Skocz do zawartości

Infekcja Security Tool


Rekomendowane odpowiedzi

To mój pierwszy post na tym forum więc na początku wypada się przywitać co więc czynie

Witajcie

Mam następujący problem:

Mój kolega wyłapał paskudną infekcje, próbuje mu to usunąć przez TeamViewer, ale nic nie można uruchomić, zaraz wyskakuje komunikat od Security Tool, w trybie awaryjnym nie ma szans bo nie ma sieci (USB) chyba że będę mu tłumaczył co ma czynić ;)

Czy istnieje jakaś metoda na pozbycie się tej infekcji?

Gdy próbuje cokolwiek uruchomić wyskakuje znany komunikat

Bez%20nazwy.jpg

Próbowałem uruchomić rkill.com lecz też to samo, okno programu czasami na chwile się pokazuje lecz po chwili zostaje zastąpione komunikatem od Security Tool

Czy znacie jeszcze jakieś metody pozbycia się szkodnika?

system Vista32bit, użytkownik nie posiada płyty z systemem

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

No dobrze, ale na czym stoisz. Brak jasnych postępów w pracach.

 

w trybie awaryjnym nie ma szans bo nie ma sieci (USB) chyba że będę mu tłumaczył co ma czynić

 

Ale hmmm, nie widzę tu za bardzo problemu, albo opis jest niedostatecznie jasny. Brak sieci w awaryjnym nie ma tu przecież żadnego znaczenia, a instrukcje są tak proste, że komunikacja TeamViewer nie wydaje się tu potrzebna do tego etapu .... Pobiera OTL z poziomu Trybu normalnego. Restartuje do awaryjnego na swoje konto (nie wbudowanego Administratora) i wytwarza wymagane raporty. Ponownie restartuje do normalnego i pokazuje raporty na forum. My zaś, na podstawie wytworzonych raportów, robimy fiksa w postaci pliku, który zapisuje na dysku, przechodzi do awaryjnego i uruchamia fiksa....

Tryb awaryjny to jest jedna z najprostszych metod przy tego typu infekcjach, bo jest wielki procent szans, że ów fałszywy soft nie załaduje się w tym stadium.

 

Utworzyłem nowego użytkownika i będę z poziomu nowego usera próbował coś zdziałać

 

Cóż, tylko raporty nie są pod to do końca przystosowane. Ładują gałęzie HKCU (Current User) i są to gałęzie wyglądające różnie z poziomu każdego konta.

 

 

.

Odnośnik do komentarza

Więc tak jak pisałem utworzyłem nowego użytkownika na prawach Administratora, przeniosłem ze starego profilu najwartościowsze rzeczy (głównie zdjęcia i mp3), następnie usunąłem stary profil oraz skasowałem wszystko co dało się skasować, pozostał folder profilu i parę plików których system odmówił usunięcia

Wykonałem logi z OTL i te załączam do posta. GMER w toku gdy tylko ukończy dołączę log z niego

Edit

GMER nie kończy skanowania komputer sam się restartuje i zero wyniku

OTL.Txt

Extras.Txt

Odnośnik do komentarza

W pokazanych tu logach nie ma już znaków czynności SecurityTool. To oczywiste, jeśli usunąłeś profil użytkownika i stworzyłeś log z poziomu innego konta niż poprzednie, a infekcja miała zapisy dla bieżącego użytkownika a nie globalne. Pozostał jedyny mały mikro odpadek:

 

O4 - HKU\S-1-5-21-1330676278-1091689823-3525029055-1000..\RunOnce: [941018699] C:\Users\User\AppData\Local\941018699.exe File not found

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1330676278-1091689823-3525029055-1000..\RunOnce: [941018699] C:\Users\User\AppData\Local\941018699.exe File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\Serwis\EVEREST Ultimate Edition\kerneld.wnt -- (EverestDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\User\AppData\Local\Temp\catchme.sys -- (catchme)

 

Rozpocznij przez Wykonaj skrypt. Jeśli akcja będzie pomyślna, zakończ pracę OTL opcją Sprzątanie.

 

2. W Panelu sterowania przejdź do modułu deinstalacji programów i usuń DAEMON Tools Toolbar.

 

I nie ma tu nic więcej do roboty....

 

GMER nie kończy skanowania komputer sam się restartuje i zero wyniku

 

Po pierwsze, nie wypełnione warunki dla uruchomienia programu (ogłoszenie), bo pracuje w tle emulacja od wirtuali:

 

DRV - [2009-06-24 16:46:20 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)

 

Jest również napisane: nie można uruchomić GMER, to należy podać log z Root Repeal.

 

pozostał folder profilu i parę plików których system odmówił usunięcia

 

Podczas usuwania konta w Panelu sterowania była opcja usuwania plików. Czy ta opcja odmówiła posłuszeństwa? Zaś teraz przy próbie (jak rozumiem ręcznej) usuwania odpadków jaki błąd się pokazuje? Jako, że jest tu Vista, może chodzi o brak uprawnień. Gdyby w tym było dzieło, to uczynić nowe konto na którym jesteś Właścicielem i przyznać w trybie rekursywnym Pełną kontrolę do folderu i jego składowych. Instrukcje są tu: KLIK

 

 

.

Edytowane przez picasso
26.10.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...