Live Security Platinum

[pawel0401]

Witam serdecznie , zainstalowało mi się to złośliwe oprogramowanie LIVE SECURITY PLATINUM (wirus).

Proszę o pomoc

OTL : OTL.Txt

EXTRAS : Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKCU..\Run: [Microsoft Windows System] D:\Documents and Settings\Stasiak\P-7-78-8964-9648-3874\windll.exe File not found
O4 - HKCU..\Run: [qmtofiw] D:\Documents and Settings\Stasiak\Ustawienia lokalne\Dane aplikacji\paggnq.exe File not found
O4 - HKCU..\RunOnce: [529C50AB000DDEC868DBB8F90CDF108C] D:\Documents and Settings\All Users\Dane aplikacji\529C50AB000DDEC868DBB8F90CDF108C\529C50AB000DDEC868DBB8F90CDF108C.exe ()
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}"
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\s24trans.sys -- (s24trans)
DRV - File not found [Kernel | Disabled | Running] -- system32\drivers\pctDS.sys -- (pctDS)
DRV - File not found [Kernel | Disabled | Running] -- system32\drivers\PCTCore.sys -- (PCTCore)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\SERWIS\Narzędzia\EverestUltimatePortable\App\EverestUltimate\kerneld.wnt -- (EverestDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btkrnl.sys -- (BTKRNL)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio)
 
:Files
D:\Documents and Settings\All Users\Dane aplikacji\529C50AB000DDEC868DBB8F90CDF108C
D:\Documents and Settings\Stasiak\P-7-78-8964-9648-3874
D:\Documents and Settings\Stasiak\Dane aplikacji\searchresultstb
netsh firewall reset /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[pawel0401]

Log z usuwania Raport.txt

Nowy log OTL OTL.Txt

[picasso]

1. Mini poprawka m.in. na katalogi odinstalowanego PC Tools. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}"
O8 - Extra context menu item: Search the Web - D:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
[2012-07-13 03:02:19 | 000,000,000 | ---D | C] -- D:\Documents and Settings\Stasiak\Ustawienia lokalne\Dane aplikacji\Threat Expert
[2012-07-13 01:50:19 | 000,000,000 | ---D | C] -- D:\Program Files\PC Tools
[2012-07-12 22:56:22 | 000,203,088 | ---- | C] (PC Tools) -- D:\WINDOWS\System32\drivers\PCTSD.sys
[2012-07-12 22:56:22 | 000,000,000 | ---D | C] -- D:\Program Files\Common Files\PC Tools
[2012-07-12 22:44:07 | 000,000,000 | ---D | C] -- D:\Documents and Settings\All Users\Dane aplikacji\PC Tools
[2011-02-26 22:38:06 | 000,000,008 | RHS- | C] () -- D:\WINDOWS\System32\Desktop_.ini

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Logów już sprawdzać nie muszę.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku kwarantannę z trojanem oraz program OTL. Funkcja wymaga restartu.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

.

[pawel0401]

Log z Malwarebytes mbam-log-2012-07-14 (20-53-45).txt

[picasso]

1. Wyniki do usunięcia (malware), z wyjątkiem tych trzech:

 

Wykryte wpisy rejestru systemowego: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.

 

To jest tylko detekcja, że powiadomienia Centrum zabezpieczeń są wyłączone. MBAM nie potrafi określić pochodzenia tej modyfikacji i ją pokaże nawet na systemie, w którym użytkownik samodzielnie to tak skonfigurował.

 

2. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych czym należy się zająć:

 

Internet Explorer (Version = 6.0.2900.5512)
 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 33

 

3. Brak tu jakiegokolwiek antywirusa. Z darmowych dobierz sobie coś: Avast, AVG, COMODO, Panda Cloud Antivirus, Microsoft Security Essentials.

 

 

 

PS. Gadu-Gadu 10 = to ciężki program konsumujący dużo zasobów systemowych. Sugeruję oglądnięcie alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy są zlokalizowane w artykule Darmowe komunikatory.

 

 

.