Live Security Platinum-jak sobie z nim poradzić ?

[krisorzel]

Witam i pozdrawiam. Mam problem u kolegi z Live Security Platinum. W czasie grania w sieci pojawił się mu nagle ten program zaczął skanować i wynajdywać rootkity,malware i inne wirusy.Włącza się razem z systemem i nie można go usunąć ani zmienić ustawień. Nie można też otworzyć menadżera urządzeń , apletu dodaj usuń programy i wielu aplikacji oraz brak dostępu do sieci. Załączam raporty z OTL:

Extras.Txt

OTL.Txt

[picasso]

Logi z OTL zrobione z poziomu złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika:

 

Computer Name: XXXXXXX-23B8A50 | User Name: Administrator | Logged in as Administrator.

 

To ma ogromne znaczenie dla raportów, gdyż konta mają różne rejestry i katalogi... Zaloguj się na właściwe konto, zrób nowe logi, podmień załączniki w pierwszym poście i zawiadom na PW o edycji.

 

 

EDIT:

 

Logi podstawione. Przechodzimy do czyszczenia.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe File not found
O4 - HKCU..\RunOnce: [6F63A5884B7C69B15C18DEC281CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\6F63A5884B7C69B15C18DEC281CB3EF3\6F63A5884B7C69B15C18DEC281CB3EF3.exe ()
O9 - Extra Button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O9 - Extra 'Tools' menuitem : Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
SRV - File not found [Auto | Stopped] -- D:\Program Files\LogMeIn Hamachi\hamachi-2.exe -- (Hamachi2Svc)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\PIOTRM~1.000\USTAWI~1\Temp\aaudstum.sys -- (aaudstum)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\piotrmati\Moje dokumenty\Pobieranie\WinFlash.sys -- (WINFLASH)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Programy\Everest Ultimate Edition 2007 4.20.1197 PL\kerneld.wnt -- (EverestDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | Auto | Stopped] -- D:\Program Files\CyberLink\PowerDVD\000.fcl -- ({95808DC4-FA4A-4c74-92FE-5B863F82066B})
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\6F63A5884B7C69B15C18DEC281CB3EF3
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\piotrmati.XXXXXXX-23B8A50\Dane aplikacji\Babylon
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Przeprowadź deinstalacje adware i zbędników:

- Przez Panel sterowania odinstaluj: adware Conduit Engine, I Want This, SweetIM Toolbar for Internet Explorer 4.2, SweetIM for Messenger 3.6, YouTube Downloader Toolbar v6.0 oraz przestarzały program Spybot - Search & Destroy.

- Otwórz Google Chrome, wejdź do Opcji i powtórz w Rozszerzeniach deinstalację I Want This.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

.

[krisorzel]

proszę oto logi.Dzięki bardzo za pomoc

AdwCleanerS1.txt

07272012_111632.txt

OTL.Txt

[picasso]

1. Poprawka na odpadki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\.DEFAULT\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
[2012-07-11 10:17:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\piotrmati.XXXXXXX-23B8A50\Ustawienia lokalne\Dane aplikacji\Babylon
[2012-07-19 18:04:42 | 000,032,768 | ---- | M] () -- C:\Documents and Settings\piotrmati.XXXXXXX-23B8A50\Pulpit\SweetImSetup.exe
[2011-08-29 08:58:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\piotrmati\Dane aplikacji\PriceGong
[2011-09-19 14:19:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\piotrmati\Dane aplikacji\Search Settings
[2011-12-10 19:07:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\piotrmati.XXXXXXX-23B8A50.000\Dane aplikacji\Babylon
[2012-04-07 21:35:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\piotrmati.XXXXXXX-23B8A50.000\Dane aplikacji\Search Settings
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java™ 6 Update 30
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl)

 

 

PS. I poczytaj o lżejszych alternatywach dla Gadu-Gadu 10. W temacie Darmowe komunikatory opisy WTW, Kadu, Miranda, AQQ.

 

 

.