Wirus Live Security Platinum

[bartoszkas]

Witam,bardzo proszę o pomoc z tym wirusem.

oto moje logi z OTL i malwarebytes anti-malware:

Extras.Txt

OTL.Txt

mbam-log-2012-08-13 (10-59-58).txt

[Landuss]

MBAM usuwał rootkita ZeroAccess w związku z tym log dodatkowy musisz wykonać. Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

[bartoszkas]

Dziękuje za pomoc oto raport:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 11:35 on 14/08/2012 by Rafał Kasperkiewicz

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

"ThreadingModel"="Both"

@="C:\Documents and Settings\Rafał Kasperkiewicz\Ustawienia lokalne\Dane aplikacji\{1b3ec117-efb0-9e07-39c9-76943a60b4a2}\n."

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a---- 111104 bytes [01:23 01/10/2010] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445

C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [19:59 01/10/2010] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

C:\WINDOWS\system32\services.exe --a---- 111104 bytes [20:51 14/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

C:\WINDOWS\system32\dllcache\services.exe ------- 111104 bytes [01:23 01/10/2010] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

 

-= EOF =-

[Landuss]

1. Start > uruchom > cmd i wklep:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\RAFAKA~1\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Apfiltr.sys -- (ApfiltrService)
O3 - HKU\S-1-5-21-842925246-412668190-682003330-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
 
:Files
C:\WINDOWS\tasks\GRLLSCQY.job
C:\Documents and Settings\All Users\Dane aplikacji\036E192FF8C59D215FFBA8CE81CB3EF3
C:\WINDOWS\Installer\{1b3ec117-efb0-9e07-39c9-76943a60b4a2}
C:\Documents and Settings\Rafał Kasperkiewicz\Ustawienia lokalne\Dane aplikacji\{1b3ec117-efb0-9e07-39c9-76943a60b4a2}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Przez Panel sterowania odinstaluj: BitTorrent Toolbar

 

4. Uruchom AdwCleaner z opcji Delete

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook.

[bartoszkas]

Po wykonaniu skryptu w OTL musiałem sam zrestartować kompa tzn. wyłączyłem go z prądu bo stanął i nie chciał się sam zresetować, a w panelu sterowania wśród programów nie znalazłem BitTorrent Toolbar.

 

SystemLook 30.07.11 by jpshortstuff

Log created at 13:51 on 14/08/2012 by Rafał Kasperkiewicz

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shdocvw.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a---- 111104 bytes [01:23 01/10/2010] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445

C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [19:59 01/10/2010] [20:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA

C:\WINDOWS\system32\services.exe --a---- 111104 bytes [20:51 14/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

C:\WINDOWS\system32\dllcache\services.exe ------- 111104 bytes [01:23 01/10/2010] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F

 

-= EOF =-

OTL.Txt

[Landuss]

Skrypt w OTL w ogóle się nie wykonał, powtórz go raz jeszcze i wrzuć nowego loga. Pokaż log z usuwania (powinien być w C:\_OTL) abym widział gdzie jest problem.

[bartoszkas]

Kurcze te pliki w C:\_OTL są puste.

[Landuss]

To tak wygląda jakbyś niczego nie wklejał do OTL. Jak ty to wykonujesz i w jaki sposób kopiujesz?

[bartoszkas]

Zaznaczyłem wszystko to co miałem wklepać do OTL klikam kopiuj i wklej w okno Własne opcje skanowania/Skrypt. Może problem jest w tym co się dzieje po wklejeniu tego tekstu, bo laptop nie chciał się sam zrestartować a na dole w OTL było napisane "killing proces" coś tam....

[Landuss]

To tak jakby z zabijaniem procesów był problem. Zmień nieco ten skrypt na taką postać:

 

:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\RAFAKA~1\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Apfiltr.sys -- (ApfiltrService)
O3 - HKU\S-1-5-21-842925246-412668190-682003330-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
 
:Files
C:\WINDOWS\tasks\GRLLSCQY.job
C:\Documents and Settings\All Users\Dane aplikacji\036E192FF8C59D215FFBA8CE81CB3EF3
C:\WINDOWS\Installer\{1b3ec117-efb0-9e07-39c9-76943a60b4a2}
C:\Documents and Settings\Rafał Kasperkiewicz\Ustawienia lokalne\Dane aplikacji\{1b3ec117-efb0-9e07-39c9-76943a60b4a2}
 
:Commands
[reboot]

[bartoszkas]

Teraz chyba wszystko się udało.

OTL.Txt

[Landuss]

Teraz jak najbardziej wszystko wykonane. Możesz przejść do kroków kończących:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 7.0.5730.13)

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[bartoszkas]

Dziękuję serdecznie i pozdrawiam