Live security Platinium - prośba o pomoc w usunięciu

aliatic · 26 Lipiec 2012 14:44

Witam,

Jakieś 2h temu przy odpaleniu komuptera załadował mi się syf w postaci “Live security Platinium”. Chciałem jakoś go usunąć, przeszukałem internet i wpadłem na tą stronę. Myślałem, że sam dam radę wyleczyć mój komupter z tego, jednak się myliłem. Siedzę od 2h w trybie awaryjnym, przeglądam internet i czytam, no ale po prostu aż tak dobrze się na tym nie znam. Tym bardziej, że pierwszy raz mam doczynienia z programem OTL i tym wirusem. Poniżej zamieszczam informację, które mam nadzieję pomogą mi w usunięciu tego virusa.

System Windows XP - SP2 (aktualnie jadę na trybie awaryjnym)

OLT: http://www.wklej.org/id/798187/

Extras: http://www.wklej.org/id/798186/

Z góry dziękuję za pomoc!

Pozdrawiam,

Grzegorz

Atis · 26 Lipiec 2012 15:31

Zaloguj się na własne imienne konto.

Odinstaluj:

Babylon toolbar on IE

BitTorrentBar Toolbar

DealPly

Facemoods Toolbar

YouTube Downloader Toolbar

Internet Explorer Toolbar 4.6 by SweetPacksToolbar

Do okna Własne opcje skanowania / skrypt wklej:

:OTL SRV - [2012-07-19 15:10:36 | 000,792,512 | ---- | M] (Spigot, Inc.) [Auto | Stopped] – C:\Program Files\Application Updater\ApplicationUpdater.exe – (Application Updater) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/vlt/vlt_1331500881_227967 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=12&barid={9D7BECF0-9F9A-11E1-9443-001966897E4E} IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=12&q={searchTerms}&barid={9D7BECF0-9F9A-11E1-9443-001966897E4E} O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd File not found O32 - AutoRun File - [2009-02-05 21:21:30 | 000,000,067 | ---- | M] () - G:\autorun.inf – [NTFS] :Files C:\Documents and Settings\All Users\Dane aplikacji\036E18DCDAEFB4AA025BB7C74A174311 C:\Documents and Settings\All Users\Dane aplikacji{3155EF3F-3778-4C4C-B0F3-3E48423B8965} :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

aliatic · 26 Lipiec 2012 16:16

Dziękuję za pomoc!

Poniżej zamieszam informację z czynności jakie wykonałem. Tak więc, w tyrbie awaryjnym usunąłem:

Babylon toolbar on IE
BitTorrentBar Toolbar
DealPly
Facemoods Toolbar

Niestety,ale YouTube Downloader Toolbar oraz Internet Explorer Toolbar 4.6 by SweetPacksToolbar usunąć nie mogłem. Wyskakiwała następująca informacja:

scaled.php?server=256&filename=scanpjv.jpg&res=landing

Wkleiłem więc skrypt i zrobiłem reset. Podczas działania programu i ładowania skryptu, doszło do mnie, że mogłem wejść normalnie do systemu i usunąć owe dwa programy. No ale było już za późno, gdyż OTL działał i ładował nowy skrypt. Po restarcie odpaliłem od razu normalny tryb systemu. Poniżej raport jaki mi się wyświetlił.

Raport: http://www.wklej.org/id/798234/

Następnie usunąłem dwa programy, których w trybie awaryjnym nie mogłem usunąć. No i zrobiłem ponowny scan w OTL. Poniżej raporty:

Extras: http://www.wklej.org/id/798235/

OTL: http://www.wklej.org/id/798236/

Obecnie mogę normalnie korzystać z komputera i zostały jedynie ikonki po tym wirusie. Jeśli coś musiałbym poprawić, to proszę o informację. Prosiłbym również o informację jak zabezpieczyć komputer przez ewentualnym ponownym atakiem tego syfu.

Z góry dziękuję za pomoc!

Pozdrawiam,

Grzegorz

Atis · 26 Lipiec 2012 16:23

Odinstaluj Przyspiesz Komputer.

Wklej i kliknij Wykonaj skrypt:

:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKU\S-1-5-21-329068152-1957994488-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/vlt/vlt_1331500881_227967 IE - HKU\S-1-5-21-329068152-1957994488-839522115-1003…\SearchScopes{0D7562AE-8EF6-416d-A838-AB665251703A}: “URL” = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKU\S-1-5-21-329068152-1957994488-839522115-1003…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=100512_2_&babsrc=SP_ss&mntrId=b458e85b000000000000001966897e4e FF - prefs.js…sweetim.toolbar.previous.browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…browser.startup.homepage: “http://start.facemoods.com/?a=ddr” [2012-06-15 13:20:03 | 000,000,000 | —D | M] (BitTorrentBar Community Toolbar) – C:\Documents and Settings\Grzegorz\Dane aplikacji\Mozilla\Firefox\Profiles\fz97an65.default\extensions{88c7f2aa-f93f-432c-8f0e-b7d85967a527} [2012-05-16 23:11:44 | 000,000,000 | —D | M] (Babylon) – C:\Documents and Settings\Grzegorz\Dane aplikacji\Mozilla\Firefox\Profiles\fz97an65.default\extensions\ffxtlbr@babylon.com [2011-11-09 12:02:44 | 000,000,863 | ---- | M] () – C:\Documents and Settings\Grzegorz\Dane aplikacji\Mozilla\Firefox\Profiles\fz97an65.default\searchplugins\conduit.xml [2012-06-21 19:42:57 | 000,004,002 | ---- | M] () – C:\Documents and Settings\Grzegorz\Dane aplikacji\Mozilla\Firefox\Profiles\fz97an65.default\searchplugins\sweetim.xml [2012-05-16 23:11:36 | 000,002,352 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2011-09-07 11:34:45 | 000,002,046 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml O3 - HKU\S-1-5-21-329068152-1957994488-839522115-1003…\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKU\S-1-5-21-329068152-1957994488-839522115-1003…\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-329068152-1957994488-839522115-1003…\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.lnk () O4 - HKU\S-1-5-21-329068152-1957994488-839522115-1003…\Run: [RMF FM Miasto Muzyki] File not found [2012-07-26 15:04:51 | 000,000,000 | —D | C] – C:\Documents and Settings\Grzegorz\Menu Start\Programy\Live Security Platinum [2012-07-24 23:03:21 | 000,000,000 | —D | C] – C:\Program Files\Common Files\Spigot [2012-07-26 15:04:51 | 000,002,248 | ---- | M] () – C:\Documents and Settings\Grzegorz\Pulpit\Live Security Platinum.lnk [2011-09-07 19:32:53 | 000,000,000 | —D | M] – C:\Documents and Settings\Grzegorz\Dane aplikacji\facemoods.com [2012-05-16 23:11:27 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2011-08-27 22:23:33 | 000,000,000 | —D | M] – C:\Documents and Settings\Grzegorz\Dane aplikacji\OpenCandy

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

aliatic · 26 Lipiec 2012 16:55

Nie dało się odinstalować, gdyż nie widniał w zakładce dodaj/usuń program o nazwie (ani podobnej): Przyspiesz Komputer. Był ulokowany w katalogu Program Files i w nim dwa pliki (jeden to log, drugi jakiś podobny). Więc skasowałem cały katalog.

Postępowałem zgodnie z instrukcjami i otrzymałem taki raport z programu Security Check:

Naturalnie zrobię aktualizację programów oznaczonych jako out of date , lub po prostu je usunę.

Obecnie jestem na etapie skanowania dysku programem Malwarebytes-AntiMalware.

Dziękuję za pomoc!

Pozdrawiam,

Grzegorz