Skocz do zawartości

Jak ukatrupić Live Security Platinum?


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Logi zrobione z poziomu złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika:

 

Computer Name: PRACA-23192C9BA | User Name: Administrator | Logged in as Administrator.

 

Logi muszą pochodzić z konta na którym ujawnił się problem. Druga sprawa: Live Security Platinum to Twój najmniejszy problem. W systemie działa rootkit ZeroAccess w starszej wersji = o wiele mocniejsza niż bieżące warianty, ponieważ infekująca sterowniki systemowe, robiąca rzeźnię w uprawnieniach i inne nieprzejemne rzeczy. Rootkit stanowi priorytet w usuwaniu. W związku z tym, że jest tu bardzo silna infekcja oraz infekcje poboczne wytaczamy ciężkie działa:

 

1. Pobierz i uruchom zgodnie ze wzskazówkami ComboFix.

 

2. Przedstaw log utworzony przez narzędzie oraz zrobione już po ukończeniu jego pracy nowe logi OTL (z właściwego konta) oraz GMER.

 

 

 

.

Odnośnik do komentarza

Wyniki pracy domowej :) :

 

Log ComboFix w trybie awaryjnym: http://wklej.org/id/822168/

 

Log OTL: http://wklej.org/id/822174/

 

Log GMER: http://wklej.org/id/822177/

 

mam nadzieję że nic nie przeoczyłem.

 

Pzdr

diabeł :)

 

Log ComboFix bez trybu awaryjnego wykonany na samym końcu: http://wklej.org/id/822189/

 

Log GMER bez trybu awaryjnego wykonany na samym końcu http://wklej.org/id/822192/

Odnośnik do komentarza

ComboFix pomyślnie usunął rootkita ZeroAccess (i leczył sterownik systemowy ipsec.sys) oraz Live Security Platinum. GMER nie wykazuje aktywności rootki, ale czy to na pewno skanowanie pełne a nie preskan? Już możesz wyjść z Trybu awaryjnego. Mamy jeszcze co usuwać:

 

 

1. ESET Smart Security jest uszkodzony. Odinstaluj go przez Panel sterowania z poziomu Trybu normalnego. Następnie w Trybie awaryjnym popraw specjalizowanym usuwaczem ESET Uninstaller.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
D:\WINDOWS\System32\gKp2u6.com_
D:\WINDOWS\tasks\At*.job
D:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\iqyfi.exe
D:\Documents and Settings\Default User\Menu Start\Programy\Autostart\iqyfi.exe
D:\Documents and Settings\All Users\Dane aplikacji\5Jl2c47F.dat
D:\Documents and Settings\firma\Dane aplikacji\Waifx
D:\Program Files\mozilla firefox\searchplugins\v9.xml
 
:OTL
NetSvcs: AEADIFilters - File not found
NetSvcs: Hotkey - File not found
NetSvcs: spmgr - File not found
NetSvcs: sscdmdm - File not found
NetSvcs: license - File not found
NetSvcs: awhost32 - File not found
NetSvcs: vmodem - File not found
NetSvcs: smserial - File not found
O4 - HKU\S-1-5-21-507921405-823518204-839522115-1003..\Run: [{1F277257-5222-4269-EAC7-62D22D2226EF}] "D:\Documents and Settings\firma\Dane aplikacji\Uvqy\ciwao.exe" File not found
O4 - HKU\S-1-5-21-507921405-823518204-839522115-1003..\RunOnce: [036DFF980067D4E74456CEAC4A174311] D:\Documents and Settings\All Users\Dane aplikacji\036DFF980067D4E74456CEAC4A174311\036DFF980067D4E74456CEAC4A174311.exe File not found
O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) -  File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):"D:\WINDOWS\system32\wuauserv.dll"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 2.

 

 

 

.

Odnośnik do komentarza

Zadania pomyślnie przeprowadzone. Jednakże w między czasie doinstalowałeś adware: Funmoods oraz Ask. Ask wskoczył poprzez instalację Avira (Avira SearchFree Toolbar plus Web Protection). Niestety aktywacja funkcji osłony Web w darmowej Avira wymaga zgody na instalację śmiecia. Z tego względu Avira darmowa jest przeze mnie tępiona, to jest zachowanie niegodne programu zabezpieczającego.

 

1. Przez Panel sterowania odinstaluj Avira SearchFree Toolbar plus Web Protection (jeszcze powinna być druga pozycja "Updater") oraz Funmoods.

 

2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania AdwCleaner.

 

 

 

.

Odnośnik do komentarza

1. Drobna poprawka. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.order.1: "Ask.com"
 
:Files
D:\Documents and Settings\firma\Dane aplikacji\Mozilla\Firefox\Profiles\uiy7huvm.default\extensions\ffxtlbr@funmoods.com
D:\Documents and Settings\firma\Dane aplikacji\Mozilla\Firefox\Profiles\uiy7huvm.default\searchplugins\askcom.xml
D:\Documents and Settings\firma\Dane aplikacji\Mozilla\Firefox\Profiles\uiy7huvm.default\searchplugins\Search.xml
D:\Documents and Settings\firma\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial.crx
D:\Documents and Settings\firma\Ustawienia lokalne\Dane aplikacji\funmoods.crx
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowy.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Start > Uruchom > wklej komendę:

 

"D:\Documents and settings\Administrator\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall

 

Po ukończeniu deinstalacji uporządkuj i po innych: w AdwCleaner zasrosuj Uninstall, w OTL uruchom Sprzątanie.

 

3. Wykonaj pełne skanowanie następującymi narzędziami: Kaspersky Virus Removal Tool oraz Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raporty z wynikami.

 

 

 

.

Edytowane przez picasso
2.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...