Security Tool

[lilleczka]

witam,

 

jestem po raz pierwszy na tym forum, informację o nim znalazłam na bleepingcomputer gdzie szukałam linka do ComboFix'a

 

ale od początku, w piątek po odpaleniu komputera domowego) system Windows XP natrętnie zaczęły się otwierać okienka programu Security Tool podającego się za program antywirusowy

 

wszelkie próby zrobienia czegokolwiek kończyły się wyświetleniem pytania "kontynuować bez ochrony" i po potwierdzeniu koniecznością ponownego,wielokrotnego potwierdzania, że TAK chcę kontynuować bez ochrony

 

nie jestem w stanie odpalić antywirusa (McFee), ściągnąć żadnego innego AV, otworzyć "Dodaj/usuń programy", wyrzuca mnie ze stron internetowych (ale z samego internetu to już nie wyrzuca)

 

po 20 minutach działania komputera pojawił się w blueescreen z informacją, że to działanie podjęte w obronie komputera, że może być za to odpowiedzialny plik SPCMDCOM.sys i wiele innych innych informacji nie do końca przeze mnie zrozumiałych bo w komputerach jestem laikiem a na dodatek informacja jest po angielsku i techniczne zwroty są dla mnie prawie zupełnie niezrozumiałe

 

po paru minutach komputer się sam zrestartował

 

polecono mi ComboFix'a (kolega z pracy, informatyk) - na wielu forach mnóstwo peanów na jego temat ale że widziałam też sporo ostrzeżeń zaczęłam szukać więcej informacji - ostatecznie trafiłam tutaj

 

w tej chwili korzystam z komputera poza domem, w domu wyrzuca mnie z niektórych stron

 

jakiego rodzaju informacje musiałabym podać żeby przynajmniej umożliwić Wam wstępną diagnozę problemu?

 

dalsze pytania po odpowiedzi na to pierwsze

 

pozdrawiam

[Xebritas]

No, aby otrzymać pomoc musisz podać WYMAGANE LOGI, a jakie to są to masz opisane ładnie tutaj: KLIK.

 

Bez tego ani rusz

[lilleczka]

ok, dzięki... ale... ja jestem laik i "log" nic mi nie mówi

 

poczytam sobie podrzucone informacje, jeśli będę potrzebowała pomocy, żeby podać wymagane logi odezwę się znowu

 

jeśli dam radę z logami to też się odezwę

 

zdaje sobie sprawę, że najprawdopodobniej skończy się na przekazaniu komputera fachowcowi ale nie mam ochoty dać sobie wciskać kitu, że "to zupełnie coś innego i że przy okazji trzeba wymienić jakąś kartę tudzież płytę główną"

i tak bywało, niestety...

[Landuss]

To jest znana infekcja i już nieraz ją usuwaliśmy. Dostałaś linki i wszystko jest w nich opisane jak na dłoni, ale jeszcze trzeba w nie wejść i poczytać. Masz pokazać wymagane logi z narzędzia OTL oraz GMER i wkleić je tutaj lub dać jako załącznik.

[lilleczka]

witam ponownie

 

wczoraj próbowałam zastosować się do wskazówek ale niestety Security Tool uniemożliwia mi podjęcie jakichkolwiek działań

 

nie mogę otworzyć "Dodaj/usuń programy" - ST wyświetla komunikat "rundl32.exe zainfekowany Lemena_.3544 (lub Virus._Eupru.1731 lub cokolwiek innego, za każdym razem inny)Dany robak stara się nadać dane Państwa karty kredytowej, używając rundl32.exe do podłączenia do oddalonego hosta"

 

udało mi się pobrać otl.exe ale nie pozwala go uruchomić (podobnie z otl.com oraz otl.scr) wyświetlając komunikat "otl.exe zainfekowany Bacdoor_.Win32_.Nanspy.f (lub Virus_.Linux.Gildo lub cokolwiek innego, za każdym razem inny)Dany robak stara się nadać dane Państwa karty kredytowej, używając otl.exe do podłączenia do oddalonego hosta"

 

więc nie jestem w stanie przesłać logów

[Xebritas]

Nawet w trybie awaryjnym?

[picasso]

lilleczka spróbuj na początek użyć narzędzia RKill, które jest dedykowane zabijaniu podobnie działających procesów malware, blokujących uruchomienie czegokolwiek. Jak napisane, próbuj z nim do skutku, a po ewentualnym pomyślnym zabiciu procesów szkodnika nie resetuj komputera, tylko od razu wygeneruj logi.

[lilleczka]

witam ponownie

 

oto co udało mi się dzisiaj uzyskać po użycie RKill'a

 

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as Eliza on 2010-11-17 at 20:36:54.

 

 

Services Stopped:

Services Stopped:

 

Services Stopped:

Processes terminated by Rkill or while it was running:

 

Rkill completed on 2010-11-17 at 20:36:59.

C:\WINDOWS\Temp\_ex-08.exe

C:\Documents and Settings\Eliza\Ustawienia lokalne\Temp\594.tmp\pev.rkexe

C:\Documents and Settings\Eliza\Ustawienia lokalne\Temp\591.tmp\pev.rkexe

C:\Documents and Settings\Eliza\Ustawienia lokalne\Temp\58E.tmp\pev.rkexe

 

 

Rkill completed on 2010-11-17 at 20:36:59.

[picasso]

No dobrze, ale log z RKill to nie nie jest ten właściwy (on służy tylko podstawową informacją co robiło narzędzie). Masz pokazać logi z OTL. Po użyciu RKill nie resetuj teraz systemu! Rób log z OTL i tu podaj, byśmy zdążyli zanalizować i stworzyć skrypt usuwający.

[lilleczka]

właśnie próbuję uruchomić OTL ale ST cały czas go blokuje

[picasso]

W takim razie wykonaj sekwencję: start do Trybu awaryjnego, użycie RKill, próba uruchomienia OTL.

[lilleczka]

nie resetowałam komputera ale RKill zawiesił mi pulpit i musiałam się przelogować

 

przepuściłam jeszcze raz RKill - ten przesłany log

 

ST nadal jest bardzo aktywny

 

RKilla udało mi się uruchomić po 20 minutach klikania, czy przy OTL ta technika zadziała?

 

dobra, wiem jak uruchomić w trybie awaryjnym ale czy dalej sobie poradzę? nie robiłam tego nigdy

Edytowane 17 Listopada 2010 przez picasso
Posty połączone. //picasso

[picasso]

dobra, wiem jak uruchomić w trybie awaryjnym ale czy dalej sobie poradzę? nie robiłam tego nigdy

 

Chodzi mi tylko o stworzenie redukowanego środowiska procesów. Czyli start do awaryjnego i zrobienie logów (bez nich nie jestem w stanie zgadywać gdzie infekcja umieściła pliki), więc tu nie ma nic do "nie poradzenia sobie", o ile infekcja nie przeszkodzi znów.

 

PS. I proszę stosuj buttonik "Edytuj", jeśli nikt jeszcze nie odpisał, a chcesz coś uzupełnić, zamiast pisać kolejnego posta pod spodem.

[lilleczka]

ok, będę pamiętać o edytowaniu postów

 

udało mi się z logami OTL - przesyłam w załączeniu

 

w awaryjnym nie chodzi internet - to normalne?

musiałam przejść na normalny

 

czy mam wytworzyć logi z GMER?

Extras.Txt

OTL.Txt

[picasso]

w awaryjnym nie chodzi internet - to normalne?

musiałam przejść na normalny

 

Tak, normalne. Internet może chodzić tylko w Trybie awaryjnym z obsługą sieci, o ile sprzęt sieciowy nie wymaga jakiś sterowników, które nie mogą być w tym trybie załadowane.

 

 

1. Pobierz plik FIX.TXT (z prawokliku na link opcja Zapisz): FIX.TXT

 

2. Startujesz ponownie do Trybu awaryjnego, uruchamiasz OTL, wybierasz opcję Wykonaj skrypt a na pytanie o plik wskazujesz mu FIX.TXT. Skrypt powinien wykonać zadanie i ma nastąpić restart komputera, a finałowo dostaniesz log.

 

3. Startujesz już do Trybu normalnego, w panelu Dodaj/Usuń odinstalowujesz śmieci: My Web Search (Popular Screensavers) + ShopperReports + Softonic-Eng7 Toolbar.

 

4. Generujesz nowe logi z OTL oraz GMER. Teraz powinno już się dać te narzędzia uruchomić normalnie. Prezentujesz je razem z logiem uzyskanym z usuwania OTL w punkcie 2.

 

 

.

[lilleczka]

z prawokliku mam tylko opcję "zapisz element docelowy jako.."

[picasso]

z prawokliku mam tylko opcję "zapisz element docelowy jako.."

 

No i okej. Umownie podałam nazwę w skrócie, bo to oczywiste. Chodzi mi po prostu o to, że ten plik ma być zapisany na dysku, bo są kłopoty ze startem bezpośrednim OTL i skrypt do niego trzeba podać nieco naokoło a nie jak zwykle tu robimy.

[lilleczka]

zrobiłam jak napisałaś

 

po wykonaniu skryptu komputer się zrestartował

 

w załączeniu przesyłam log po tym procesie

 

ale niestety dalszej części instrukcji nie jestem w stanie wykonać - ST na to nie pozwala...

log po skrypcie.txt

[picasso]

ale niestety dalszej części instrukcji nie jestem w stanie wykonać - ST na to nie pozwala...

 

Hmm, ale tu się wszystko usunęło. Proszę: wejdź ponownie do Trybu awaryjnego i wygeneruj nowe logi z OTL (GMER też dodaj).

[lilleczka]

ale jak rozumiem OTL bez skryptu tylko skanowanie jak za pierwszym razem?

[picasso]

Tak, normalny skan jak za pierwszym razem. Nie zapomnij o GMER, bo tu w ogóle nie był sprawdzany.

[lilleczka]

ok, dzięki

 

 

 

w załączeniu przesyłam loga z OTL a co do GMER - no cóż, kretynka jedna, tak się ucieszyłam, że po godzinie wreszcie proces się zakończył, że zamiast "kopiuj" kliknęłam ponownie "szukaj" no i wszystko się zawiesiło...

 

to co, mam pewnie lecieć na awaryjny i znowu puścić GMER?

OTL.Txt

[picasso]

Chyba oślepłam, a miałam to przed oczami (nowo wygenerowane foldery Administrator świadczące o inicjalizacji konta, które nigdy dotychczas nie było logowane). Oczywiście, że ten log pokazuje, że jest w porządku, a jak wracasz na Tryb normalny to atakuje fałszywy antywirus. Działasz na złym koncie, zalogowałaś się na serwisowe ukryte konto Administrator:

 

Computer Name: PIOTROWS-9937B4 | User Name: Administrator | Logged in as Administrator.

 

Dotychczas były tu w zasadzie sprzątane wpisy HKLM (ogólne maszyny, aplikują się dla wszystkich kont). Ta infekcja jest nastawiona na działanie z poziomu bieżącego użytkownika, dlatego log musi pokazywać wygląd konta dotkniętego tą infekcją, z poziomu innego konta zobaczysz co innego. Na ekranie startu do Trybu awaryjnego nie masz wybierać konta Administrator tylko konto własne użytkownika na którym jest problem. I z poziomu tego konta masz zrobić log z OTL. Po ilości folderów widzialnych w logu z OTL należy przypuszczać, że masz konta: aaa, Eliza i Julek. Każde dodatkowe konto, inne niż Administrator, może mieć zapisy tej infekcji i należy to czyścić po kolei...

 

 

.

[lilleczka]

ok, czyli wracam w awaryjny i dla każdego konta(poza Administratorem) osobno robię OTL i zapewne też GMER, tak?

 

nie wiem jak konto aaa wygląda, bo go nie używamy ale ST jest i na moim koncie i na koncie syna - u niego się wszystko zaczęło

[picasso]

ok, czyli wracam w awaryjny i dla każdego konta(poza Administratorem) osobno robię OTL i zapewne też GMER, tak?

 

GMER wystarczy zrobić tylko raz, z jednego z wybranych kont. OTL z każdego konta z osobna (z wyłączeniem Administratora, którego widok już znam).

 

nie wiem jak konto aaa wygląda, bo go nie używamy ale ST jest i na moim koncie i na koncie syna - u niego się wszystko zaczęło

 

Jeśli na ekranie logowania Trybu normalnego widzisz tylko dwa konta (Eliza i Julek) do których są dwa pasujące foldery na dysku, to możliwe, że to "aaa" to jakiś odpadek po wcześniejszych manipulacjach z kontami.

 

 

.