Live Security Platinum - usuwanie

[chavez]

Witam.

Pojawił mi się pseudoantywirus - LSP. Proszę o sprawdzenie logów i podpowiedź co zrobić.

Windows XP uruchomiony a trybie awaryjnym.

OTL: http://wklej.org/id/802856/
Extras: http://wklej.org/id/802857/

Dziękuję.

[Atis]

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Senfilt.sys -- (SenFiltService)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\AEAudio.sys -- (AEAudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ADIHdAud.sys -- (ADIHdAudAddService)
IE - HKU\S-1-5-21-1409082233-630328440-839522115-1004\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = http://dl.ask.com/toolbarv/askRedirect.jsp?gct=&gc=1&q={searchTerms}&crm=1&toolbar=GLS
O4 - HKU\S-1-5-21-1409082233-630328440-839522115-1004..\RunOnce: [6F63A5AB0062C46900087E8081CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\6F63A5AB0062C46900087E8081CB3F95\6F63A5AB0062C46900087E8081CB3F95.exe ()
O37 - HKU\S-1-5-21-1409082233-630328440-839522115-1004\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2012-08-02 22:39:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\admin\Menu Start\Programy\Live Security Platinum
[2012-08-02 22:39:28 | 000,002,248 | ---- | M] () -- C:\Documents and Settings\admin\Pulpit\Live Security Platinum.lnk
[2010-03-17 15:12:17 | 000,009,896 | -HS- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\3yye
[2010-03-17 15:12:17 | 000,009,896 | -HS- | C] () -- C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\3yye

:Files
C:\Windows\system32\fsutil.exe reparsepoint delete C:\WINDOWS\$NtUninstallKB7336$ /c
C:\WINDOWS\$NtUninstallKB7336$
C:\Documents and Settings\All Users\Dane aplikacji\6F63A5AB0062C46900087E8081CB3F95

:Reg
[-HKEY_USERS\S-1-5-21-1409082233-630328440-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]

:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.

Wklej i kliknij Skanuj:

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
/md5start
services.exe
/md5stop

Pokaż ten log.

[chavez]

Wcześniej już wykonałem swój skrypt:

:OTL
O4 - HKU\S-1-5-21-1409082233-630328440-839522115-1004..\RunOnce: [6F63A5AB0062C46900087E8081CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\6F63A5AB0062C46900087E8081CB3F95\6F63A5AB0062C46900087E8081CB3F95.exe ()
[2012-08-02 22:39:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\admin\Menu Start\Programy\Live Security Platinum
[2012-08-02 22:39:27 | 000,002,248 | ---- | C] () -- C:\Documents and Settings\admin\Pulpit\Live Security Platinum.lnk

:Files
C:\Documents and Settings\All Users\Dane aplikacji\6F63A5AB0062C46900087E8081CB3F95

:Reg
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]

:Commands
[emptytemp]

i uzyskałem raport:
http://wklej.org/id/803045/

Następnie, teraz już, wykonałem Twój skrypt i kilka razy OTL się zawiesił na którejś linijce z DRV - File not found [Kernel | On_Demand | Stopped] więc wykonałem ponownie ten podany skrypt ale bez tych czterech linijek z File not found.

Raport z Twojego skryptu (bez czterech linijek z DRV - File not found): http://wklej.org/id/803050/

Log ze skanowania z dodatkowymi opcjami:
OTL: http://wklej.org/id/803053/
Extras: http://wklej.org/id/803055/

[Atis]

1. Wszystkie programy -> Akcesoria -> Wiersz polecenia
Wklej i zatwierdź enterem:

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%systemroot^%\system32\wbem\wbemess.dll /f

2. Do okna Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\{93a7c1ec-8107-a19d-8258-76495b6329e3}
C:\WINDOWS\Installer\{93a7c1ec-8107-a19d-8258-76495b6329e3}
C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\98657b32
C:\WINDOWS\$NtUninstallKB7336$

:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.

3. Wklej i kliknij Skanuj:

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

Pokaż ten log.

4. Pobierz i uruchom Farbar Service Scanner
Zaznacz wszystkie pozycje i kliknij Scan.
Pokaż ten raport.

[chavez]

Obydwie komendy się wykonały.

Raport z usuwania: http://wklej.org/id/803081/

Kolejny log OTL: http://wklej.org/id/803094/

FSS: http://wklej.org/id/803099/
Dodam, że mam (wygląda na to że działający) Sunbelt Personal Firewall 4.
AVG Free 9. Nie ma ikony w trayu, ale chyba chodzi

[Atis]

Sprawdź czy w folderze nie ma pliku uninstall
C:\Program Files\Sunbelt Software
Ad-Aware też możesz odinstalować, bo to nie jest zbyt skuteczny program.
AVG najlepiej aktualizuj do najnowszej wersji.

W panelu sterowania odinstaluj:
JavaFX 2.1.0
Java(TM) 7 Update 4
Adobe Reader 9.5.1
Później zainstaluj:
Adobe Reader
Java

Napraw usługi uszkodzone przez trojana.
Pobierz i rozpakuj archiwum:
http://sendfile.pl/191972/xp.zip
Kliknij prawym na pliku FIX i wybierz Scal.

Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.
http://www.dobreprogramy.pl/Malwarebyte ... 13117.html