Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Live Security Platinum - potrzebna pomoc

patrykx

Przez patrykx
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

patrykx

patrykx

Opublikowano
Opublikowano

Witajcie

Mam problem, przegladalem sobie internet, wyskoczyla mi aktualizacja, bodajze flash playera i jak zwykle zainstalowalem, ale po krotkim czasie i bardzo szybko zaczely wyskakiwac komunikaty o wirusach, trojanach, robakach etc. i potem informacja o jakims live security platinum, ktorego nie posiadalem. Z tego co udalo mi sie przeczytac, jest to wirus i potrzebuje waszej pomocy. Do tej pory takie bagno mi sie nie przydarzylo, wiec za bardzo nie wiem jak sie za to zabrac. Probowalem zrobic raport, sciagajac 3 rozne wersje tego programu OTL , zadna z nich nie chciala ruszyc ( przy wersji com wyskoczyl error, przy reszcie nic sie nie dzialo). Prosze Was o pomoc, bo sam nie dam sobie z tym rady, a bez komputera nie dam rady. Czekam na odpowiedzi i z gory dziekuje.

 

edit : przed chwila udalo mi sie zalaczyc skanowanie, ale niestety tylko do chwili, potem zostalo wylaczone i pojawil sie napis "operacja zostala anulowana, ze wzgledu a ograniczenia nalozone na ten komputer"

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR)
O4 - HKU\S-1-5-21-3526035735-2868304185-780809859-1003..\RunOnce: [036DFF8502ED2CFB6DDA15DFE56C34E5] C:\ProgramData\036DFF8502ED2CFB6DDA15DFE56C34E5\036DFF8502ED2CFB6DDA15DFE56C34E5.exe ()
 
:Files
C:\ProgramData\036DFF8502ED2CFB6DDA15DFF875F020
C:\ProgramData\036DFF8502ED2CFB6DDA15DFE56C34E5
C:\Users\Patryk\Desktop\Live Security Platinum.lnk
C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
C:\windows\Installer\{3a5daf74-5fac-fd5c-57f0-6ff499bc0f02}
C:\Users\Patryk\AppData\Local\{3a5daf74-5fac-fd5c-57f0-6ff499bc0f02}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Live Security Platinum

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Loga z usuwania nie musisz pokazywać, widzę w nowym logu ze skanu że wszystko wykonane. Powinno być po problemie.

 

Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 8.0.7601.17514)

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31

"Mozilla Thunderbird (3.1.4)" = Mozilla Thunderbird (3.1.4)

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Odnośnik do komentarza
patrykx

patrykx

Opublikowano
  • Autor
Opublikowano

Problem juz sie nie pojawia, rozmieszczenie juz jest w porzadku , dziekuje ;)

Mam jeszcze problem z aktualizacjami, java poszla gladko, natomiast jest problem z aktualizacja windowsa oraz IE. W osobnym temacie: https://www.fixitpc.pl/topic/11973-error-sxs-component-store-corrupt-0x80073712/

Sprzatanie z OTL ukonczone i oproznilem przywracanie systemu.

Prosze o pomoc

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Log potwierdza: trojan zniszczył całą Zaporę, Centrum Zabezpieczeń i Windows Defender.

 

1. Odbuduj skasowane usługi (omiń sfc /scannow w tych instrukcjach):

  • Rekonstrukcja usług Zapory systemu Windows: KLIK.
  • Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  • Rekonstrukcja usługi Windows Defender: KLIK.

2. Zresetuj system i podaj nowy log z Farbar Service Scanner.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Poproszę o logi:

 

1. Uruchom SystemLook i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look.

 

2. Dodaj także nowy Farbar Service Scanner, standardowe logi z OTL oraz GMER.

 

 

 

 

.

Odnośnik do komentarza
patrykx

patrykx

Opublikowano
  • Autor
Opublikowano

Wykonane!

 

SystemLook 30.07.11 by jpshortstuff

Log created at 18:05 on 28/08/2012 by Patryk

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] A302BBFF2A7278C0E239EE5D471D86A9

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

 

-= EOF =-

FSS.txt

OTL.Txt

gmer.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Tu nie był sprawdzany w ogóle wcześniej SystemLook, a on ujawnia, że ZeroAccess jest tu bardziej rozbudowany, tzn. zainfekował systemowy plik services.exe. Prawdopodobnie nie jest to nowa infekcja tylko stara nie wyleczona do końca. Ponadto, polisa HideSCAHealth ukrywająca ikonę Centrum w obszarze powiadomień również nie została wtedy usunięta.

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

sfc /scanfile=C:\Windows\system32\services.exe

 

Zresetuj system.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O7 - HKU\S-1-5-21-3526035735-2868304185-780809859-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

3. System jest zamęczony antywirusami. Aktualnie na chodzie dwa równocześnie: McAfee AntiVirus Plus + Avast. Jeden z nich do deinstalacji.

 

4. Zrób nowe logi: OTL z opcji Skanuj, GMER oraz SystemLook na te same warunki co wcześniej.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Stop. Zapomniałam, że masz dodatkowy problem z Windows Update i błędy w CBS.LOG (na rozwiązanie których nie mam teraz pomysłu). SFC w ogóle u Ciebie nie działa. Inna metoda:

 

1. Uruchom Kaspersky TDSSKiller (najnowsza wersja wykrywa i leczy wariant services.exe) i dla wyniku punktującego zainfekowany services.exe przyznaj akcję Cure. Zresetuj system.

 

2. Punkty 2 do 4 z poprzedniej instrukcji nadal aktualne. Dołącz log z TDSSKiller (będzie na dysku C).

 

 

 

.

Odnośnik do komentarza
patrykx

patrykx

Opublikowano
  • Autor
Opublikowano

Wykrylo infekcje w pliku services.exe , zaznaczylem opcje cure,w miedzyczasie pojawil sie rowniez komunikat od avast o pliku objetym kwarantanna -tsk0000.dta znajdujacym sie w folderze C:\TDSSKiller_Quarantine\...

 

Przesylam zrobione logi:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 14:32 on 30/08/2012 by Patryk

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 259072 bytes [23:11 13/07/2009] [12:16 30/08/2012] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe --a---- 259072 bytes [23:11 13/07/2009] [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

 

-= EOF =-

 

Brakujacy log GMER:

TDSSKiller.2.8.8.0_30.08.2012_14.12.45_log.txt

OTL.Txt

GMER1.txt

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...