Live Security Platinum zablokował system

[rafal7274]

Witam,

uprzejmie proszę o pomoc, mój system xp 32bit jest zablokowany przez w/w wirus, przesyłam logi z OTL.

Z góry bardzo dziękuję i czekam na odpowiedź.

 

Pozdrawiam.

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4"
IE - HKLM\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = "http://search.myheritage.com?orig=ds&q={searchTerms}"
IE - HKU\S-1-5-21-602162358-1677128483-839522115-1004\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-602162358-1677128483-839522115-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110808&tt=3412_6&babsrc=SP_ss&mntrId=f47fc43a000000000000001fc61d55cb"
IE - HKU\S-1-5-21-602162358-1677128483-839522115-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=PTF&o=15507&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=LJ&apn_dtid=YYYYYYYYPL&apn_uid=F147288D-0B05-4556-B899-E4A18AA52AF3&apn_sauid=42D468C5-1763-4050-B7D2-7A9382C5ED5F"
IE - HKU\S-1-5-21-602162358-1677128483-839522115-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250"
IE - HKU\S-1-5-21-602162358-1677128483-839522115-1004\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = "http://search.myheritage.com?orig=ds&q={searchTerms}"
IE - HKU\S-1-5-21-602162358-1677128483-839522115-1004\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - SOFTWARE\Classes\CLSID\{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}\InprocServer32 File not found
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - SOFTWARE\Classes\CLSID\{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}\InprocServer32 File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2027:  File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1040:  File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
O2 - BHO: (Reg Error: Value error.) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - Reg Error: Value error. File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3 - HKU\S-1-5-21-602162358-1677128483-839522115-1004\..\Toolbar\WebBrowser: (Reg Error: Value error.) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - Reg Error: Value error. File not found
O4 - HKLM..\Run: [NWEReboot]  File not found
O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found
O4 - HKU\S-1-5-21-602162358-1677128483-839522115-1004..\Run: [isamget] C:\Documents and Settings\x\Dane aplikacji\Uzdie\qudo.exe ()
O4 - HKU\S-1-5-21-602162358-1677128483-839522115-1004..\RunOnce: [036E191300000438871A754081CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\036E191300000438871A754081CB3F95\036E191300000438871A754081CB3F95.exe ()
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon -- (CLTNetCnService)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass)
DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs)
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\036E191300000438871A754081CB3F95
C:\Documents and Settings\x\Dane aplikacji\Zeurnu
C:\Documents and Settings\x\Dane aplikacji\Uzdie
C:\Documents and Settings\x\Dane aplikacji\Pyfok
C:\Documents and Settings\x\Dane aplikacji\OpenCandy
C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\ujptx2zw.default\searchplugins\askcom.xml
C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\ujptx2zw.default\searchplugins\conduit.xml
C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\ujptx2zw.default\searchplugins\winamp-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml
C:\Program Files\mozilla firefox\searchplugins\MyHeritage.xml
C:\user.js
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

2. Odinstaluj adware:

- Otwórz Firefox i w Dodatkach odinstaluj: Babylon, Conduit Engine, Family Toolbar, Free Lunch Design Community Toolbar.

- Otwórz Google Chrome i w Rozszerzeniach odinstaluj: Facemoods. Ponadto, zmień stronę startową (aktualnie śmieć Babylon).

- Przez Dodaj/Usuń odinstaluj: Babylon toolbar on IE, BabylonObjectInstaller, facemoods, Family Toolbar, Free_Lunch_Design Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

 

 

 

.

[rafal7274]

Dzięki,wykonałem polecenia, załączam logi. Nie mogę usunąć BabylonObject Installer.

AdwCleanerS1.txt

OTL.Txt

[picasso]

Nie mogę usunąć BabylonObject Installer.

 

Za to usunął go AdwCleaner, w logu jest odpowiedni wpis. Wymagane drobne poprawki na odpadki po adware:

 

1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=f47fc43a000000000000001fc61d55cb&tlver=1.6.4.6&instlRef=sst&babTrack&q="
[2011-02-01 18:09:52 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\{FD2FD708-1F6F-4B68-B141-C5778F0C19BB}
O3 - HKU\S-1-5-21-602162358-1677128483-839522115-1004\..\Toolbar\WebBrowser: (no name) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - No CLSID value found.
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[rafal7274]

Przesyłam kolejny log.

OTL.Txt

[picasso]

Zadanie wykonane. Możemy przejść dalej:

 

1. Skasuj odpadkową usługę po McAfee. Start > Uruchom > cmd i wpisz komendę sc delete 0139621346254240mcinstcleanup.

 

2. Odinstaluj starą felerną zaporę NVIDIA ForceWare Network Access Manager. Potwierdź wykonanie tej akcji, bo często są problemy z tym starym oprogramowaniem.

 

 

 

.

[rafal7274]

Witam,

polecenie z punktu 1. wykonałem, nie moge odinstalować NVIDIA ForceWare Network Access Manager. Prosze o pomoc.

[picasso]

Przeczuwałam to. Z jakiego źródła były instalowane sterowniki nVidia? Chodzi mi o operacje na podobieństwo: KLIK.

 

 

.

 

 

[rafal7274]

Witam,

komputer był składany w miejscu zakupu, tam widocznie to zainstalowali.

Nie znam sie na komputerach prosze więc o jednorazową komendę usunięcia tej zapory.

Jeśli można oczywiście.

[picasso]

Nie znam sie na komputerach prosze więc o jednorazową komendę usunięcia tej zapory.

 

To nie jest takie proste jak "jednorazowa komenda". Usunięcie tego bez deinstalatora to grubsza robota. Dlatego pytam o ewentualny reinstalator sterowników, co jest bardziej normalną metodą usuwania. Czy na pewno w systemie nie ma kopii zapasowej instalatora, czyli katalogu C:\NVIDIA?

 

 

.

[rafal7274]

Witam,

zsystemu awaryjnego nie mogłem usunac tej zapory natomiast w trybie normalnym usunąłem z pozycji panelu sterowania i system moim zdaniem działa poprawnie. Prosze o dalsze instrukcje. Dziękuję za dotychczasową pomoc.

[picasso]

To Ty robiłeś to z poziomu Trybu awaryjnego? Przecież z tego trybu miałeś już dawno wyjść, zaraz po wykonaniu skryptu OTL. Oczywiście w Trybie awaryjnym nie działa usługa Instalator Windows, odinstalowanie aplikacji bazujących na tym awykonalne w normalny sposób. OK, sprawa załatwiona, na zakończenie:

 

Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

Internet Explorer (Version = 7.0.5730.13)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 30
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.5
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Google Chrome" = Google Chrome
"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)

 

 

PS. Gadu-Gadu 10 to ciężki stwór reklamodawczy. Sugeruję oberzenie znacznie lżejszych dla zasób alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

 

.

[rafal7274]

Witam,

 

dziękuje za wszystko i to chyba koniec tematu, czy tak?

 

Pozdrawiam.

[rafal7274]

Nie moge dostac sie do folderu System Volume Information na dysku C zresztą na pozostałych też nie - komunikat odmowa dostepu.

[picasso]

Zapomniałam zadać deinstalację narzędzi (w OTL Sprzątanie + w AdwCleaner Uninstall) oraz właśnie czyszczenia folderów Przywracania systemu:

 

 

Nie moge dostac sie do folderu System Volume Information na dysku C zresztą na pozostałych też nie - komunikat odmowa dostepu.

 

To normalne. Te foldery zawsze są zablokowane przez uprawnienia na systemie plików NTFS. Do tych folderów nie wchodzi się ręcznie. Foldery czyści procedura pokazana na obrazkach (przełączenie opcji w Windows).

 

 

 

.

[rafal7274]

Wszystko wykonane zgodnie z zaleceniami.

Dziekuje bardzo i pozdrawiam.

[rafal7274]

Dzięki za cierpliwość,mój komp działa ok,dobrze że jesteście i można na Was liczyć ,wykonałaś kawał dobrej roboty .Jeszcze raz serdecznie pozdrawiam.