» »

Kako odstraniti JETSWAP - safesurf.exe, safeguard.exe, jet.exe in up.exe

Kako odstraniti JETSWAP - safesurf.exe, safeguard.exe, jet.exe in up.exe

tomaz321 ::

Mam problem - ne vem kako se je znašlo tole na mojem PC-ju ampak večji problem je ta, da ne vem, kako to dol spraviti:

1. v task managerju če zaprem task (safesurf.exe ali pa safeguard.exe) se avtomatsko sam nazaj prižgeta, zato sem
2. šel v safe mode, izbrisal vse te zgoraj naštete zadeve, ki se BTW nahajajo v C:/windows/system32/drivers/ (tuki so safesurf.exe, safeguard.exe in up.exe), v podmapi /f pa je še preostala svinjarija od jet.exe.......
3. šel v register in pobrisal vse kar sem našel v zvezi z zgoraj omenjenimi zadevami
4. zbrisal in uničil vso zgodovino, cache.....od browserjev
5. restartal računalnik in vse zadeve se zopet pojavijo (v taskmanagerju)

Ali kdo ve kako oz. s čim se lahko te nesnage znebim??

popster ::

če te prav razumem gre za nek spyware

Najboljše da daš v drugi računalnik in tam skeniraš disk.
Sicer pa lakho probaš tudi z puppy linuxom zagnat pc, je uredu in ima fprot

tomaz321 ::

Problem je v tem, da noben anti-spyware mi ne zna tega hudiča odstranit (poskusil sem že skenirati kot zunanji disk, pa zadeva ni delovala). Nekaj jih zazna, vendar očitno ne v celoti. Gre za nek cluster programckov, ki se med seboj preverjajo in takoj, ko nek manjka (ga zbrišem), se avtomatično spet pojavi nazaj. Do sedaj mi je samemu uspelo ugotoviti, da gre tukaj za tele zadeve:
safesurf.exe, safeguard.exe, up.exe, ki so v c:\windows\system32\drivers in celoten podfolder f, kjer je notri še jet.exe........
Tudi če vse te zadeve zbrišem in tudi vse sledi za njimi (v registru), se ponovno pojavijo, tako da mora biti v ozdaju še nekaj, česar še nisem našel.

amigo_no1 ::

System restore disablaj.


Poglej še v %userprofile% mape.

part 3
http://www.thestubware.com/def/201008/s...

Uporabi še Autoruns (da vidiš kaj vse se zažene)
http://technet.microsoft.com/en-us/sysi...

Process Explorer
http://technet.microsoft.com/en-us/sysi...

Zgodovina sprememb…

tomaz321 ::

A je še kakšen predlog:

1. system restore imam izklopljen
2. potem grem v safe mode - brez network supporta in s process explorerjem prečekiram, da noben sumljiv task ne laufa
3. zbrišem vse fajle, ki sem jih že prej omenil & vse fajle na compu, ki so datumsko nastali oz. se modificirali tisti dan oz. kasneje kot zgoraj omenjeni fajli (including skrite)
4. prečistim register vseh zgoraj omenjenih fajlov
5. zbrišem vso zgodovino, cockie, offline file,... vseh browserjev
6. pošredam vse zbrisano
7. za vsak slučaj še preverim z autoruns, da se mi ni kaj zmuznilo pri brisanju registra
8. poženem nekaj AV in antispyware programov in noben nič ne najde
9. restartam comp and guess what - Ta pof!$!$$%**kan safesurf.exe in surfguard.exe sta spet med taski, ki laufajo in v folderju, kjer sem jih prej zbrisal !!!!!!!!!!!!! Znoru bom

jan01 ::

Poskeniraj (vsemi!)
-cureit http://www.freedrweb.com/cureit/
-avptool http://devbuilds.kaspersky-labs.com/dev...
-malwarebytes antimalware

Cold1 ::

Tomaž, koliko ur si že porabil za reševanje tega problema?

Kot sem zapisal v neki sosednji temi, po okužbi je tudi ob "uspešnem" čiščenju nemogoče zagotoviti, da je OS "čist" oz. zares brez kakšnega rootkita.

Bodi vesel, da te je napadel amaterski izdelek, ki si ga lahko zaznal, ter se loti reinstalacije sistema.

Disk priklopi na nek čist sistem ter skopiraj podatke in morda tiste nastavitve za katere si prepričan, da niso kompromitirane.
Nato disk priklopi nazaj v računalnik, formatiraj (quick format) in namesti okna (30min) in programe (nekaj ur).

To bo najlažja in najzaneslivejša rešitev.

amigo_no1 ::

Preveri tudi če niso ti fajli tudi v mapi:
%windir%\system32\dllcache\

V %userprofile% mapi je bilo kaj ?
Ponovi korake od 1-9 in ponovno bootaj v safe mode.

Nekaj si pozabil& delaš narobe.

Normalen boot v winse.
Najdi program "hijackthis" ) , run ( http://free.antivirus.com/hijackthis/ ) in uploadaj seznam, ki ga dobiš na http://hijackthis.de/ .

Za iskanje fajlov po disku ne uporabljal win. explorerja ampak Total Commander ali kaj podobnega.

http://www.experts-exchange.com/Virus_a...

http://www.experts-exchange.com/Virus_a...
zadnji 3 posti:

torej malware si naredi svoj up. račun

preveri če imaš slučajno mapo "C:/ called H1dden. "

Preveri tudi če se safesurf.exe & co se zaganja kot servis (start/run/ services.msc)

lahko da si ga dobil preko Remote desktopa.


Poglej si še zadnji post od tukaj, je navedenih par novih fajlov:
http://forums.spybot.info/showthread.ph...

http://forums.spybot.info/showthread.ph...
Collect::
d:\windows\system32\drivers\up.exe
d:\windows\system32\drivers\safesurf.exe
d:\windows\system32\drivers\surfguard.exe
d:\windows\system32\drivers\skybound.gecko.dll
DDS::
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
mRun: [jsafesurf] d:\windows\system32\drivers\safesurf.exe
Folder::
d:\windows\system32\drivers\f
DirLook::
d:\documents and settings\casey kline\oni
d:\windows\system32\weber
FileLook::
d:\windows\system32\Help64.exe
d:\windows\system32\ICH.exe



ter še za C:\Downloads\dds.scr

C:\windows\d3dx.dat

in še
2010-08-23 03:14:02 156672 ----a-w- d:\windows\system32\rmc_fixasf.exe
2010-08-23 03:13:57 237568 ----a-w- d:\windows\system32\rmc_rtspdl.dll
2010-07-17 09:00:04 423656 ----a-w- d:\windows\system32\deployJava1.dll
2010-07-16 04:38:54 392704 ----a-w- d:\windows\system32\ICH.exe
2010-07-15 14:10:20 17896 ----a-w- d:\windows\fonts\paola.ttf
2010-06-30 12:31:35 149504 ----a-w- d:\windows\system32\schannel.dll
2010-06-25 13:14:52 151552 ----a-w- d:\windows\system32\nvRegDev.dll
2010-06-24 12:22:03 916480 ----a-w- d:\windows\system32\wininet.dll
2010-06-23 13:44:04 1851904 ----a-w- d:\windows\system32\win32k.sys
2010-06-21 02:08:43 21640 ----a-w- d:\windows\system32\emptyregdb.dat
2010-06-17 14:03:00 80384 ----a-w- d:\windows\system32\iccvid.dll
2010-06-14 07:41:45 1172480 ----a-w- d:\windows\system32\msxml3.dll


Kakor vidim se JETSWAP skrije tudi sem:

\documents and settings\All Users\Application Data\Caelum
\documents and settings\All Users\Application Data\Caelum\hs.cpf
\documents and settings\All Users\Application Data\Caelum\save.cpf
\windows\system32\ico.ico
\windows\system32\system
\windows\system32\SYSTEM\svchost.exe
\windows\usgwmt
\windows\usgwmt\BReWErS.dll

Zgodovina sprememb…

poweroff ::

Kaj pa če se je zadeva pretihotapila v LoJack extension? Pol tudi reinstall ne pomaga...
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Undo za ComboFix

Oddelek: Pomoč in nasveti
181754 (1519) MrStein
»

analiza hijack this

Oddelek: Pomoč in nasveti
171941 (1721) klaudija
»

Problem z odpiranjem strani

Oddelek: Pomoč in nasveti
102571 (2393) SkIDiver
»

Optimizacija Win XP

Oddelek: Operacijski sistemi
73002 (2741) jan01
»

Virus

Oddelek: Pomoč in nasveti
71622 (1547) koyotee

Več podobnih tem