Usuwanie live security platinium

[atalef]

Witam serdecznie.

Proszę o pomoc jak w temacie.

System Windows 7

Extras.Txt

OTL.Txt

[Landuss]

Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

[atalef]

Wynikowy raport z SystemLook

 

SystemLook 30.07.11 by jpshortstuff

Log created at 20:10 on 31/07/2012 by Paweł

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\Paweł\AppData\Local\{322935b2-bc53-92f8-d28e-bb6b0a30c90a}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] A302BBFF2A7278C0E239EE5D471D86A9

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

 

-= EOF =-

[Landuss]

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\System32\services.exe

 

Zresetuj system.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={F94C0910-C4E7-11E1-8E94-002643405222}"
IE - HKU\S-1-5-21-3005237215-536897476-1094062228-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={F94C0910-C4E7-11E1-8E94-002643405222}"
IE - HKU\S-1-5-21-3005237215-536897476-1094062228-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=9485988c000000000000002643405222"
IE - HKU\S-1-5-21-3005237215-536897476-1094062228-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={F94C0910-C4E7-11E1-8E94-002643405222}"
[2012/03/14 16:09:48 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\b3n55o4t.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
[2012/03/14 16:06:13 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:Files
C:\Windows\Installer\{322935b2-bc53-92f8-d28e-bb6b0a30c90a}
C:\Users\Paweł\AppData\Local\{322935b2-bc53-92f8-d28e-bb6b0a30c90a}
C:\Users\Paweł\AppData\Local\Temp*.html
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-21-3005237215-536897476-1094062228-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer / RelevantKnowledge

 

5. Uruchom AdwCleaner z opcji Delete

 

6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

[atalef]

wszystko chyba udało się tak jak napisane punkt po punkcie...

miałem jedną wątpliwość co do punktu 6 - przeskanowałem w OTL plik w załączniku, przeskanowałem w Farber Service Scanner - plik w załączniku no a w SystemLook wkleiłem tą samą komendę co poprzednio podawałeś dobrze ???? jeśli tak to nowy wynik w załączniku

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 21:21 on 31/07/2012 by Paweł

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

 

-= EOF =-

FSS.txt

OTL1.Txt

[Landuss]

Infekcja zdjęta sama w sobie, ale teraz czas na naprawy szkód po niej spowodowanych.

 

1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow):

• Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  
• Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK
  

2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

[atalef]

hej

jestem przy pierwszym etapie czyli przy rekonstrukcji zapory systemu windows i natknąłem się na taki komunikat i nie mogę znaleść tego następnego postu dotyczącego uprawnień kluczy:

 

Operacja odtwarzania uprawnień kluczy BFE, MpsSvc oraz SharedAccess jest rozpisana w następnym poście. Na tym etapie odtwarzania Zapory należy wykonać wszystkie działania tam opisane.

 

sorrki matoł ze mnie już robie

 

wydaje mi się że zrobiłem wszystko

plik w załączniku

FSS.txt

[Landuss]

Potwierdzam poprawne wykonanie. Chyba nie było takie trudne

 

Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83217000FF}" = Java 7

"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[atalef]

wykonałem zalecane procedury ale ciągle mam jeden problem a dotyczy to tego iż nadal w panelu sterowania - dodaj usuń programy występuje na liście ten program live security platinum i ni jak się go nie da usunąć????

[Landuss]

Wejdź i po prostu odinstaluj go z listy, to tylko szczątek i nie powinno być żadnego problemu.