KarteKpL Opublikowano 2 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 Witam, wczoraj złapałem Live Security Platinum, nie mogę sobie poradzić z usunięciem tego Pomożcie proszę i za wszelaką pomoc wielkie dzięki Pozdrawiam OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 2 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 Niestety oprócz LSP mas ZeroAccess. Wykonaj raport dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Odnośnik do komentarza
KarteKpL Opublikowano 2 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 Proszę bardzo: SystemLook 30.07.11 by jpshortstuff Log created at 11:03 on 02/08/2012 by Asia Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Users\Asia\AppData\Local\{994f4dbe-77c6-297c-693a-6fe961068942}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [17:00 19/08/2009] [06:27 11/04/2009] 8737764F4FD36D6808EE80578409C843 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [17:00 19/08/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 2 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 1. Start > Uruchom > cmd i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\RunOnce: [036DFF850007EDFE0261FA4E2F3B707C] C:\ProgramData\036DFF850007EDFE0261FA4E2F3B707C\036DFF850007EDFE0261FA4E2F3B707C.exe () :Files C:\Users\Asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF850007EDFE0261FA4E2F3B707C C:\Users\Asia\Desktop\Live Security Platinum.lnk C:\Windows\Installer\{994f4dbe-77c6-297c-693a-6fe961068942} C:\Users\Asia\AppData\Local\{994f4dbe-77c6-297c-693a-6fe961068942} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook. Odnośnik do komentarza
KarteKpL Opublikowano 3 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Proszę bardzo: SystemLook 30.07.11 by jpshortstuff Log created at 10:44 on 03/08/2012 by Asia Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shell32.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\Windows\System32\services.exe --a---- 279552 bytes [17:00 19/08/2009] [06:27 11/04/2009] 8737764F4FD36D6808EE80578409C843 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [17:00 19/08/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B -= EOF =- OTLpo.Txt Odnośnik do komentarza
KarteKpL Opublikowano 3 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Witam, dziś rano złapałem Live Security Platinum na moim drugim komputerze... Nie wiem o co chodzi, tym bardziej, że mam antywirusa, który najwyraźniej trzeba zmienić. Przez chyba 10 lat nie złapałem żadnego virusa a teraz dzień po dniu... Proszę bardzo o pomoc, przesyłame wymagane pliki i dziękuje bardzo z góry. Na pewno otrzymacie ode mnie dotację bo na to jaknajbardziej zasługujecie udzielając bezinteresownie pomocy!! Pozdrawiam OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 3 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Komputer 1: Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.6002.18005) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Komputer 2: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=7392631c-227f-11e1-b6d9-d6252d373005" IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7392631c-227f-11e1-b6d9-d6252d373005&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7392631c-227f-11e1-b6d9-d6252d373005&q={searchTerms}" IE - HKCU\..\SearchScopes\{F66D674A-4A29-4A13-A040-5DE4AD23F3AF}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100789&babsrc=SP_ss&mntrId=d69a91ba00000000000000ff01000001" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100789&babsrc=adbartrp&mntrId=d69a91ba00000000000000ff01000001&q=" [2012/02/12 17:41:04 | 000,000,792 | ---- | M] () -- C:\Users\Czaro\AppData\Roaming\Mozilla\Firefox\Profiles\ckyxvzgz.default\searchplugins\startsear.xml [2012/01/23 18:10:34 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O4 - HKCU..\RunOnce: [036DFF850049D12702DBEF31F875F020] C:\ProgramData\036DFF850049D12702DBEF31F875F020\036DFF850049D12702DBEF31F875F020.exe () :Files C:\Users\Czaro\Desktop\Live Security Platinum.lnk C:\ProgramData\036DFF850049D12702DBEF31F875F020 C:\Users\Czaro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
KarteKpL Opublikowano 3 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Proszę bardzo logi z olt po wykonaniu zadań : OTLpo.Txt Odnośnik do komentarza
Landuss Opublikowano 3 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Masz usunięte. Standard na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
KarteKpL Opublikowano 4 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Sierpnia 2012 Serdeczne dzięki !!! Odnośnik do komentarza
Rekomendowane odpowiedzi