeyów.

    Co oznacza Driver::
    ojurssiu ?

    Bardzo dziękuję za pomoc:)
    Oto log:

    0
  • #5 09 Mar 2009 10:37
    Kolobos
    Spec od komputerów

    Nie klam, NIC nie zrobilas! Masz utworzyc plik, ktory podalem z zawartoscia, ktora podalem i przeciagnac go na ikone combofix.exe, czy to takie trudne?

    0
  • #6 09 Mar 2009 15:22
    Riona1
    Poziom 9  

    Sprawdziłam - nie wszystko zaznaczyłam i nie wszystko się wkleiło do notatnika, zrobiłam jeszcze raz
    Proszę o sprawdzenie loga

    0
  • #7 09 Mar 2009 16:17
    Kolobos
    Spec od komputerów

    Rootkit dalej jest.

    Uzyj nowego CFScript.txt:

    DSS::
    IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

    Firefox::
    FF - ProfilePath - c:\documents and settings\Ala\Dane aplikacji\Mozilla\Firefox\Profiles\zofw483f.default\
    FF - prefs.js: browser.search.defaulturl -
    FF - prefs.js: browser.search.selectedEngine -
    FF - prefs.js: keyword.URL -
    FF - ProfilePath - c:\documents and settings\Ala\Dane aplikacji\Mozilla\Firefox\Profiles\zofw483f.default\user.js
    FF - user.js: browser.search.defaultenginename -
    FF - user.js: browser.search.defaulturl -
    FF - user.js: browser.search.selectedEngine -
    FF - user.js: keyword.URL -

    File::
    c:\windows\system32\_963a5fe4a87afae59e172fd886aad950.sys_.vir
    c:\windows\system32\963a5fe4a87afae59e172fd886aad950.sys
    c:\windows\System32\dcbaccaeabaeee.dll
    c:\windows\system32\drivers\ojurssiu.sys
    c:\windows\System32\atmf.dll
    c:\windows\system32\ROB5B3.tmp
    c:\windows\system32\ROB598.tmp
    c:\windows\system32\ROB59B.tmp
    c:\windows\system32\ROB5AB.tmp
    c:\windows\system32\ROB5A3.tmp
    c:\windows\system32\ROB5B8.tmp
    c:\windows\system32\ROB5A0.tmp
    c:\windows\system32\ROB5B0.tmp
    c:\windows\system32\ROB5A8.tmp
    c:\windows\system32\ROB593.tmp
    c:\windows\system32\ROB590.tmp
    c:\windows\system32\ROB58B.tmp
    c:\windows\system32\vumer.dll
    c:\windows\explorerg.exe
    c:\windows\system32\atmf.dll
    c:\windows\system32\drivers\nthiruqi.sys
    c:\windows\system32\nsi4E.dll

    Registry::
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\963a5fe4a87afae59e172fd886aad950]
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dcbaccaeabaeee]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53332D9B-8A0A-4DFA-8C3A-2833D4CE8469}]

    Driver::
    963a5fe4a87afae59e172fd886aad950
    ojurssiu
    LMIRfsClientNP

    Po wykonaniu daj log. Daj tez log z SDFix wykonany w trybie awaryjnym.

    0
  • #9 09 Mar 2009 23:06
    Kolobos
    Spec od komputerów

    Wystarczy sciaganc SDFix, uruchomic komputer w trybie awaryjnym, uruchomic SDFix i po zakonczeniu dac log.

    Sciagnij i uruchom gmer, kliknij na >>> wybierz zakladke CMD w czarnym oknie wklej:

    gmer -killall
    gmer -del service ojurssiu
    gmer -del c:\windows\system32\drivers\nthiruqi.sys
    gmer -del c:\windows\system32\drivers\ojurssiu.sys
    gmer -del c:\windows\System32\atmf.dll
    gmer -del c:\windows\system32\963a5fe4a87afae59e172fd886aad950.sys
    gmer -del c:\windows\system32\_963a5fe4a87afae59e172fd886aad950.sys_.vir
    gmer -reboot

    Po wklejeniu nacisnij Uruchom.

    Nastepnie uzyj combofix z nowy CFScript.txt:

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53332D9B-8A0A-4DFA-8C3A-2833D4CE8469}]
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\963a5fe4a87afae59e172fd886aad950]

    0
  • #11 10 Mar 2009 12:19
    Kolobos
    Spec od komputerów

    Eh, nie wiem jak mozna tak zainfekowac system.

    Utworz w C:\Windows\ plik fix.txt, wklej do niego:

    DISABLE 963a5fe4a87afae59e172fd886aad950
    DISABLE ojurssiu
    DISABLE aujasnkj
    ATTRIB -R-S-H c:\windows\system32\drivers\ojurssiu.sys
    ATTRIB -R-S-H c:\windows\system32\drivers\nthiruqi.sys
    ATTRIB -R-S-H c:\windows\system32\atmf.dll
    ATTRIB -R-S-H c:\windows\system32\963a5fe4a87afae59e172fd886aad950.sys
    ATTRIB -R-S-H c:\windows\system32\_963a5fe4a87afae59e172fd886aad950.sys_.vir
    DEL c:\windows\system32\_963a5fe4a87afae59e172fd886aad950.sys_.vir
    DEL c:\windows\system32\963a5fe4a87afae59e172fd886aad950.sys
    DEL c:\windows\system32\atmf.dll
    DEL c:\windows\system32\drivers\nthiruqi.sys
    DEL c:\windows\system32\drivers\ojurssiu.sys

    Zapisz go, uruchom konsole odzyskiwania z plyty instalacyjnej XP:
    http://www.searchengines.pl/index.php?showtopic=14270

    Po uruchomieniu wpisz:
    Batch FIX.TXT
    Exit

    Po resecie uzyj ponownie combofix i daj log. Jezeli to nie usunie infekcji to daj jeszcze log z gmera z zakladki rootkit zaznaczone tylko uslugi oraz pokaz wszystko i szukaj.

    0