Live security platinum-pomocy!

[misza2595]

pomocy. mam tego wirusa na komputerze.proszę o szybka pomoc, zorientowałam się że coś w tym stylu jest potrzebne...

http://wklejto.pl/130070

http://www.wklejto.pl/130071

proszę o szczegóły. jestem zielona.

[Landuss]

Niestety jest tutaj też ZeroAccess. Potrzebny log uzupełniający pod kątem tej infekcji.

 

Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

 

 

BTW: I logi nie wstawiaj na wklejto (do kitu się czyta) tylko opcją załączniki na forum.

[misza2595]

ok ok;)

 

SystemLook 30.07.11 by jpshortstuff

Log created at 23:34 on 31/07/2012 by ppp

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="%SystemRoot%\system32\shell32.dll"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\erdnt\cache\Services.exe --a---- 279552 bytes [23:40 30/07/2012] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

C:\Windows\System32\Services.exe --a---- 279552 bytes [17:29 24/03/2011] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [17:29 24/03/2011] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

 

-= EOF =-

[Landuss]

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Przyspiesz Komputer\PCSUService.exe -- (PCSUService)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\TP6800.sys -- (DCamUSBIntel)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=1&barid={C9A1704A-E5C2-4DD0-B79B-67DF371DE5DF}"
IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=6b2c7390-7052-11e1-b6f1-001b38ed24b6&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&barid={C9A1704A-E5C2-4DD0-B79B-67DF371DE5DF}&q={searchTerms}&barid={C9A1704A-E5C2-4DD0-B79B-67DF371DE5DF}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1333989262_215387
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=100512_4_&babsrc=SP_ss&mntrId=f61562b0000000000000001f3a2e644c"
IE - HKCU\..\SearchScopes\{9473F66F-6D97-4AE5-897B-8A3E4D4369A0}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109805&babsrc=SP_ss&mntrId=f61562b0000000000000001f3a2e644c"
IE - HKCU\..\SearchScopes\{AC48B662-B3BE-4BDD-A0D3-EACA5C6C275A}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&barid={C9A1704A-E5C2-4DD0-B79B-67DF371DE5DF}&q={searchTerms}&barid={C9A1704A-E5C2-4DD0-B79B-67DF371DE5DF}"
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3008653&SearchSource=2&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)"
[2012-03-31 23:28:41 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\ppp\AppData\Roaming\mozilla\Firefox\Profiles\5b8ko0xi.default\extensions\ffxtlbr@funmoods.com
[2012-06-10 08:50:03 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\ppp\AppData\Roaming\mozilla\Firefox\Profiles\5b8ko0xi.default\extensions\plugin@yontoo.com
[2011-10-27 15:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
[2012-05-10 16:06:31 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [ChomikBox] C:\Program Files\ChomikBox\chomikbox.exe File not found
O4 - HKCU..\Run: [Gadu-Gadu 10] "C:\Program Files\Gadu-Gadu 10\gg.exe" File not found
O4 - HKCU..\RunOnce: [036DFF980001665000510C402F3B707C] C:\ProgramData\036DFF980001665000510C402F3B707C\036DFF980001665000510C402F3B707C.exe ()
 
:Files
C:\Users\ppp\Desktop\Live Security Platinum.lnk
C:\Windows\Installer\{8c058c43-bef9-43b5-d801-3ec0ff247af1}
C:\Users\ppp\AppData\Local\{8c058c43-bef9-43b5-d801-3ec0ff247af1}
C:\Users\ppp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
C:\ProgramData\036DFF980001665000510C402F3B707C
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.5 / Yontoo 1.10.02 / Babylon toolbar on IE / DAEMON Tools Toolbar / DealPly / Funmoods on IE and Chrome / LiveVDO plugin 1.3 / Przyspiesz Komputer - Kompletna deinstalacja / Live Security PLatinum / FoxTab PDF Reader

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SYstemLook.

Edytowane 31 Sierpnia 2012 przez picasso
1.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso