Live Security Platinum - jak usunąć ?

[mmarcin]

Witam, proszę o pomoc w usunięciu LSP.

W normalnym trybie nic nie mogę zrobić - wejść do rejestru, otworzyć OTL, nie mogę uruchomić managera zadań, nie działa Microsoft Security Essential, nie mogę odinstalować LSP i jakiegoś Ask toolbar, nie otwierają się strony w IE i Mozilli.

Cokolwiek usuchamiam pojawia się okienko z nazwą tego pliku i ostrzeżeniem, że jest zainfekowany. Cały czas pojawiają się komunikaty i pytanie czy uruchomić LSP czy nie. Kiedy kliknąłem w akcie desperacji, że tak to pojawiła się prośba o zapłacenie 90USD kartą kredytową - czego oczywiście nie zrobiłem.

 

W załączniku informacje z OTL. EDIT: Dołączam OTL raz jeszcze ponieważ udało się uruchomić program Malwarebytes Anti-Malware w trybie awaryjnym i usunąć kilka plików LSP.

 

Teraz wygląda na to, że jest lepiej. Ale niestety nadal nie mogę uruchomić Microsoft Security Essential. Pokazuje się komunikat, że usługa nie jest zainstalowana. A kiedy instaluje pisze, że już jest zainstalowany i pojawia się błąd.

 

Mam system Win7 64bit

 

Proszę o pomoc. Dziękuję

Extras.Txt

OTL.Txt

[Landuss]

Niestety oprócz LSP masz jeszcze ZeroAccess. Uruchom SystemLook x64 i do okna wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look i przedstaw wynikowy raport.

[mmarcin]

witam, dziękuję za odpowiedź. Wygląda to tak:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 18:20 on 01/08/2012 by Sendengo

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Users\Sendengo\AppData\Local\{10078165-024e-30fc-df93-3ec3de821ab2}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 014A9CB92514E27C0107614DF764BC06

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

[Landuss]

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\System32\services.exe

 

Zresetuj system.

 

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.softonic.com/MON00084/tb_v1?SearchSource=10&cc="
IE - HKCU\..\SearchScopes\{32928AEE-7947-44CE-9DF0-2403535AB485}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc="
IE - HKCU\..\SearchScopes\{88150F92-DCE0-4EAB-9ED7-9C905EE39658}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=6F0D2148-DB67-41B5-9679-4F2797D80F24&apn_sauid=A7EE18AD-7993-41CE-A649-1D78AEB50C00"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
 
:Files
C:\Windows\Installer\{10078165-024e-30fc-df93-3ec3de821ab2}
C:\Users\Sendengo\AppData\Local\{10078165-024e-30fc-df93-3ec3de821ab2}
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Przez Panel sterowania odinstaluj: pdfforge Toolbar v6.2

 

5. Uruchom AdwCleaner z opcji Delete

 

6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

[mmarcin]

Witam, zrobiłem wszysko zgodnie z instrukcją.

 

Wiem, że to dziwne pytanie ale co tam: jak w cmd kleić komendę ? - (Ctrl+V nie działa), pytam na przyszłość

 

SystemLook 30.07.11 by jpshortstuff

Log created at 17:40 on 02/08/2012 by Sendengo

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] 24ACB7E5BE595468E3B9AA488B9B4FCB

 

-= EOF =-

FSS.txt

OTL.Txt

[Landuss]

Wiem, że to dziwne pytanie ale co tam: jak w cmd kleić komendę ? - (Ctrl+V nie działa), pytam na przyszłość

 

Normalnie z myszki z prawokliku.

 

Naprawiaj teraz szkody po infekcji:

 

1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow):

• Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  
• Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK
  

2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

[mmarcin]

Generalnie przeprowadzilem wszystkie procedury zgodnie z opisami.

Niestety nie można pobrać FIX.txt bezpłatnie. Ściągnięcie tego pliku kosztuje 9.95USD. Czy jest jakaś możliwość zrobienia tego kroku w inny sposób ? Nie wiem czy mogę zaufać temu sprzedawcy podając nr karty i czy to pomoże

 

Dodam że restartowałem system ale nadal nie mogę uruchomić automatycznych aktualizacji.

[Landuss]

Pobierz teraz tego fixa, przehostowałem link bo w tamtym wygasł po prostu czas za darmo.

[mmarcin]

ściągnąłem, prawoklik, scaliłem.

FSS.txt

[Landuss]

Teraz pytanie czy działa zapora Windows? Bo log pokazuje że nie jest uruchomiona.

[mmarcin]

dziwne jest to, że zapora pokazuje komunikat

zapora systemu windows nie może zmienić niektórych ustawień. kod błedu 0x8007042c

 

próbowałem włączyć automatyczne aktualizacje ale się nie da. Ale dziwne jest to, że po restarcie systemu automatycznie uruchomiła się aktualizacja systemu. Właśnie ściągają się aktualizacje

[Landuss]

A czy ty w ogóle wykonałeś naprawę uprawnień przez SetACL dla Zapory Windows? Tam w temacie masz wszystko podane. Importy do rejestru to połowa zadania.

[mmarcin]

nie, nie robiłem tego. Scalałem rejestry i później po poleceniu sfc /scannow wychodziło, że nie ma błędów więc nic dalej nie robiłem.

[Landuss]

No to nie dziw się, że zapora nie hula skoro zrobiłeś zadanie w połowie...

[mmarcin]

przepraszam.

 

zapora działa, microsoft security essential działa, ale microsoft defender jakoś nie chce się uruchomić - nawet nie wiem czy kiedykolwiek wcześniej był włączony.

FSS.txt

[Landuss]

Windows Defender nie musi być włączony. nawet lepiej kiedy jest wyłączony. Infekcje masz usuniętą. Możesz kończyć:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj Jave do wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[mmarcin]

Serdecznie dziękuję za pomoc. Wszystko działa poprawnie.

 

Mam natomiast jeszcze jedną prośbę. Dzieci przenosiły na komputer stacjonarny zdjęcia. Wykonali pełne skanowanie Microsoft Security Essential. Podobno pojawiły się jakieś trojany, które usunęli. Niestety w historii nie znalazłem informacji co to były za trojany.

 

Czy byłbyś uprzejmy i zerknął do OTL z desktopa ?

Niestety raportu z GMER nie mogę zrobić. Znaczy zrobiłem ale pojawia się puste okno i nie mam możliwości zaznaczenia większości opcji skanowania (dostępne tylko usługi, rejestr, pliki)

 

Dziękuję

OTL.Txt

[Landuss]

Logi czyste, infekcji jakiejkolwiek brak. Temat uznaję za rozwiązany i zamykam.