Forum » Informacijska varnost » Kako odstraniti JETSWAP - safesurf.exe, safeguard.exe, jet.exe in up.exe
Kako odstraniti JETSWAP - safesurf.exe, safeguard.exe, jet.exe in up.exe
tomaz321 ::
Mam problem - ne vem kako se je znašlo tole na mojem PC-ju ampak večji problem je ta, da ne vem, kako to dol spraviti:
1. v task managerju če zaprem task (safesurf.exe ali pa safeguard.exe) se avtomatsko sam nazaj prižgeta, zato sem
2. šel v safe mode, izbrisal vse te zgoraj naštete zadeve, ki se BTW nahajajo v C:/windows/system32/drivers/ (tuki so safesurf.exe, safeguard.exe in up.exe), v podmapi /f pa je še preostala svinjarija od jet.exe.......
3. šel v register in pobrisal vse kar sem našel v zvezi z zgoraj omenjenimi zadevami
4. zbrisal in uničil vso zgodovino, cache.....od browserjev
5. restartal računalnik in vse zadeve se zopet pojavijo (v taskmanagerju)
Ali kdo ve kako oz. s čim se lahko te nesnage znebim??
1. v task managerju če zaprem task (safesurf.exe ali pa safeguard.exe) se avtomatsko sam nazaj prižgeta, zato sem
2. šel v safe mode, izbrisal vse te zgoraj naštete zadeve, ki se BTW nahajajo v C:/windows/system32/drivers/ (tuki so safesurf.exe, safeguard.exe in up.exe), v podmapi /f pa je še preostala svinjarija od jet.exe.......
3. šel v register in pobrisal vse kar sem našel v zvezi z zgoraj omenjenimi zadevami
4. zbrisal in uničil vso zgodovino, cache.....od browserjev
5. restartal računalnik in vse zadeve se zopet pojavijo (v taskmanagerju)
Ali kdo ve kako oz. s čim se lahko te nesnage znebim??
popster ::
če te prav razumem gre za nek spyware
Najboljše da daš v drugi računalnik in tam skeniraš disk.
Sicer pa lakho probaš tudi z puppy linuxom zagnat pc, je uredu in ima fprot
Najboljše da daš v drugi računalnik in tam skeniraš disk.
Sicer pa lakho probaš tudi z puppy linuxom zagnat pc, je uredu in ima fprot
tomaz321 ::
Problem je v tem, da noben anti-spyware mi ne zna tega hudiča odstranit (poskusil sem že skenirati kot zunanji disk, pa zadeva ni delovala). Nekaj jih zazna, vendar očitno ne v celoti. Gre za nek cluster programckov, ki se med seboj preverjajo in takoj, ko nek manjka (ga zbrišem), se avtomatično spet pojavi nazaj. Do sedaj mi je samemu uspelo ugotoviti, da gre tukaj za tele zadeve:
safesurf.exe, safeguard.exe, up.exe, ki so v c:\windows\system32\drivers in celoten podfolder f, kjer je notri še jet.exe........
Tudi če vse te zadeve zbrišem in tudi vse sledi za njimi (v registru), se ponovno pojavijo, tako da mora biti v ozdaju še nekaj, česar še nisem našel.
safesurf.exe, safeguard.exe, up.exe, ki so v c:\windows\system32\drivers in celoten podfolder f, kjer je notri še jet.exe........
Tudi če vse te zadeve zbrišem in tudi vse sledi za njimi (v registru), se ponovno pojavijo, tako da mora biti v ozdaju še nekaj, česar še nisem našel.
amigo_no1 ::
System restore disablaj.
Poglej še v %userprofile% mape.
part 3
http://www.thestubware.com/def/201008/s...
Uporabi še Autoruns (da vidiš kaj vse se zažene)
http://technet.microsoft.com/en-us/sysi...
Process Explorer
http://technet.microsoft.com/en-us/sysi...
Poglej še v %userprofile% mape.
part 3
http://www.thestubware.com/def/201008/s...
Uporabi še Autoruns (da vidiš kaj vse se zažene)
http://technet.microsoft.com/en-us/sysi...
Process Explorer
http://technet.microsoft.com/en-us/sysi...
Zgodovina sprememb…
- spremenilo: amigo_no1 ()
tomaz321 ::
A je še kakšen predlog:
1. system restore imam izklopljen
2. potem grem v safe mode - brez network supporta in s process explorerjem prečekiram, da noben sumljiv task ne laufa
3. zbrišem vse fajle, ki sem jih že prej omenil & vse fajle na compu, ki so datumsko nastali oz. se modificirali tisti dan oz. kasneje kot zgoraj omenjeni fajli (including skrite)
4. prečistim register vseh zgoraj omenjenih fajlov
5. zbrišem vso zgodovino, cockie, offline file,... vseh browserjev
6. pošredam vse zbrisano
7. za vsak slučaj še preverim z autoruns, da se mi ni kaj zmuznilo pri brisanju registra
8. poženem nekaj AV in antispyware programov in noben nič ne najde
9. restartam comp and guess what - Ta pof!$!$$%**kan safesurf.exe in surfguard.exe sta spet med taski, ki laufajo in v folderju, kjer sem jih prej zbrisal !!!!!!!!!!!!! Znoru bom
1. system restore imam izklopljen
2. potem grem v safe mode - brez network supporta in s process explorerjem prečekiram, da noben sumljiv task ne laufa
3. zbrišem vse fajle, ki sem jih že prej omenil & vse fajle na compu, ki so datumsko nastali oz. se modificirali tisti dan oz. kasneje kot zgoraj omenjeni fajli (including skrite)
4. prečistim register vseh zgoraj omenjenih fajlov
5. zbrišem vso zgodovino, cockie, offline file,... vseh browserjev
6. pošredam vse zbrisano
7. za vsak slučaj še preverim z autoruns, da se mi ni kaj zmuznilo pri brisanju registra
8. poženem nekaj AV in antispyware programov in noben nič ne najde
9. restartam comp and guess what - Ta pof!$!$$%**kan safesurf.exe in surfguard.exe sta spet med taski, ki laufajo in v folderju, kjer sem jih prej zbrisal !!!!!!!!!!!!! Znoru bom
jan01 ::
Poskeniraj (vsemi!)
-cureit http://www.freedrweb.com/cureit/
-avptool http://devbuilds.kaspersky-labs.com/dev...
-malwarebytes antimalware
-cureit http://www.freedrweb.com/cureit/
-avptool http://devbuilds.kaspersky-labs.com/dev...
-malwarebytes antimalware
Cold1 ::
Tomaž, koliko ur si že porabil za reševanje tega problema?
Kot sem zapisal v neki sosednji temi, po okužbi je tudi ob "uspešnem" čiščenju nemogoče zagotoviti, da je OS "čist" oz. zares brez kakšnega rootkita.
Bodi vesel, da te je napadel amaterski izdelek, ki si ga lahko zaznal, ter se loti reinstalacije sistema.
Disk priklopi na nek čist sistem ter skopiraj podatke in morda tiste nastavitve za katere si prepričan, da niso kompromitirane.
Nato disk priklopi nazaj v računalnik, formatiraj (quick format) in namesti okna (30min) in programe (nekaj ur).
To bo najlažja in najzaneslivejša rešitev.
Kot sem zapisal v neki sosednji temi, po okužbi je tudi ob "uspešnem" čiščenju nemogoče zagotoviti, da je OS "čist" oz. zares brez kakšnega rootkita.
Bodi vesel, da te je napadel amaterski izdelek, ki si ga lahko zaznal, ter se loti reinstalacije sistema.
Disk priklopi na nek čist sistem ter skopiraj podatke in morda tiste nastavitve za katere si prepričan, da niso kompromitirane.
Nato disk priklopi nazaj v računalnik, formatiraj (quick format) in namesti okna (30min) in programe (nekaj ur).
To bo najlažja in najzaneslivejša rešitev.
amigo_no1 ::
Preveri tudi če niso ti fajli tudi v mapi:
%windir%\system32\dllcache\
V %userprofile% mapi je bilo kaj ?
Ponovi korake od 1-9 in ponovno bootaj v safe mode.
Nekaj si pozabil& delaš narobe.
Normalen boot v winse.
Najdi program "hijackthis" ) , run ( http://free.antivirus.com/hijackthis/ ) in uploadaj seznam, ki ga dobiš na http://hijackthis.de/ .
Za iskanje fajlov po disku ne uporabljal win. explorerja ampak Total Commander ali kaj podobnega.
http://www.experts-exchange.com/Virus_a...
http://www.experts-exchange.com/Virus_a...
zadnji 3 posti:
torej malware si naredi svoj up. račun
preveri če imaš slučajno mapo "C:/ called H1dden. "
Preveri tudi če se safesurf.exe & co se zaganja kot servis (start/run/ services.msc)
lahko da si ga dobil preko Remote desktopa.
Poglej si še zadnji post od tukaj, je navedenih par novih fajlov:
http://forums.spybot.info/showthread.ph...
ter še za C:\Downloads\dds.scr
C:\windows\d3dx.dat
in še
2010-08-23 03:14:02 156672 ----a-w- d:\windows\system32\rmc_fixasf.exe
2010-08-23 03:13:57 237568 ----a-w- d:\windows\system32\rmc_rtspdl.dll
2010-07-17 09:00:04 423656 ----a-w- d:\windows\system32\deployJava1.dll
2010-07-16 04:38:54 392704 ----a-w- d:\windows\system32\ICH.exe
2010-07-15 14:10:20 17896 ----a-w- d:\windows\fonts\paola.ttf
2010-06-30 12:31:35 149504 ----a-w- d:\windows\system32\schannel.dll
2010-06-25 13:14:52 151552 ----a-w- d:\windows\system32\nvRegDev.dll
2010-06-24 12:22:03 916480 ----a-w- d:\windows\system32\wininet.dll
2010-06-23 13:44:04 1851904 ----a-w- d:\windows\system32\win32k.sys
2010-06-21 02:08:43 21640 ----a-w- d:\windows\system32\emptyregdb.dat
2010-06-17 14:03:00 80384 ----a-w- d:\windows\system32\iccvid.dll
2010-06-14 07:41:45 1172480 ----a-w- d:\windows\system32\msxml3.dll
Kakor vidim se JETSWAP skrije tudi sem:
\documents and settings\All Users\Application Data\Caelum
\documents and settings\All Users\Application Data\Caelum\hs.cpf
\documents and settings\All Users\Application Data\Caelum\save.cpf
\windows\system32\ico.ico
\windows\system32\system
\windows\system32\SYSTEM\svchost.exe
\windows\usgwmt
\windows\usgwmt\BReWErS.dll
%windir%\system32\dllcache\
V %userprofile% mapi je bilo kaj ?
Ponovi korake od 1-9 in ponovno bootaj v safe mode.
Nekaj si pozabil& delaš narobe.
Normalen boot v winse.
Najdi program "hijackthis" ) , run ( http://free.antivirus.com/hijackthis/ ) in uploadaj seznam, ki ga dobiš na http://hijackthis.de/ .
Za iskanje fajlov po disku ne uporabljal win. explorerja ampak Total Commander ali kaj podobnega.
http://www.experts-exchange.com/Virus_a...
http://www.experts-exchange.com/Virus_a...
zadnji 3 posti:
torej malware si naredi svoj up. račun
preveri če imaš slučajno mapo "C:/ called H1dden. "
Preveri tudi če se safesurf.exe & co se zaganja kot servis (start/run/ services.msc)
lahko da si ga dobil preko Remote desktopa.
Poglej si še zadnji post od tukaj, je navedenih par novih fajlov:
http://forums.spybot.info/showthread.ph...
http://forums.spybot.info/showthread.ph...
Collect::
d:\windows\system32\drivers\up.exe
d:\windows\system32\drivers\safesurf.exe
d:\windows\system32\drivers\surfguard.exe
d:\windows\system32\drivers\skybound.gecko.dll
DDS::
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
mRun: [jsafesurf] d:\windows\system32\drivers\safesurf.exe
Folder::
d:\windows\system32\drivers\f
DirLook::
d:\documents and settings\casey kline\oni
d:\windows\system32\weber
FileLook::
d:\windows\system32\Help64.exe
d:\windows\system32\ICH.exe
ter še za C:\Downloads\dds.scr
C:\windows\d3dx.dat
in še
2010-08-23 03:14:02 156672 ----a-w- d:\windows\system32\rmc_fixasf.exe
2010-08-23 03:13:57 237568 ----a-w- d:\windows\system32\rmc_rtspdl.dll
2010-07-17 09:00:04 423656 ----a-w- d:\windows\system32\deployJava1.dll
2010-07-16 04:38:54 392704 ----a-w- d:\windows\system32\ICH.exe
2010-07-15 14:10:20 17896 ----a-w- d:\windows\fonts\paola.ttf
2010-06-30 12:31:35 149504 ----a-w- d:\windows\system32\schannel.dll
2010-06-25 13:14:52 151552 ----a-w- d:\windows\system32\nvRegDev.dll
2010-06-24 12:22:03 916480 ----a-w- d:\windows\system32\wininet.dll
2010-06-23 13:44:04 1851904 ----a-w- d:\windows\system32\win32k.sys
2010-06-21 02:08:43 21640 ----a-w- d:\windows\system32\emptyregdb.dat
2010-06-17 14:03:00 80384 ----a-w- d:\windows\system32\iccvid.dll
2010-06-14 07:41:45 1172480 ----a-w- d:\windows\system32\msxml3.dll
Kakor vidim se JETSWAP skrije tudi sem:
\documents and settings\All Users\Application Data\Caelum
\documents and settings\All Users\Application Data\Caelum\hs.cpf
\documents and settings\All Users\Application Data\Caelum\save.cpf
\windows\system32\ico.ico
\windows\system32\system
\windows\system32\SYSTEM\svchost.exe
\windows\usgwmt
\windows\usgwmt\BReWErS.dll
Zgodovina sprememb…
- spremenilo: amigo_no1 ()
poweroff ::
Kaj pa če se je zadeva pretihotapila v LoJack extension? Pol tudi reinstall ne pomaga...
sudo poweroff
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Undo za ComboFixOddelek: Pomoč in nasveti | 1616 (1381) | MrStein |
| » | analiza hijack thisOddelek: Pomoč in nasveti | 1763 (1543) | klaudija |
| » | Problem z odpiranjem straniOddelek: Pomoč in nasveti | 2478 (2300) | SkIDiver |
| » | Optimizacija Win XPOddelek: Operacijski sistemi | 2921 (2660) | jan01 |
| » | VirusOddelek: Pomoč in nasveti | 1535 (1460) | koyotee |