Live security platinum proszę o pomoc

arekkrzysiek · 5 Sierpień 2012 07:39

Witam moje logi , bardzo prosze o pomoc

http://www.wklej.org/id/804225/ - OTL

http://www.wklej.org/id/804224/ - Extras

– Dodane 05.08.2012 (N) 10:08 –

Bardzo proszę o pomoc w usunięciu tego ustrojstwa.

Atis · 5 Sierpień 2012 08:10

Odinstaluj Conduit Engine, BFlix, uTorrentBar Toolbar.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/idg/idg_1326570886_847806 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = www.v9.com/idg/idg_1326570886_847806 IE - HKLM…\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - SOFTWARE\Classes\CLSID{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\InprocServer32 File not found IE - HKLM…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKU\S-1-5-21-2591616559-2197516387-4011961651-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/idg/idg_1326570886_847806 IE - HKU\S-1-5-21-2591616559-2197516387-4011961651-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchya.com/?chnl=fxtb-01&s=0&c … tBtDtBtDyB IE - HKU\S-1-5-21-2591616559-2197516387-4011961651-1000…\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - SOFTWARE\Classes\CLSID{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\InprocServer32 File not found IE - HKU\S-1-5-21-2591616559-2197516387-4011961651-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&AF=100996&babsrc=SP_ss&mntrId=126f7df60000000000000060b34b07b8 IE - HKU\S-1-5-21-2591616559-2197516387-4011961651-1000…\SearchScopes{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: “URL” = http://www.daemon-search.com/search?q={searchTerms} IE - HKU\S-1-5-21-2591616559-2197516387-4011961651-1000…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}” FF - prefs.js…browser.startup.homepage: “www.v9.com/idg/idg_1326570886_847806” FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=” [2012-07-17 12:28:50 | 000,000,000 | —D | M] (uTorrentBar Community Toolbar) – C:\Users\w7\AppData\Roaming\mozilla\Firefox\Profiles\oq8c3v9r.default\extensions{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-06-20 10:16:18 | 000,000,000 | —D | M] (DownloadnSave) – C:\Users\w7\AppData\Roaming\mozilla\Firefox\Profiles\oq8c3v9r.default\extensions\4fe1756b833d8@4fe1756b83411.info [2011-07-13 09:25:32 | 000,000,000 | —D | M] (Conduit Engine) – C:\Users\w7\AppData\Roaming\mozilla\Firefox\Profiles\oq8c3v9r.default\extensions\engine@conduit.com [2012-01-09 23:06:40 | 000,000,000 | —D | M] (Babylon) – C:\Users\w7\AppData\Roaming\mozilla\Firefox\Profiles\oq8c3v9r.default\extensions\ffxtlbr@babylon.com [2012-01-14 20:35:37 | 000,000,000 | —D | M] (Bflix extension) – C:\Users\w7\AppData\Roaming\mozilla\Firefox\Profiles\oq8c3v9r.default\extensions\info@thebflix.com [2011-07-13 09:25:31 | 000,000,863 | ---- | M] () – C:\Users\w7\AppData\Roaming\Mozilla\Firefox\Profiles\oq8c3v9r.default\searchplugins\conduit.xml [2011-07-13 10:45:00 | 000,002,055 | ---- | M] () – C:\Users\w7\AppData\Roaming\Mozilla\Firefox\Profiles\oq8c3v9r.default\searchplugins\daemon-search.xml [2012-02-07 23:53:17 | 000,001,497 | ---- | M] () – C:\Users\w7\AppData\Roaming\Mozilla\Firefox\Profiles\oq8c3v9r.default\searchplugins\searchya.xml [2012-01-14 09:34:35 | 000,002,310 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012-01-14 21:54:46 | 000,002,415 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\prxtbuTor.dll File not found O3 - HKLM…\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\prxtbuTor.dll File not found O3:64bit: - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4 - HKLM…\Run: [NPSStartup] File not found O4 - HKU\S-1-5-21-2591616559-2197516387-4011961651-1000…\Run: [DAEMON Tools Lite] “D:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe” -autorun File not found O4 - HKU\S-1-5-21-2591616559-2197516387-4011961651-1000…\Run: [EA Core] “C:\Program Files (x86)\Electronic Arts\EADM\Core.exe” -silent File not found O4 - HKU\S-1-5-21-2591616559-2197516387-4011961651-1000…\Run: [Gadu-Gadu 10] “D:\Program Files (x86)\Gadu-Gadu 10\gg.exe” File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-21-2591616559-2197516387-4011961651-1000…\RunOnce: [7531CCA90000279622CC29BAF875F002] C:\ProgramData\7531CCA90000279622CC29BAF875F002\7531CCA90000279622CC29BAF875F002.exe () [2012-08-05 09:03:45 | 000,000,000 | —D | C] – C:\Users\w7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum [2012-08-05 09:03:45 | 000,002,052 | ---- | M] () – C:\Users\w7\Desktop\Live Security Platinum.lnk :Files C:\ProgramData\7531CCA90000279622CC29BAF875F002 :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pobierz i uruchom SystemLook_x64

Do okna programu wklej:

Kliknij Look i pokaż raport.

Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż ten raport.

arekkrzysiek · 5 Sierpień 2012 08:41

Witam wszytko zrobiłem jak napisałeś niżej raporty

raport z usuwania http://www.wklej.org/id/804265/

log ze skanuj http://www.wklej.org/id/804267/

SystemLook_x64 raport http://www.wklej.org/id/804268/

FSS raport http://www.wklej.org/id/804270/

Atis · 5 Sierpień 2012 09:23

Uruchom cmd.exe jako administrator:

Jak uruchomić polecenie z pełnymi uprawnieniami?

Wklej i zatwierdź enterem:

sfc /scanfile=C:\Windows\system32\services.exe

reg delete HKCU\Software\Classes\CLSID{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

Zrestartuj system.

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport z SystemLook:

arekkrzysiek · 5 Sierpień 2012 12:56

Zrobiłem tak jak kazałeś niżej raporty

Raport z usuwania http://www.wklej.org/id/804465/

Raport OTl log http://www.wklej.org/id/804471/

Raport systemlook http://www.wklej.org/id/804468/

Jeszcze mam problem z zaporą Windows jak chce ja włączyć wyskakuje mi kod błędu 0x80070424

Atis · 5 Sierpień 2012 13:11

Do okna Własne opcje skanowania / skrypt wklej:

:OTL [2012-08-05 14:25:37 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.416909AF7F4E1C89 [2012-08-05 14:12:26 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.BDA6F232EE6B57A3 [2012-08-05 14:12:26 | 000,050,392 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\drivers\vznjczii.sys [2012-08-05 13:57:24 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.716F552B042A917E [2012-08-05 13:42:28 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.238AB4F5A0573815 [2012-08-05 12:17:47 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.2F66388A5BF2199C [2012-08-05 12:17:47 | 000,050,392 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\drivers\ygzvtmgf.sys [2012-08-05 12:14:09 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.C8198E278804CEC7 [2012-08-05 12:14:09 | 000,050,392 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\drivers\seftzuoe.sys [2012-08-05 12:10:35 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.C66176C0A9278FA7 [2012-08-05 12:03:13 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.446EC603F65B8990 [2012-08-05 12:03:13 | 000,050,392 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\drivers\opmjbtvs.sys [2012-08-05 11:49:22 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.A2FBC6F777F37F8F [2012-08-05 11:46:54 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.29D281AEA346DF25 [2012-08-05 11:43:21 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.C867B8D322139A04 [2012-08-05 11:25:58 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.AE81F677FB938469 [2012-08-05 11:17:39 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.B9FF9A4F9E77BC26 [2012-08-05 11:17:39 | 000,050,392 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\drivers\agnkxweb.sys [2012-08-05 11:14:48 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.232CA11AA33739E8 [2012-08-05 11:10:58 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.3C5A5FEED7318FBE [2012-08-05 11:07:59 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.68CA902E892D9361 [2012-08-05 11:05:33 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.F256C8A5FFF42293 [2012-08-05 11:03:14 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.60CAB232AA76BFAD [2012-08-05 11:00:50 | 000,328,704 | ---- | C] (Microsoft Corporation) – C:\Windows\SysNative\services.exe.924FE09EC1D70C06 :Files C:\Windows\Installer{3160da6a-77f7-32dc-e185-0632865a3152} :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport z SystemLook:

arekkrzysiek · 5 Sierpień 2012 13:30

raport z usuwania http://www.wklej.org/id/804503/

raport z otl log http://www.wklej.org/id/804506/

raport z systemlook http://www.wklej.org/id/804507/

Atis · 5 Sierpień 2012 14:03

Pobierz i uruchom BlitzBlank

Na karcie Script wklej:

Kliknij Execute Now i zatwierdź restart komputera.

Pokaż nowy log z OTL

arekkrzysiek · 5 Sierpień 2012 14:46

raport z otl http://www.wklej.org/id/804572/

Atis · 5 Sierpień 2012 14:55

Nie wiadomo jaka jest przyczyna, że po restarcie wszystko wraca.

Przeskanuj dysk Kaspersky Virus Removal Tool 2011

Napisz czy coś wykrył.

arekkrzysiek · 5 Sierpień 2012 15:35

Nic nie wykrył a co z ta zaporom i tym kodem błędu 0x80070424

Atis · 5 Sierpień 2012 15:44

Nie masz innych zmartwień niż zapora?

Masz zainfekowany system i dopóki infekcja nie zostanie usunięta zapora nie ma znaczenia.

Trojan ZeroAccess (Sirefef) kasuje klucz rejestru od zapory i kilku innych usług.

Pokaż raport z BlitzBlank C:\blitzblank.log

arekkrzysiek · 5 Sierpień 2012 16:09

raport z BlitzBlank http://www.wklej.org/id/804619/

Atis · 5 Sierpień 2012 16:33

Te raport wskazuje, że były użyte dwa skrypty, a w drugim kasowany kosz systemowy i inne pliki.

Wytłumacz o co chodzi z tym drugim skryptem?

arekkrzysiek · 5 Sierpień 2012 16:40

nie mam pojęcia nie znam się na tym.

– Dodane 05.08.2012 (N) 18:42 –

sprawdzałem też Microsoft Security Essentials i nie znajduje żadnych wirusów.

Atis · 5 Sierpień 2012 16:46

Na czym się nie znasz?

Ktoś musiał napisał ten skrypt.

arekkrzysiek · 5 Sierpień 2012 16:48

to co trzeba go usunąć?

Atis · 5 Sierpień 2012 16:54

Wklej i kliknij Execute Now:

DeleteFile: C:\Windows\System32\services.exe.416909AF7F4E1C89 C:\Windows\System32\services.exe.BDA6F232EE6B57A3 C:\Windows\System32\drivers\vznjczii.sys C:\Windows\System32\services.exe.716F552B042A917E C:\Windows\System32\services.exe.238AB4F5A0573815 C:\Windows\System32\services.exe.2F66388A5BF2199C C:\Windows\System32\drivers\ygzvtmgf.sys C:\Windows\System32\services.exe.C8198E278804CEC7 C:\Windows\System32\drivers\seftzuoe.sys C:\Windows\System32\services.exe.C66176C0A9278FA7 C:\Windows\System32\services.exe.446EC603F65B8990 C:\Windows\System32\drivers\opmjbtvs.sys C:\Windows\System32\services.exe.A2FBC6F777F37F8F C:\Windows\System32\services.exe.29D281AEA346DF25 C:\Windows\System32\services.exe.C867B8D322139A04 C:\Windows\System32\services.exe.AE81F677FB938469 C:\Windows\System32\services.exe.B9FF9A4F9E77BC26 C:\Windows\System32\drivers\agnkxweb.sys C:\Windows\System32\services.exe.232CA11AA33739E8 C:\Windows\System32\services.exe.3C5A5FEED7318FBE C:\Windows\System32\services.exe.68CA902E892D9361 C:\Windows\System32\services.exe.F256C8A5FFF42293 C:\Windows\System32\services.exe.60CAB232AA76BFAD C:\Windows\System32\services.exe.924FE09EC1D70C06

Później pokaż nowy log z OTL.

arekkrzysiek · 5 Sierpień 2012 17:05

wyskakuje mi tai komunikat i nie mogę usunąć.

syntax error in line 2 invalid file path

Atis · 5 Sierpień 2012 17:16

Wklej to: