Mruffcia
9 Sierpień 2012 19:36
#1
Wiem, że o Live Security Platinum są inne wątki… ale nie chciałam się pod nie podpinać w żaden sposób.
Złapałam na komputerze tego wrednego wirusa. Próbowałam coś z nim zrobić, ale jako komputerowy laik niewiele co mogłam. W rejestrach nie chcę sama babrać bo coś zepsuję. Błagam na pomoc. Na tym komputerze mam ważny projekt, który jest mi potrzebny na sobotę a nie mam jak go wydobyć bo nawet wejście do katalogów mi on blokuję
OTL:
http://www.wklej.org/id/807659/
Extras:
http://www.wklej.org/id/807662/
Z góry dziękuję za ratunek
Atis
9 Sierpień 2012 19:53
#2
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | Auto | Stopped] – C:\Windows\system32\Drivers\DgiVecp.sys – (DgiVecp) DRV - File not found [Kernel | Disabled | Stopped] – C:\Windows\system32\drivers\blbdrive.sys – (blbdrive) SRV - [2012-07-26 19:40:56 | 000,794,560 | ---- | M] (Spigot, Inc.) [Auto | Stopped] – C:\Program Files\Application Updater\ApplicationUpdater.exe – (Application Updater) IE - HKU\S-1-5-21-3296287278-1675594765-2332357041-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=96ec1e68000000000000001a4d50af54 IE - HKU\S-1-5-21-3296287278-1675594765-2332357041-1000…\SearchScopes{DCF51F8C-710D-404E-83DA-CF6B19361DB3}: “URL” = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc= IE - HKU\S-1-5-21-3296287278-1675594765-2332357041-1000…\SearchScopes{47D76EBA-11FE-4BE7-9000-26C7035A7EE7}: “URL” = http://crackspider.net/crack.shtml?q={searchTerms} FF - prefs.js…browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…browser.search.selectedEngine: “Search the web (Babylon)” FF - prefs.js…keyword.URL: “http://search.babylon.com/?affID=110819&babsrc=KW_ss&mntrId=96ec1e68000000000000001a4d50af54&q= ” [2007-10-20 12:12:36 | 000,000,000 | —D | M] (Megaupload Toolbar) – C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\mf2vmymm.default\extensions{991A772A-BA13-4c1d-A9EF-F897F31DEC7D} [2012-05-30 19:11:17 | 000,000,000 | —D | M] (Babylon) – C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\mf2vmymm.default\extensions\ffxtlbr@babylon.com [2012-02-28 20:45:33 | 000,000,000 | —D | M] (Softonic Toolbar) – C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\mf2vmymm.default\extensions\ffxtlbra@softonic.com [2012-02-28 20:45:29 | 000,002,060 | ---- | M] () – C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\mf2vmymm.default\searchplugins\softonic.xml [2012-05-30 18:48:38 | 000,002,313 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (WeeklyExecuter Class) - {f015f320-ab08-11db-abbd-0800200c9a66} - C:\Windows\inetloader.dll File not found O3 - HKU\S-1-5-21-3296287278-1675594765-2332357041-1000…\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd File not found O4 - HKLM…\Run: [hidfind] “C:\Program Files\hidfind.exe” -update File not found O4 - HKU\S-1-5-21-3296287278-1675594765-2332357041-1000…\Run: [360desktop] File not found O4 - HKLM…\Run: [Wondershare Helper Compact.exe] C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe File not found O4 - HKU\S-1-5-21-3296287278-1675594765-2332357041-1000…\Run: [Cpola] rundll32.exe “C:\Users\user\AppData\Local\oshelfct.dll”,Startup File not found O4 - HKU\S-1-5-21-3296287278-1675594765-2332357041-1000…\RunOnce: [6C82D100000D22070303F3072F3B6FDA] C:\ProgramData\6C82D100000D22070303F3072F3B6FDA\6C82D100000D22070303F3072F3B6FDA.exe () O32 - AutoRun File - [2002-10-16 14:56:50 | 000,000,036 | RH-- | M] () - K:\autorun.inf – [NTFS] [2012-08-05 21:05:45 | 000,000,000 | —D | C] – C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum [2012-08-05 21:05:45 | 000,001,970 | ---- | C] () – C:\Users\user\Desktop\Live Security Platinum.lnk :Files C:\ProgramData\6C82D100000D22070303F3072F3B6FDA C:\Users\user\kyo2006.exe RECYCLER /alldrives :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
W panelu sterowania odinstaluj:
YTD Toolbar
Megaupload Toolbar
Softonic toolbar on IE and Chrom
Yahoo! Toolbar
Wklej do OTL i kliknij Skanuj:
Pokaż ten log.
Pobierz i uruchom Farbar Service Scanner
Zaznacz wszystkie pozycje i kliknij Scan.
Pokaż ten raport.
Mruffcia
9 Sierpień 2012 20:43
#3
Dziękuję… życie mi uratowałeś, jakby była możliwość przesyłania piwa przez internet już miałbyś je na biurku.
Raport po wykonaniu skryptu
http://www.wklej.org/id/807722/
OTL:
http://www.wklej.org/id/807723/
FSS:
http://www.wklej.org/id/807728/
Atis
9 Sierpień 2012 20:58
#4
To dopiero początek, bo razem z Platinum najczęściej występuje trojan ZeroAccess (Sirefef), a tego trudniej usunąć.
Uruchom cmd.exe jako administrator:
Jak uruchomić polecenie z pełnymi uprawnieniami?
Wklej i zatwierdź enterem:
Zrestartuj system.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=110819 … 1a4d50af54 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. :Files C:\ProgramData\6C82D100000D22070303F3072F3B6FDA C:\Users\user\kyo2006.exe C:\Windows\Installer{f4b44929-67cb-9afb-ff8f-7c2dbc67a07d} C:\Users\user\AppData\Local{f4b44929-67cb-9afb-ff8f-7c2dbc67a07d} RECYCLER /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
3.Wklej do OTL i kliknij Skanuj:
Pokaż ten log.
Mruffcia
10 Sierpień 2012 16:45
#5
Mimo, że to jeszcze nie koniec udało mi się odzyskać projekt - dziękuję
Raport po wykonaniu skryptu:
http://wklej.org/id/808219/
OTL:
http://wklej.org/id/808220/
Atis
10 Sierpień 2012 17:03
#6
Wklej i kliknij Wykonaj skrypt:
Napraw usługi uszkodzone przez ZeroAccess (Sirefef)
Rekonstrukcja Zapory systemu Windows
Rekonstrukcja Centrum zabezpieczeń systemu Windows
Windows defender i aktualizacje.
Pobierz i rozpakuj archiwum:
http://sendfile.pl/191604/plik.zip
Kliknij prawym na pliku FIX i wybierz Scal.
Odinstaluj starą wersje programu:
Java 6 Update 26
Adobe Reader 9.2
Adobe Flash Player 10 ActiveX
McAfee Security Scan Plus
Później zainstaluj:
Adobe Reader
Flash Player
Java
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
http://windows.microsoft.com/pl-PL/wind … tore-point
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
.