Proszę o pomoc z live security platinum...

[ramirezos]

Witam.

Niestety i mnie dopadło to paskudztwo, prubowałem coś z tym zrobić korzystając z instrukcji z youtuba itp, ale nic z tego. Dla tego zmuszony jestem poprosić o pomoc kogoś obeznanego w temacie, ja nie mam zielonego pojęcia o co chodzi w tej bajce:(

 

oto logi

 

OTL http://wklej.org/id/801450/

Extras http://wklej.org/id/801443/

 

Z góry dziękuję za wszelaką pomoc.

 

Zapomniałem dodać, że komputer odpala mi się tylko w trybie awaryjnym, a system to Windows 7 64bity.

[Landuss]

Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

[ramirezos]

Dziękuję za zainteresowanie

 

SystemLook x64 http://wklej.org/id/801463/

[Landuss]

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\System32\services.exe

 

Zresetuj system.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640"
IE - HKU\S-1-5-21-3428491820-1856240409-2281755661-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640"
O4:64bit: - HKLM..\Run: [apiliz] C:\Users\Leon\AppData\Roaming\apiliz.dll (C-Media Electronics Inc.)
O4:64bit: - HKLM..\Run: [dsdomc] C:\Users\Leon\AppData\Local\Temp\dsdomc.dll (Info-ZIP)
O4:64bit: - HKLM..\Run: [mapiev] C:\Users\Leon\AppData\Roaming\mapiev.dll (Crytek)
O4 - HKLM..\Run: [Conime] %windir%\system32\conime.exe File not found
O4 - HKU\S-1-5-21-3428491820-1856240409-2281755661-1000..\RunOnce: [7531E8D90008E26602AF4F36F875EF60] C:\ProgramData\7531E8D90008E26602AF4F36F875EF60\7531E8D90008E26602AF4F36F875EF60.exe ()
 
:Files
C:\Windows\Installer\{2356cfa1-f828-4c2a-2bec-7f05c7c07dc3}
C:\Users\Leon\AppData\Local\{2356cfa1-f828-4c2a-2bec-7f05c7c07dc3}
C:\Windows\SysNative\%APPDATA%
C:\Users\Leon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
C:\ProgramData\7531E8D90008E26602AF4F36F875EF60
 
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Przez Panel sterowania odinstaluj: free-downloads.net Toolbar / Live Security Platinum

 

5. Uruchom AdwCleaner z opcji Delete

 

6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

[ramirezos]

Wszystko wykonałem według instrukcji.

Odinstalowałem "free-downloads.net Toolbar", ale przy "Live Security Platinum" było tylko pytanie czy usunąć z listy, więc usunąłem.

 

logi:

OTL http://wklej.org/id/801498/

SystemLook http://wklej.org/id/801500/

FSS http://wklej.org/id/801503/

 

Tak z ciekawości sprawdziłem, czy się windows odpala, ale dalej tylko w trybie awaryjnym.

[Landuss]

Powinien się bez problemu normalnie uruchomić bo infekcja w całości usunięta. Tylko musisz teraz naprawić poszkodowane usługi systemowe.

 

1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow):

• Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  
• Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK
  

2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

[ramirezos]

log z FSSa http://wklej.org/id/801675/

Niestety dalej uruchamia się tylko tryb awaryjny. Tryb normalny uruchamia się do momentu wyświetlenia ekranu wyboru profilu po czym następuje reset... może przywracanie systemu coś pomoże...?

[Landuss]

Przyznam, że nie mam pojęcia dlaczego tak się dzieje. Według logów wszystko jest w porządku więc problem musi sprawiać coś co ładuje się w normalnym trybie.

 

Może jeszcze zrób tak. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

[ramirezos]

Zrobiłem wszystko ale nie mam pojęcia o jaki log ci chodzi. Wszystkie skany nie znalazły błędów. Dalej jest tylko tryb awaryjny.

 

Coś jeszcze czy to koniec i nic już nie można zrobić?

 

Ok zrobiłem przywracanie systemu z dnia przed infekcją, jedyne co widzę to ten "free-downloads.net Toolbar", da radę to jakoś wygonić???

Proszę, czy mógłbyś jeszcze zerknąć na te logi:

OTL.Txt

Extras.Txt

Edytowane 1 Sierpnia 2012 przez picasso
Proszę stosować funkcję Edytuj, zamiast tworzyć X własnych postów. //picasso

[Landuss]

Po prostu wejdź w panel sterowania i odinstaluj free-downloads.net Toolbar

[ramirezos]

Wyskakuje komunikat, że nie może znaleźć pliku INSTALLLOG

Ok już sobie z tym poradziłem, dziękuję za pomoc.