LCCoolC Opublikowano 21 Września 2012 Zgłoś Udostępnij Opublikowano 21 Września 2012 Witam Mój komputer zaatakował wspomniany w temacie Live Security Platinum. Czy jest szansa, aby ktoś pomógł mi w usunięciu tego trojana? Będę bardzo wdzięczny! Z góry dziękuję! W załączniku załączam logi OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 21 Września 2012 Zgłoś Udostępnij Opublikowano 21 Września 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-3868353683-1426351275-2692908572-1000..\RunOnce: [7531CC77C3D4EBE353EEA513F875EF60] C:\ProgramData\7531CC77C3D4EBE353EEA513F875EF60\7531CC77C3D4EBE353EEA513F875EF60.exe () O7 - HKU\S-1-5-21-3868353683-1426351275-2692908572-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\ProgramData\7531CC77C3D4EBE353EEA513F875EF60 C:\Users\RAP KANCIAPA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll C:\Windows\SysWow64\mspunaera.dll C:\Windows\SysWow64\mspkcnoid.dll C:\Windows\SysWow64\mswknnoie.dll :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj nośnik adware LiveVDO plugin 1.3. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Dołącz log z usuwania OTL z punktu 1. I potwierdź, że BlazingTools Perfect Keylogger to celowa instalacja. . Odnośnik do komentarza
LCCoolC Opublikowano 21 Września 2012 Autor Zgłoś Udostępnij Opublikowano 21 Września 2012 - adware LiveVDO plugin 1.3. usunięty - BlazingTools Perfect Keylogger to celowa instalacja wykorzystywana tylko u mnie na komputerze Cytat Dołącz log z usuwania OTL z punktu 1 Czy chodzi o ten log, który wyskoczył po restarcie windows'a? Jesli tak, to: All processes killed ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-3868353683-1426351275-2692908572-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\\7531CC77C3D4EBE353EEA513F875EF60 deleted successfully. C:\ProgramData\7531CC77C3D4EBE353EEA513F875EF60\7531CC77C3D4EBE353EEA513F875EF60.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-3868353683-1426351275-2692908572-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HideSCAHealth deleted successfully. ========== FILES ========== C:\ProgramData\7531CC77C3D4EBE353EEA513F875EF60 folder moved successfully. C:\Users\RAP KANCIAPA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum folder moved successfully. C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll moved successfully. C:\Windows\SysWow64\mspunaera.dll moved successfully. C:\Windows\SysWow64\mspkcnoid.dll moved successfully. C:\Windows\SysWow64\mswknnoie.dll moved successfully. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Public User: RAP KANCIAPA ->Temp folder emptied: 800042280 bytes ->Temporary Internet Files folder emptied: 1128817 bytes ->Java cache emptied: 461364 bytes ->FireFox cache emptied: 125699021 bytes ->Flash cache emptied: 3195 bytes User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes Session Manager Temp folder emptied: 840 bytes Session Manager Tmp folder emptied: 0 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 884,00 mb OTL by OldTimer - Version 3.2.65.0 log created on 09212012_185015 Files\Folders moved on Reboot... C:\Users\RAP KANCIAPA\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully. PendingFileRenameOperations files... Registry entries deleted on Reboot... Czy wszystko jest już OK? Czy jakieś pozostałości po trojanie zostały całkowicie usunięte i mogę zacząć już dziękować? FSS.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Września 2012 Zgłoś Udostępnij Opublikowano 22 Września 2012 LCCoolC, proszę trzymaj się zasad działu. Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Wszystkie posty powyżej sklejam. Przypominanie się z tematem w rodzaju "czy już OK" do niczego nie zmierza. Odpowiadam, gdy jestem obecna i zdolna czasowo przetworzyć temat. A jakie tematy w dziale mam, wiem doskonale, w końcu ja prowadzę ten dział. Log z Farbar Service Scanner wykazuje następujące szkody: całkowicie wycięta w pień z rejestru usługa Centrum zabezpieczeń oraz Windows Defender, zaś usługi Windows Update + Zapora systemu systemu Windows mają status wyłączony. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000003 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc] "Start"=dword:00000002 Adnotacja dla innych czytających: import dopasowany do Windows 7. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 2. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. . Odnośnik do komentarza
LCCoolC Opublikowano 22 Września 2012 Autor Zgłoś Udostępnij Opublikowano 22 Września 2012 Pardon. Moze faktycznie powinienem uzyc opcji 'edytuj', ale absolutnie nie mialem na celu przypominania się z tematem - zeby tylko moj post byl jak najwyzej. Tak z głupa pisalem nowe odpowiedzi. Przyzwyczajenie z komunikatorów - rzadko kiedy korzystam z forów. - załączam log z FSS - "całkowicie wycięta w pień z rejestru usługa Centrum zabezpieczeń oraz Windows Defender, zaś usługi Windows Update + Zapora systemu systemu Windows mają status wyłączony" - tak, gdyż mam zainstalowaną zmodyfikowaną wersje windy z forum.windowsmx.pl, poza tym czy Windows Update faktycznie tak pomaga? We wczesniejszych wersjach aktualki tylko zamulały mi niepotrzebnie system FSS.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Września 2012 Zgłoś Udostępnij Opublikowano 22 Września 2012 (edytowane) Usługi naprawione. Możemy przejść do wykończeń: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. W Dzienniku zdarzeń masz błędy: Error - 2012-09-16 03:25:46 | Computer Name = RAPKANCIAPA | Source = Microsoft-Windows-TaskScheduler | ID = 412Description = Usługa Harmonogram zadań nie może uruchomić zadań wyzwalanych podczas uruchamiania komputera. Dodatkowe dane: Wartość błędu: 2147942402. Ten błąd rozwiązywałam tutaj: KLIK. Spróbuj to zastosować. Error - 2012-09-16 03:25:42 | Computer Name = RAPKANCIAPA | Source = volmgr | ID = 262190Description = Inicjowanie zrzutu awaryjnego nie powiodło się! Pokaż mi zrzuty ekranu z konfiguracji Start > w polu szukania wpisz sysdm.cpl > karta Zaawansowane: - w sekcji Wydajność klik w Ustawienia > Zaawansowane > w sekcji Pamięć wirtualna klik w Zmień - w sekcji Uruchamianie i Odzyskiwanie klik w Ustawienia 3. Wyczyść foldery Przywracania systemu: KLIK. To dopiero po naprawie Harmonogramu, bo przypuszczalnie przy w/w błędzie Harmonogramu tu też może być błąd. 4. Zaktualizuj Internet Explorer (tak, mimo że go nie używasz) + 32-bitową Java (64-bitowa jest już najnowsza): KLIK. Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5 Cytat - "całkowicie wycięta w pień z rejestru usługa Centrum zabezpieczeń oraz Windows Defender, zaś usługi Windows Update + Zapora systemu systemu Windows mają status wyłączony" - tak, gdyż mam zainstalowaną zmodyfikowaną wersje windy z forum.windowsmx.pl Wątpliwe, by to było konsekwencją zmodyfikowanego Windows. Zostały naruszone charakterystyczne usługi związane z bezpieczeństwem. Takie operacje prowadzą infekcje, m.in. rzeczone Live Security Platinum. Log z Farbar Service Scanner był tu nie bez przyczyny pobierany. W logu OTL widniała wprowadzona przez infekcję polityka HideSCAHealth, której cel to ukrycie kony Centrum w obszarze powiadomień, co ma zamaskować komunikaty od naruszonych usług. Widząc system z Live Security Platinum i HideSCAHealth od razu można się spodziewać uszkodzeń. Cytat poza tym czy Windows Update faktycznie tak pomaga? We wczesniejszych wersjach aktualki tylko zamulały mi niepotrzebnie system Kładę tu silny nacisk w dziale na aktualizacje Windows i programów, bo braki w tych sferach to jedna z przyczyn infekcji. Co do "zamulania", to nie wiem co rozumiesz pod pojęcięm "we wcześniejszych wersjach" + jaką miałeś wtedy kondycję systemu, a już sam fakt że posługujesz się przerabianym Windows jest znaczący. Takie Windowsy nie są naturalne i nie można przewidzieć do końca określonych zachowań. Tu na forum już było kilka tematów, gdzie się kończyło instalacją zwykłego niemodyfikowanego Windows 7, bo przeróbka okazała się niepełnosprawna (coś źle w obrazie Windows przygotowane, zintegrowany zbyt stary polski pakiet językowy MUI powodujący dziwne problemy, wycięte zbyt dużo komponentów uniemożliwiające instalację Service Pack etc.). . Edytowane 20 Października 2012 przez picasso 20.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi