Live Security Platinum - proszę o pomoc

[ula]

Witam. Bardzo proszę o wskazówki jak usunąć ten wirus. Z informacji na forum zrozumiałam, że do problemu trzeba podejść indywidualnie.

 

Extras: http://wklej.org/id/797791/

OTL: http://wklej.org/id/797792/

 

Będę wdzięczna za pomoc.

[picasso]

Live Security Platinum to nie jedyna infekcja, jest tu gorszy trojan ZeroAccess, który zresztą dewastuje sporo rzeczy w systemie (Zapora | Centrum zabezpieczeń | Windows Defender | Windows Update). Wymagany skan dodatkowy:

 

1. Uruchom SystemLook x64 i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy log.

 

2. Uruchom Farbar Service Scanner, zaznacz wszystko do skanu. Przedstaw wynikowy log.

 

 

 

.

[ula]

Bardzo dziękuję za dotychczasowe informacje. O istnieniu ZeroAccess nie miałam pojęcia, a skoro jest jeszcze gorszy od Live Security Platinum to tym bardziej proszę o pomoc.

 

Oto wyniki:

 

Z konta administratora OEM, ponieważ na koncie użytkownika "ula" uruchomienie: Farber Service Scanner uniemożliwiał Live Security Platinum (po kliknięciu w "uruchom" pliku FSS.exe okno zamknęło się)

 

SystemLook: http://wklej.org/id/798268/

Farber Service Scanner: http://wklej.org/id/798269/

 

Z konta użytkownika "ula" (teraz, czyli około 15 minut później Live Security Platinum nie "przeszkadza")

SystemLook: http://wklej.org/id/798296/

Farber Service Scanner: http://wklej.org/id/798298/

[picasso]

Skan Farbar wystarczy z obojętnego konta = to akurat część wspólna wszystkich kont. Skan w SystemLook tylko może się różnić przy pierwszej linii na różnych kontach. Oba skany zaś poświadczają, że tu chyba było już coś usuwane, bo ten ZeroAccess jest bardzo wybrakowany. Właściwie widzę od niego tylko folder na dysku + autoryzację explorer.exe w zaporze systemowej. Przechodzimy już do usuwania tego co widać plus odpadki po Google Chrome (wygląda na całkowicie odinstalowane):

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\0C1D14C0000117A2004F03216C44B161
C:\Users\Ula\AppData\Local\{b1a0e6c4-e5ab-b459-bca0-901b2b36fa07}
C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
C:\Users\OEM\AppData\Local\Google
netsh advfirewall reset /C
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/home?AF=15627"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&AF=15627&q="
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
""=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google]
[-HKEY_CURRENT_USER\Software\Google]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania odinstaluj adware Conduit Engine + InnoGames International Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj z poziomu konta ula (poprzednio OTL był z OEM). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[ula]

Dziękuję za odpowiedź.

 

W kwestii usuwania ZeroAccess mogę napisać jedynie tyle, że żadnych celowych działań w tym zakresie nie prowadziłam, nawet nie wiedziałam, że w komputerze jest jakiś wirus. Niewykluczone jednak, że "ktoś" "kiedyś" "coś" robił. Jeśli zapisy na to wskazują to zapewne tak było. To samo dotyczy google chrome (kojarzy mi się z przeglądarką, ale używam firefoxa, a jeśli coś nie działa to explorera).

 

Uruchomiłam OTL, wkleiłam w podane pole tekst, kliknęłam w "Wykonaj skrypt". Program rozpoczął skanowanie i mniej więcej w połowie (patrząc na zielony pasek postępu) pojawił się komunikat: "Program OTL przestał działać poprawnie z powodu wystąpienia problemu. System Windows zamknie program i powiadomi Cię, jeśli istnieje dostępne rozwiązanie". Okno nie zamknęło się, więc kliknęłam w "zamknij program" (nic innego nie było do wyboru). Kliknęłam jeszcze raz w OTL i pojawiła się informacja: http://wklej.org/id/798878/

 

Nie wiem czy to istotne, ale w tej chwili Live Security Platinum w ogóle nie daje o sobie znać, ale w "Dodaj/usuń programy" nadal jest widoczny.

 

Jeśli można coś jeszcze zrobić, to bardzo proszę o dalszą pomoc.

[picasso]

Po prostu przejdź do wykonania kolejnych punktów 2 do 4 z podanej instrukcji.

[ula]

2. Odinstalowałam

3. http://wklej.org/id/798891/

4. log OTL z opcji "skanuj" z konta "ula" http://wklej.org/id/798912/

[picasso]

Folder infekcji nadal na dysku.

 

1. Poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\URLSearchHook: {942cd1d4-9cc1-4d31-876a-ea8f489f7a59} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {942CD1D4-9CC1-4D31-876A-EA8F489F7A59} - No CLSID value found.
 
:Files
C:\ProgramData\0C1D14C0000117A2004F0321E56C34E5

 

Klik w Wykonaj skrypt. Tym razem bez restartu.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj skanowanie w MBAM. Jeśli coś wykryje, przedstaw raport.

 

5. Wykonaj podstawowe aktualizacje: KLIK. Przede wszystkim, system o krytycznym statusie aktualizacji (brak pakietu SP2 + IE9 oraz łat po), plus wersje programów do updatu:

 

64bit-Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.19088)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit (wtyczka dla Firefox) -----> zaktualizuj
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1033-7B44-A91000000001}" = Adobe Reader 9.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) ----> odinstaluj
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

6. Widoczny brak antywirusa. Do uzupełnienia.

 

 

 

PS. W kwestii ciężkiego Gadu-Gadu 10 sugeruję poczytanie tego artykułu: Darmowe komunikatory. Konkretnie chodzi mi o opisy WTW, Kadu, Miranda, AQQ.

 

.

[ula]

1. http://wklej.org/id/798981/

2. porządki wykonane

3. wyczyściłam

4. http://wklej.org/id/799017/

5. Nie zainstalowała się 1 "Aktualizacja zabezpieczeń systemu Windows Vista dla systemów opartych na procesorach x64 (KB973540)"; "Liczba znalezionych błędów: kod 80070020 Rozszerzenie Windows Update napotkało nieznany błąd."

6. Podczas aktualizacji zainstalował się Microsoft Security Essentials. Nie wiem czym się kierować przy wybieraniu antywirusa. Czy ten wystarczy?

 

GG 10 usunęłam.

 

Bardzo proszę o informację czy to już koniec działań. W "dodaj / usuń program" nadal widoczny jest Live Security Platinum, z tym że nie ma już przy nim kolorowej ikony.

Edytowane 29 Lipca 2012 przez ula

[picasso]

Wszystko co wykrył MBAM do usunięcia. To odpadki po infekcji.

 

 

W "dodaj / usuń program" nadal widoczny jest Live Security Platinum, z tym że nie ma już przy nim kolorowej ikony.

 

Tego wpisu nie było widać w OTL Extras, dlatego nie zadałam go do usunięcia. To pewnie zamieszanie z kontami i kwestia tego z poziomu którego konta był robiony log. Również nie wykrył go skan MBAM. Skoro nadal go widzisz, to:

 

Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum

 

Po tym wyczyść ponownie foldery Przywracania systemu.

 

 

Podczas aktualizacji zainstalował się Microsoft Security Essentials. Nie wiem czym się kierować przy wybieraniu antywirusa. Czy ten wystarczy?

 

Microsoft Security Essentials to dostateczny, choć niezbyt rozbudowany antywirus. Możesz go sobie zostawić.

 

 

Nie zainstalowała się 1 "Aktualizacja zabezpieczeń systemu Windows Vista dla systemów opartych na procesorach x64 (KB973540)"; "Liczba znalezionych błędów: kod 80070020 Rozszerzenie Windows Update napotkało nieznany błąd."

 

Sprawdź czy uda się instalacja z dysku: KB973540.

 

 

 

.

Edytowane 18 Września 2012 przez picasso
18.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso