Live Security Platinum - infekcja

[eski1305]

Witam,

 

Mam ogromną prośbę do osób znających temat Live Security Platinum. Na moim służbowym laptopie pojawił się ten wirus, prosiłbym o pomoc w rozwiązaniu problemu. Załączam pliki z OTL.

 

Pozdrawiam

Marcin

Extras.Txt

OTL.Txt

[Landuss]

Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

[eski1305]

Oto raport wygenerowany przez SystemLook:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 04:35 on 09/08/2012 by Marcin

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Documents and Settings\Marcin\Ustawienia lokalne\Dane aplikacji\{4c305232-09bb-07ff-732b-7838506c0bd2}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="\\.\globalroot\systemroot\Installer\{4c305232-09bb-07ff-732b-7838506c0bd2}\n."

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\system32\services.exe --a---- 109056 bytes [20:51 14/04/2008] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

C:\WINDOWS\system32\dllcache\services.exe --a--c- 109056 bytes [20:51 14/04/2008] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

 

-= EOF =-

[Landuss]

1. Start > uruchom > cmd i wklep te plecenia:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\aksfridge.sys -- (aksfridge)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adusbser.sys -- (adusbser)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch"
IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?q={searchTerms}"
 
:Files
C:\Documents and Settings\Marcin\Pulpit\Live Security Platinum.lnk
C:\Documents and Settings\Marcin\Menu Start\Programy\Live Security Platinum
C:\Documents and Settings\All Users\Dane aplikacji\036DFF6102D4763A175C59A281CB3EF3
C:\WINDOWS\Installer\{4c305232-09bb-07ff-732b-7838506c0bd2}
C:\Documents and Settings\Marcin\Ustawienia lokalne\Dane aplikacji\{4c305232-09bb-07ff-732b-7838506c0bd2}
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Przez Panel sterowania odinstaluj: Live Security Platinum

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook.

[eski1305]

Przeprowadziłem operacje zgodnie z instrukcją. Przy odinstalowywaniu Live Security Platinum w panelu sterowania została wyświetlona wiadomość, iż LSP nie został wykryty i można go ewentualnie usunąć z listy programów, potwierdziłem usunięcie z listy programów. Przy ponownym uruchomieniu nie stwierdziłem tego ustrojstwa na komputerze. Dołączam Logi:

 

Czy wirus ten kopiuje się przez Pendrivy?? robiłem bckup niezbędnych programów podczas infekcji i zastanawiam się czy jest on teraz na pamięci przenośnej?

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 08:41 on 09/08/2012 by Marcin

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="C:\WINDOWS\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\system32\services.exe --a---- 109056 bytes [20:51 14/04/2008] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

C:\WINDOWS\system32\dllcache\services.exe --a--c- 109056 bytes [20:51 14/04/2008] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

 

-= EOF =-

OTL.Txt

[Landuss]

Czy wirus ten kopiuje się przez Pendrivy??

 

Nie, to nie jest ten typ infekcji.

 

Wszystko masz usunięte. Możesz finalizować:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 24

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.3 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[eski1305]

Serdecznie dziękuję za pomoc, przyczyniłeś się do uratowania projektu automatyzacji oczyszczalni ścieków w Kazachstanie

 

Pozdrawiam

Marcin