Live Security Platinum

[Zenit]

Na moim komputerze pojawił się LSP .Wyczytałem na forum, że potrzebuje strypt z OLT zrobiłem skrypt i zwracam się z pomocą do Was

Skrypty:

OLT- http://wklej.org/id/791261/

Extras- http://wklej.org/id/791265/

Chciałbym dodać też , że posiadam win7 32 bit. Proszę o pomoc z gury dziękuje ! *góry

[picasso]

Wyczytałem na forum, że potrzebuje strypt z OLT zrobiłem skrypt

 

? Chyba mylisz raporty ze skryptami ...

 

Są tu dwa konta. Logi zrobione z Admin, ale w procesach widać infekcję startującą również z konta Asia i Malwina. Należy sprawdzić rejestry obu kont. Przechodząc do usuwania:

 

1. z poziomu konta Admin uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1901636384-2216707080-1047217677-1000..\Run: [Microsoft Windows System] C:\Users\Admin\P-7-78-8964-9648-3874\windll.exe ()
O4 - HKU\S-1-5-21-1901636384-2216707080-1047217677-1000..\Run: [Windows Login access] C:\Users\Admin\AppData\Roaming\web2net.exe ()
O4 - HKU\S-1-5-21-1901636384-2216707080-1047217677-1002..\Run: [Microsoft Windows System] C:\Users\Asia i Malwina\P-7-78-8964-9648-3874\windll.exe ()
O4 - HKU\S-1-5-21-1901636384-2216707080-1047217677-1000..\RunOnce: [67B889CB0045EF4914FCE4E94F147C45] C:\ProgramData\67B889CB0045EF4914FCE4E94F147C45\67B889CB0045EF4914FCE4E94F147C45.exe ()
 
:Files
C:\ProgramData\67B889CB0045EF4914FCE4E94F147C45
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
C:\Users\Admin\Desktop\Live Security Platinum.lnk
C:\Users\Admin\P-7-78-8964-9648-3874
C:\Users\Asia i Malwina\P-7-78-8964-9648-3874
 
:Reg
[-HKEY_USERS\S-1-5-21-1901636384-2216707080-1047217677-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[-HKEY_USERS\S-1-5-21-1901636384-2216707080-1047217677-1000\Software\Microsoft\Internet Explorer\Search]
[HKEY_USERS\S-1-5-21-1901636384-2216707080-1047217677-1000\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-1901636384-2216707080-1047217677-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-21-1901636384-2216707080-1047217677-1000\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}]
[HKEY_USERS\S-1-5-21-1901636384-2216707080-1047217677-1002\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. Loguj się na konto Asia i Malwina.

 

2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[Zenit]

No i tu pojawia się problem po restarcie infekcja przenisła się na konto Asia i Malwina zaś na Adminie wszystko jak gdyby nigdy nic ok wyskoczył mi nawet log

[picasso]

Jak mówiłam: infekcja z pewnością na tym koncie była, a nie "przeniosła się" teraz i wymagany log z poziomu konta Asia i Malwina. Wejdź w Tryb awaryjny i loguj się na to konto w celu zrobienia logów.

[Zenit]

Coś zrobiłem .Mam log z konta asia i malwina : edytowane

Edytowane 17 Lipca 2012 przez picasso
Błędny log usuwam. //picasso

[picasso]

Zenit, ale co Ty robisz! Wykonujesz skrypt! Nie, ten skrypt jest kompletnie nieaktualny dla drugiego konta, konta mają różne rejestry i foldery. Poza tym skrypty są jednorazowe. Ja prosiłam o logi z konta Asia i Malwina z opcji Skanuj.

 

 

 

.

[Zenit]

Sorry, pogubiłem się już ale teraz powinno być O.K.

oto log z OTL: http://wklej.org/id/791631/

[picasso]

Zenit, ale to jest skanowanie zrobione z poziomu konta Admin:

 

Computer Name: ADMIN-PC | User Name: Admin | Logged in as Administrator.

 

Ty masz się zalogować na konto o nazwie Asia i Malwina i będąc zalogowanym na tym koncie zrobić skanowanie w OTL. Po drugie, pojawiła się jakaś nowa rzecz, czyli moduł pracujący z lokalizacji tymczasowej (on może sugerować infekcję w wykonywalnych):

 

========== Modules (No Company Name) ==========
 
MOD - [2012-07-16 14:58:54 | 000,176,128 | ---- | M] () -- C:\Users\Admin\AppData\Local\Temp\dga3C25.tmp

 

W związku z tym, że nie rozumiemy się, mogę na razie zrobić wstępne usuwanie tylko z poziomu konta Admin, bo nadal brak danych z Asia i Malwina. A wstępne, bo jest tu podejrzenie znacznie gorszej infekcji w wykonywalnych.

 

 

1. Z poziomu konta Admin uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [Microsoft Windows System] C:\Users\Admin\P-7-78-8964-9648-3874\windll.exe File not found
O4 - HKCU..\Run: [Windows Login access] C:\Users\Admin\AppData\Roaming\web2net.exe ()
 
:Files
C:\ProgramData\67B889CB31AD4C2014FCE4E94F147C45
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Podczas restartu loguj się na konto Asia i Malwina.

 

2. Zrób nowy log OTL z opcji Skanuj (przypominam: z poziomu konta Asia i Malwina). Dołącz log z usuwania OTL z punktu 1. Odpowiedz na pytanie czy Linkury SmartBar był instalowany celowo.

 

 

.

 

[Zenit]

log był robiony z konta asia i malwina , napewno ;D jeszcze mialem problem z wlaczeniem trybu awaryjnego . ale ok zrobie tak jak teraz sugerujesz

[picasso]

Nagłówki loga nie kłamią. Jest wyraźnie pokazane, które konto było zalogowane:

 

Computer Name: ADMIN-PC | User Name: Admin | Logged in as Administrator.

 

Konto Admin a nie Asia i Malwina. Na dysku dwa foldery kont, czyli wykluczony także scenariusz, że konto ma nazwę wyświetlaną "Admin" a kieruje na katalog C:\Users\Asia i Malwina.

 

 

 

.

[Zenit]

Kk wykonalem ten skrypt , pio restarcie zalogowalem sie na konto asia i malwina po wlaczeniu otl dostalem log: http://wklej.org/id/792201/

zaś po skanie z konta asia i malwina dostalem : http://wklej.org/id/792210/

programu linkury nie instalowalem , ale obil mi sie pare razy o uszy

[picasso]

Nie wiem o co chodzi, ale tu niezmiennie stoi, że logowano z poziomu konta o nazwie Admin:

 

Computer Name: ADMIN-PC | User Name: Admin | Logged in as Administrator.

 

Jedynym wyjaśnieniem byłoby gdyby konto "Asia i Malwina" miało nazwę wyświetlaną "Admin". Ale w logu widać dwa katalogi kont i uruchamianie procesów z obu, co sugeruje że są tu jednak dwa konta:

 

========== Processes (SafeList) ==========
 
PRC - [2012-07-15 22:50:48 | 000,774,106 | ---- | M] (OldTimer Tools) -- C:\Users\Asia i Malwina\Desktop\OTL.exe
 
========== Modules (No Company Name) ==========
 
MOD - [2012-07-17 14:20:09 | 000,176,128 | ---- | M] () -- C:\Users\Admin\AppData\Local\Temp\xia53E9.tmp

 

 

programu linkury nie instalowalem , ale obil mi sie pare razy o uszy

 

Odinstaluj i bierz się szybko za kolejne akcje, bo w procesach jest cały czas ten podejrzany moduł z Temp, który sugeruje znacznie gorszą infekcję w plikach wykonywalnych.

 

 

1. Przez SHIFT+DEL skasuj katalog kwarantanny C:\_OTL.

 

2. Wykonaj skasowanie w Kaspersky Virus Removal Tool. Przedstaw wyniki typu "Detected", o ile coś zostanie znalezione.

 

 

.

[Zenit]

oka , katalog usunolem i ciągnę ten kaspersky z jakiejś oficjalnej strony jest to wersja 11 ale przy moim transferze potrwa to 1 h . powoli się zastanawiam czy poprostu nie z robić formatu obu partycji bo zazwyczaj robie tylko format partycji systemowej ale nie uśmiecha mi sie to bo stracil bym jakieś 20 G muzyki i zdjęć

[picasso]

powoli się zastanawiam czy poprostu nie z robić formatu obu partycji bo zazwyczaj robie tylko format partycji systemowej ale nie uśmiecha mi sie to bo stracil bym jakieś 20 G muzyki i zdjęć

 

Przy podejrzeniu infekcji w wykonywalnych (co tu nie jest jeszcze zdiagnozowane dokładnie) jest wymagany format wszystkich partycji, gdziekolwiek leżą pliki wykonywalne. Wirus pomija takie "bariery" jak podział na partycje. Fotki i muzykę można zachować na alternatywnych nośnikach, ale w żadnym wypadku pliki wykonywalne. Z tak zaprawionego dysku nie wolno stworzyć kopii zapasowej wykonywalnych, bo po formacie wirus zostanie ponownie zaszczepiony.

 

Nie uprzedzam faktów. Skan nie zrobiony. Nie wiadomo co tu jest i w jak szerokiem zakresie. Tylko jeszcze wspomnę, iż Kaspersky musi mieć w konfigu zaznaczone skanowanie obu partycji.

 

 

 

.

[Zenit]

włączyłem skanowanie w kasperskim bez zaznaczenia tych partycji znalazlo mi 2 błędy zapicalem detected , wyskakiwalo mi okienko z alarmem zawsze wybierałem opcje rekomendowana przez producenta nagle ekran zrobil się czrny pojawil sie bląd po wcisnieciu ok komputer zresetowal sie ale zapisu z detected juz nie bylo robie teraz skan z zaznaczonymi obiema partycjami ,zobaczymy co z tego wyjdzie

[Zenit]

tak czy inaczej robie format pozostaje skompletowanie plytek i przezucenie muzyki na zwykly dysk ktory jest czysty i nie uzywany od jakiegos czasu. chcialbym bardzo serdecznie podziekowac za pomoc i trud wlozony wytlumaczenie mi pewnych kwestii . Pozdrawiam