pomoc z wirusem Live Security Platinum

[anik00]

Witam,
Wczoraj pojawił się na moim laptopie Live Security Platinum. W normalnym trybie pracy komputera nie da się uruchomić plików .exe, więc dzisiaj pracuję cały czas na trybie awaryjnym.
Od rana robię logi (w trybie awaryjnym), nie mogłam jednak wcześniej usunąć Alcoholu 120%: nie figuruje na liście programów do usunięcia przez panel sterowania, w normalnym trybie pracy komputera nie mogę uruchomić unistall.exe, a w trybie awaryjnym wyskakuje komunikat 'setup is unable to validate instalation'.

Logi:

OTL:
http://wklej.eu/index.php?id=0c95da17c3
Extras:
http://wklej.eu/index.php?id=dfbdf983ac

RSIT:
http://wklej.eu/index.php?id=eb091198ce

SilentRunner:
http://wklej.eu/index.php?id=300216690b

Gmer:
http://wklej.eu/index.php?id=b5bab05b8c

MBRCheck:
http://wklej.eu/index.php?id=b60dbe412f

TDSSkiller nic nie znalazł.

Proszę o pomoc.
Pozdrawiam,
Ania

[spandaupol]

Proszę spróbuj odinstalować zbędne, jeśli będzie problem przejdź do kolejnych punktów

blekko search bar
VShareToolBar

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL
O4 - HKU\S-1-5-21-4051395316-4194294487-934062712-1003..\RunOnce: [036DFF610007E156025DF9266C44B161] C:\ProgramData\036DFF610007E156025DF9266C44B161\036DFF610007E156025DF9266C44B161.exe ()
O7 - HKU\S-1-5-21-4051395316-4194294487-934062712-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Apple Inc. = C:\Users\Anna\AppData\Roaming\693181.exe

:Files
C:\Users\Anna\AppData\Roaming\xvayiqjitfdzmpmdtaswgkrnwzo2veog2
C:\Users\Anna\AppData\Local\{4052b4de-2d6b-945b-3ab0-996fc3a7a328}
C:\Windows\Installer\{4052b4de-2d6b-945b-3ab0-996fc3a7a328}

:Commands
[emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum

Następnie pobierz SystemLook (SystemLook) http://jpshortstuff.247fixes.com/SystemLook.html Wklej do niego

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{4052b4de-2d6b-945b-3ab0-996fc3a7a328} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4052b4de-2d6b-945b-3ab0-996fc3a7a328} /s

:filefind
services.exe

Klikasz Look pokaż log na forum

[anik00]

Dziękuję za odpowiedź.

Odinstalowałam blekko search bar. Nie znalazłam plików VShareToolBar do odinstalowania.

Logi:
OTL:
http://wklej.eu/index.php?id=e123172e28
Extras:
http://wklej.eu/index.php?id=6f8a35abda

SystemLook:
http://wklej.eu/index.php?id=87b96af867

[spandaupol]

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=2164e460-479c-11e1-87f9-0013776f0d56&q="
O3 - HKU\S-1-5-21-4051395316-4194294487-934062712-1003\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
IE - HKU\S-1-5-21-4051395316-4194294487-934062712-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=21 ... 76f0d56&q={searchTerms}
IE - HKU\S-1-5-21-4051395316-4194294487-934062712-1003\..\SearchScopes\{1F410A06-A8CF-4B27-AFFC-54FDEF8A00E0}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=21 ... 76f0d56&q={searchTerms}
IE - HKU\S-1-5-21-4051395316-4194294487-934062712-1003\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://blekko.com/ws/?source=c3348dd4&t ... 6ACB4A1&q={searchTerms}
IE - HKU\S-1-5-21-4051395316-4194294487-934062712-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://blekko.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=2164e460- ... 13776f0d56
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=21 ... 76f0d56&q={searchTerms}

Klikasz na Wykonaj skrypt.

Uruchom OTL klikasz Sprzątanie to usunie OTL'a wraz z jego kwarantanną


Start - w pole Wyszukaj programy i pliki wpisujesz cmd z prawokliku uruchom jako administrator Wklej:
sfc /scanfile=C:\Windows\system32\services.exe i Enter

Restart systemu

Ponownie Start - w pole Wyszukaj programy i pliki wpisujesz cmd z prawokliku uruchom jako administrator Wklej:
findstr /c:"[SR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt
Powstanie raport który pokażesz na forum.


Wykonaj pełny skan Malwarebytes (zainstaluj wersje darmową) http://www.malwarebytes.org/products/malwarebytes_free Jak program coś wykryje pokaż raport na forum

Użyj securitycheck analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html#p3080641 uaktualnij to co wskaże program

[anik00]

Hej, dzięki jeszcze raz za pomoc. Wybacz, zwłokę w działaniu - dużo pracy wyjazdowej.

Raport z findstr /c:"[SR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt
http://wklej.eu/index.php?id=c105f57aef

I log z Malwarebytes:
http://wklej.eu/index.php?id=db1f3932c6

[spandaupol]

Usuń co znalazł Malwarebytes. Ponieważ przeoczyłem niektóre rzeczy - niestety Wykonaj jeszcze to co poniżej

W okno Własne opcje skanowania / skrypt w OTL wklej:

:Files
C:\ProgramData\036DFF610007E156025DF9266C44B161
C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum

:Commands
[emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

[anik00]

OK, już zabieram się do OTL.

A tymczasem mam raport z SecurityCheck, więc też wklejam:
" Results of screen317's Security Check version 0.99.43
Windows Vista Service Pack 1 x86 (UAC is disabled!)
Out of date service pack!!
Internet Explorer 7 Out of date!
``````````````Antivirus/Firewall Check:``````````````
Windows Security Center service is not running! This report may not be accurate!
WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware wersja 1.62.0.1300
Java(TM) 6 Update 32
Java version out of Date!
Adobe Flash Player 9 Flash Player out of Date!
Adobe Flash Player 11.3.300.265
Adobe Reader X (10.1.3)
Mozilla Firefox (14.0.1)
````````Process Check: objlist.exe by Laurent````````
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbamgui.exe
Malwarebytes Anti-Malware mbam.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C: %
````````````````````End of Log``````````````````````
"
Wiem, o co chodzi z aktualizowaniem tego, co jest "Out of date", ale nie rozumiem, czemu przy Service Pack 1 x86 jest "UAC is disabled"? Co to znaczy?

[spandaupol]

(UAC is disabled!)

Masz wyłączoną kontrolę konta użytkownika. http://windows.microsoft.com/pl-pl/wind ... nt-control

[anik00]

Aha, kontrola konta użytkownika, dzięki.

Log z usuwania:
http://wklej.eu/index.php?id=8410f5ba32

I ze skanów:
OTL:
http://wklej.eu/index.php?id=b9c70ee02c
Extras:
http://wklej.eu/index.php?id=d7ec2bc48f

[spandaupol]

Dobrze jeszcze to i możesz przejść do aktualizacji systemu i oprogramowania

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=2164e460-479c-11e1-87f9-0013776f0d56&q="

:Files
C:\Users\Anna\Desktop\Live Security Platinum.lnk

:Commands
[emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Uruchom OTL klikasz Sprzątanie to usunie OTL'a wraz z jego kwarantanną

Dodatkowo proszę o raport Farbar Service Scanner http://download.bleepingcomputer.com/farbar/FSS.exe (zaznacz wszystkie opcje)

[anik00]

OTL z usuwania:
http://wklej.eu/index.php?id=fb3d0fa0ef

FSS:
http://wklej.eu/index.php?id=289a0faa99

[spandaupol]

Proszę na początek do wykonania rekonstrukcja BFE, MpsSvc oraz SharedAccess. http://www.fixitpc.pl/topic/6855-rekons ... u-windows/


Po tej operacji podaj nowy raport Farbar Service Scanner

[anik00]

rekonstrukcja mnie przerosła.
Zaczęłam rekonstrukcję kluczy usług BFE, MpsSvc i SharedAccess, zrobiłam pierwszy etap - odtworzenie wpisów rejestru usług.
Kolejnym krokiem ma być odtwarzanie uprawnień kluczy BFE, MpsSvc i SharedAccess i tutaj już się pogubiłam.
Ściągnęłam SetACL, ale nie rozumiem kroku drugiego z instrukcji na http://www.fixitpc.pl/topic/6855-rekons ... u-windows/
"2. Przygotuj pasujący plik importujący uprawnienia i zastosuj go z linii komend"
Co to jest plik importujący uprawnienia?

[adam9870]

Zobacz co jest napisane wcześniej:

1. Pobierz narzędzie SetACL. Z folderu "Command line version" wypakuj wersję SetACL.exe dopasowaną do systemu (x86 = 32-bit, x64 = 64-bit) i umieść w katalogu C:\Windows.

Pobierasz SetACL http://helgeklein.com/download/ http://files.helgeklein.com/downloads/S ... %20version).zip
Ciebie interesuje wersja x86 (32-bitowa)
Pozdrawiam.

[anik00]

Dzięki za odpowiedź adam9870,

Chodziło mi tylko o drugi punkt. Pierwszy rozumiem i go zastosowałam.
Co to znaczy:
"2. Przygotuj pasujący plik importujący uprawnienia i zastosuj go z linii komend"?
Co to znaczy 'zastosuj go z linii komend'? I co to jest 'pasujący plik importujący uprawnienia'? To jest ten plik SetACL.exe właśnie?
Instrukcja napisana na http://www.fixitpc.pl/topic/6855-rekons ... u-windows/ jest bardzo pomocna, ale jak dla mnie napisana zbyt specjalistycznym językiem i potrzebuję Waszej pomocy.