magw
27 Lipiec 2012 17:59
#1
Witam!
Będę wdzięczny za pomoc w usunięciu Live Security Platinum. Wiem, że jest weekend, ale komputer jest potrzebny do wykonania na poniedziałek kilku pilnych zestawień. Niestety - wirus zablokował wszystko.
Wklejam logi z OTL (wykonane w trybie awaryjnym, bo jako użytkownik nie mogę uruchomić żadnego programu).
OTL : http://www.wklej.org/id/798977/
Extras: http://www.wklej.org/id/798978/
Atis
27 Lipiec 2012 18:26
#2
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\drivers\tifm21.sys – (tifm21) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\HPZipr12.sys – (HPZipr12) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\HPZid412.sys – (HPZid412) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\gtipci21.sys – (GTIPCI21) O3 - HKLM…\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-22960760-971079104-116810999-1006…\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O3 - HKU\S-1-5-21-22960760-971079104-116810999-1006…\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O3 - HKU\S-1-5-21-22960760-971079104-116810999-1006…\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKU\S-1-5-21-22960760-971079104-116810999-1006…\RunOnce: [036DFF5903D7F45A76DC1A6281CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\036DFF5903D7F45A76DC1A6281CB3F95\036DFF5903D7F45A76DC1A6281CB3F95.exe () O20 - Winlogon\Notify\cryptnet32: DllName - (cryptnet32.dll) - C:\WINDOWS\System32\cryptnet32.dll () O32 - AutoRun File - [2004-04-30 17:01:00 | 000,000,053 | -HS- | M] () - E:\Autorun.inf – [NTFS] [2012-07-27 10:32:56 | 000,000,000 | —D | C] – C:\Documents and Settings\marcin\Menu Start\Programy\Live Security Platinum [2012-07-15 21:54:15 | 000,297,816 | ---- | M] () – C:\WINDOWS\System32\shimg.dll [2012-07-27 10:32:55 | 000,002,244 | ---- | C] () – C:\Documents and Settings\marcin\Pulpit\Live Security Platinum.lnk :Files C:\Documents and Settings\All Users\Dane aplikacji\036DFF5903D7F45A76DC1A6281CB3F95 :Reg [-HKEY_USERS\S-1-5-21-22960760-971079104-116810999-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej i kliknij Skanuj:
Pokaż ten log.
magw
27 Lipiec 2012 19:11
#3
Wszystko w zrobiłem w trybie awaryjnym. Mam nadzieję, że to nie zmienia skuteczności.
Raport za skanowania:
http://www.wklej.org/id/799001/
Nowe Logi:
OTL: http://www.wklej.org/id/799002/
Extras: http://www.wklej.org/id/799003/
Atis
27 Lipiec 2012 19:40
#4
Wszystkie programy -> Akcesoria -> Wiersz polecenia
Wklej i zatwierdź enterem:
reg delete HKCU\Software\Classes\CLSID{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg add HKLM\SOFTWARE\Classes\CLSID{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\wbemess.dll /f
Do okna Własne opcje skanowania / skrypt wklej:
:OTL O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O20 - Winlogon\Notify\cryptnet32: DllName - (cryptnet32.dll) - C:\WINDOWS\System32\cryptnet32.dll () [2012-07-27 20:52:13 | 000,114,688 | ---- | C] (SoftThinks) – C:\WINDOWS\System32\chg.exe [2012-07-27 20:56:26 | 000,000,016 | ---- | M] () – C:\WINDOWS\System32\crt.dat :Files C:\WINDOWS\Installer{ff24043d-55f8-5ce9-a20a-8337d9b4b888} C:\WINDOWS\System32\cryptnet32.dll C:\Documents and Settings\marcin\Ustawienia lokalne\Dane aplikacji{ff24043d-55f8-5ce9-a20a-8337d9b4b888} :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej i kliknij Skanuj:
Pokaż ten log.
Pobierz i uruchom Farbar Service Scanner
Zaznacz wszystkie pozycje i kliknij Scan.
Pokaż ten raport.
magw
27 Lipiec 2012 20:17
#5
Teraz już skanowałem na normalnym użytkowniku.
Kolejno zatem:
Efekt skryptu:
http://www.wklej.org/id/799036/
Efekt kolejnego skanowania OTL:
OTL: http://www.wklej.org/id/799037/
Extras: http://www.wklej.org/id/799038/
Log FSS:
http://www.wklej.org/id/799039/
Atis
27 Lipiec 2012 20:39
#6
Pobierz i uruchom The Avenger
Do okna programu wklej:
Kliknij w Execute i zatwierdź restart.
Pokaż raport z usuwania i nowy log z OTL.
magw
27 Lipiec 2012 21:02
#7
Atis
27 Lipiec 2012 21:13
#8
Napraw usługi uszkodzone przez trojana.
Pobierz i rozpakuj archiwum:
http://sendfile.pl/191972/xp.zip
Kliknij prawym na pliku FIX i wybierz Scal.
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
magw
27 Lipiec 2012 21:16
#9
Wielkie, wielkie dzięki za ogromną pomoc…
