Problem z usługą Centrum zabezpieczeń oraz goingonearth malware

[dolarpoland]

Witam.

 

Mój problem polega na tym, iż wiem że mam malware 'goingonearth' i nie wiem jak się go pozbyć i druga sprawa jest taka, że usług Centrum zabezpieczeń systemu Windows mi przestało działać. Nie chce robić reinstalacji systemu wolałbym problem rozwiązać bez tego typu operacji. Mam system Windows 7 Ultimate x64 Z Sp1.

Bardzo proszę o pomoc.

[picasso]

Czy przeczytałeś zasady działu (KLIK)? Bez logów nikt Ci nie jest w stanie pomóc. Proszę wygenerować raporty z OTL.

[dolarpoland]

Witam.

 

Zasady przeczytałem. Dołączam raporty z OTL.

 

Pozdrawiam.

Extras.Txt

OTL.Txt

[picasso]

Wstępne pytanie - co zrobiłeś w TDSSKiller, bo widzę ten folder:

 

[2011-07-25 00:09:08 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine

 

Prócz infekcji są tu także śmieci w postaci szczątków po adware Faceemoods / DAEMON Tools Toolbar / MyHeritage.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4"
FF - prefs.js..browser.search.defaultenginename: "Facemoods Search"
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024
FF - prefs.js..keyword.URL: "http://search.myheritage.com/?orig=ds&q="
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-3765280337-2808576157-2400975476-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKU\S-1-5-21-3765280337-2808576157-2400975476-1001..\Run: []  File not found
[2011-07-14 20:47:55 | 000,064,000 | RHS- | C] () -- C:\Windows\SysWow64\cmluar.dll
[2011-07-14 20:47:55 | 000,000,298 | -HS- | C] () -- C:\Windows\tasks\cnzrcecpo.job
[2011-06-03 13:56:58 | 000,002,071 | ---- | M] () -- C:\Users\Darek\AppData\Roaming\Mozilla\Firefox\Profiles\o1y38s6m.default\searchplugins\absearch-search.xml
[2011-02-06 02:03:16 | 000,002,059 | ---- | M] () -- C:\Users\Darek\AppData\Roaming\Mozilla\Firefox\Profiles\o1y38s6m.default\searchplugins\daemon-search.xml
[2011-06-09 21:00:36 | 000,002,048 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i po restarcie powinien się zgłosić automatycznie log z wynikami usuwania. Jeśli nie, szukaj go w katalogu C:\_OTL.

 

2. Zaktywuj wyłączone przez infekcję funkcje:

 

• Centrum zabezpieczeń: Start > w polu szukania wklep services.msc > na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem.
  
• Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików".
  

3. Wygeneruj nowe logi: log z OTL opcją Skanuj (przy czym nie potrzebuję już tak rozbudowanych treści i możesz zaznaczyć opcję Pomiń pliki Microsoftu) + log trybu skanu z AD-Remover. Dołącz także log z wynikami usuwania wygenerowany w punkcie 1.

 

 

 

 

.

[dolarpoland]

TDSSkiller usuwałem jakiegoś Rootkita ale nie pamiętam jakiego.

 

1. Wkleiłem log komputer się zrestartował załączam loga z OTL "OTLl.txt".

2. Aktywowałem wypisane funkcje bez problemów.

3. Załączam pozostałe logi - log.txt bo nie mogłem wgrać pliku który wygenerował się automatycznie oraz Ad-report-scan[1].

OTL.Txt

log.txt

Ad-Report-SCAN1.txt

[picasso]

Tu zadanie wykonane. Jeszcze uruchom AD-Remover w trybie usuwania, by skasował te dwa kluczyki, które znalazł. A zanim zadam kroki końcowe:

 

 

TDSSkiller usuwałem jakiegoś Rootkita ale nie pamiętam jakiego.

 

I to mnie właśnie mocno niepokoi. Skoro jest folder kwarantanny tego narzędzia, proszę zaprezentować co jest w tym folderze + szukać też loga z TDSSKiller na dysku C:\.

 

 

 

.

[dolarpoland]

Dziękuje bardzo za bezinteresowną pomoc. Wielki szacunek dla Ciebie.

Załączam log z tdskiller.

Przepraszam że tak późno ale musiałem wyjść z domu. System działa o niebo szybciej :-)

TDSSKiller.2.5.11.0_25.07.2011_00.08.43_log.txt

[picasso]

Mam wyczucie . Zgodnie z moimi podejrzeniami to nie był wcale rootkit i tego nie wolno w taki sposób usuwać:

 

2011/07/25 00:09:00.0397 3488	Detected object count: 1
2011/07/25 00:09:00.0397 3488	Actual detected object count: 1
2011/07/25 00:09:08.0634 3488	sptd            (4b3f898dc1378ced2f35d04e5b0ce0df) C:\Windows\System32\Drivers\sptd.sys
2011/07/25 00:09:08.0634 3488	Suspicious file (NoAccess): C:\Windows\System32\Drivers\sptd.sys. md5: 4b3f898dc1378ced2f35d04e5b0ce0df
2011/07/25 00:09:08.0650 3488	C:\Windows\System32\Drivers\sptd.sys - copied to quarantine
2011/07/25 00:09:08.0650 3488	LockedFile.Multi.Generic(sptd) - User select action: Quarantine 

To jest sterownik wprowadzany przez oprogramowanie tworzące wirtualne napędy (Alcohol / DAEMON Tools), mocny sterownik działający niskopoziomową techniką, dlatego doń nie ma dostępu (co Kaspersky notuje jako "podejrzane"). Cytuję z opisu TDSSKiller na naszym forum:

 

Uwaga: przed podjęciem jakichkolwiek kroków na własną rękę najlepiej się skonsultować, ponieważ wyniki niekoniecznie mogą być rzeczywistym zagrożeniem i mieć kwalifikację do usuwania. Przykładowo, podstawowym obiektem wchodzącym w paradę jest sterownik emulacji napędów wirtualnych SPTD i Kaspersky będzie punktował ten obiekt jako "podejrzany", plik określi jako zablokowany, ale ustawi mu domyślną akcję na Skip. Przypominam ponownie główne ogłoszenie działu: Oprogramowanie emulujące napędy.

 

 

I tak Kaspersky nie dał temu rady, bo w Twoim ostatnim OTL sterownik hula aż miło:

 

DRV:64bit: - [2011-06-07 21:36:38 | 000,513,080 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd)

 

 

---

Finalizując sprawę rzeczywistych infekcji i porządków po usuwaniu:

 

1. Odinstaluj AD-Remover.

 

2. W OTL uruchom Sprzątanie, co usunie kwarantannę OTL z trojanami oraz OTL / TDSSKiller z dysku.

 

3. Wykonaj aktualizacje / przetasowania zainstalowanych aplikacji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Ad-Aware" = Ad-Aware
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)
"Mozilla Thunderbird (3.1.11)" = Mozilla Thunderbird (3.1.11)
"Nowe Gadu-Gadu" = Nowe Gadu-Gadu

- Nie przemęczaj systemu: Ad-aware do deinstalacji. To za dużo w zetknięciu z Norton Internet Security.

- Pozostałe aplikacje do aktualizacji: INSTRUKCJE.

- Proponuję też wymianę NGG programem alternatywnym z obsługą Gadu. W temacie Darmowe komunikatory są opisane alternatywy: AQQ, Kadu, WTW, Miranda. Polecam WTW - program znacznie lepiej dopasowany do systemu 64-bit niż oryginał (natywna wersja) plus dobra obsługa Gadu.

 

 

 

 

.

[dolarpoland]

Bardzo serdecznie dziękuje.

Temat uważam za zamknięty.