Live Security Platinum

blackx432 · 30 Lipiec 2012 16:17

Witam.

Dzisiaj zostałem zaatakowany przez LSP. Po restarcie komputer szybko włączyłem Menedżer zadań Windows i zamknąłem proces LSP.

OTL: http://www.wklej.org/id/800594/

Extras: http://wklej.org/id/800595/

Atis · 30 Lipiec 2012 16:44

Odinstaluj QuickStores-Toolbar, Yontoo, Akamai NetSession Interface.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL SRV - File not found [Auto | Stopped] – -- (XAMPP) SRV - File not found [Auto | Stopped] – C:\WINDOWS\system32\pjikv.dll – (icninjtb) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva398.sys – (XDva398) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva394.sys – (XDva394) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva393.sys – (XDva393) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva391.sys – (XDva391) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva389.sys – (XDva389) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva388.sys – (XDva388) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva285.sys – (XDva285) DRV - File not found [Kernel | On_Demand | Stopped] – C:\TuneUpPortable\App\TuneUp\TuneUpUtilitiesDriver32.sys – (TuneUpUtilitiesDrv) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Program Files\Emerald MU\MuGuard\llck.sys – (LLRING0) DRV - File not found [Kernel | On_Demand | Stopped] – D:\Program Files\AtlantisMT2\AtlantisMT2\injectDLL.sys – (injectDLL) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleXNt.sys – (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleNT.sys – (EagleNT) DRV - File not found [Kernel | Disabled | Unknown] – C:\WINDOWS\System32\drivers\dwshd.sys – (dwshd) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\tjjdf.sys – (abp470n5) [2012-06-27 22:05:40 | 000,000,000 | —D | M] (Yontoo) – C:\Documents and Settings\arek\Dane aplikacji\Mozilla\Firefox\Profiles\pbflpof9.default\extensions\plugin@yontoo.com [2011-08-18 13:37:49 | 000,002,207 | ---- | M] () – C:\Documents and Settings\arek\Dane aplikacji\Mozilla\Firefox\Profiles\pbflpof9.default\searchplugins\MyStart Search.xml [2011-10-11 17:28:07 | 000,000,000 | —D | M] (QuickStores-Toolbar) – C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de [2012-07-30 17:48:48 | 000,000,000 | —D | C] – C:\Documents and Settings\arek\Menu Start\Programy\Live Security Platinum [2012-07-25 14:11:20 | 000,983,552 | ---- | C] (Microsoft Corporation) – C:\Documents and Settings\arek\kernel32.dll [2012-06-29 17:46:08 | 001,797,596 | ---- | C] () – C:\Documents and Settings\arek\Dane aplikacji\mgr.exe [2012-04-25 10:08:58 | 000,143,360 | ---- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\1A3C664.dll [2012-04-25 10:08:58 | 000,004,555 | ---- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\ACA3EF57A9B010C1ACBE [2012-04-25 10:08:58 | 000,000,006 | ---- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\A97AV3AV67BAC1C1800 :Reg [-HKEY_USERS\S-1-5-21-789336058-682003330-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej i kliknij Skanuj:

Pokaż ten log.

blackx432 · 30 Lipiec 2012 17:31

Log skryptu: http://www.wklej.org/id/800636/

Log skanu: http://www.wklej.org/id/800654/

Atis · 30 Lipiec 2012 17:40

Wszystkie programy -> Akcesoria -> Wiersz polecenia

Wklej i zatwierdź enterem:

Do okna Własne opcje skanowania / skrypt wklej:

:OTL O3 - HKLM…\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Files C:\Documents and Settings\arek\Ustawienia lokalne\Dane aplikacji\setup.exe C:\WINDOWS\Installer{2c96ccae-8fbc-9fe5-e83f-d60d14da47eb} C:\Documents and Settings\arek\Ustawienia lokalne\Dane aplikacji{2c96ccae-8fbc-9fe5-e83f-d60d14da47eb} :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej i kliknij Skanuj:

Pokaż ten log.

Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż ten raport.

blackx432 · 30 Lipiec 2012 18:43

Skrypt: http://www.wklej.org/id/800708/

Skan: http://www.wklej.org/id/800709/

FSS: http://www.wklej.org/id/800710/

Atis · 30 Lipiec 2012 19:03

Napraw usługi uszkodzone przez trojana.

Pobierz i rozpakuj archiwum:

http://sendfile.pl/191972/xp.zip

Kliknij prawym na pliku FIX i wybierz Scal.

W panelu sterowania odinstaluj:

Java 7 Update 2

Adobe Reader 9.5.1

Później zainstaluj:

Adobe Reader

Java

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

blackx432 · 30 Lipiec 2012 19:42

Fix zrobiony.

Java i Adobe zrobione.

Sprzątanie zrobione.

Wyłączyłem i ponownie włączyłem przywracanie systemu.

SecurityChek tylko tyle pokazał:

Wszystkie dyski się skanują.

Jeszcze takie info. Po skończeniu Sprzątania zrestartował mi się komputer jak należy. Ale podczas uruchamiania pulpitu zwiesił mi się explorer.exe. Musiałem się wylogować i na nowo zalogować. Może tutaj też coś trzeba zrobić?

Atis · 30 Lipiec 2012 19:44

Jeżeli problem wystąpił tylko raz to nie musisz nic robić.

Wszystkie programy wyglądają na aktualne.

blackx432 · 30 Lipiec 2012 21:23

Oj.

http://www.wklej.org/id/800869/

Wywali SP 3 pliki i mi się błędy pojawiły.

A z tym explorer.exe to już kiedyś miałem ale zrobiłem format i pomogło. Później mi się tak nie działa dopiero tera zaczęło się znowu zwieszać.

Atis · 30 Lipiec 2012 21:47

Parite to jest wirus który infekuje wszystkie pliki wykonywalne.

Skanuj wszystkie partycje i lecz zainfekowane pliki.

Dr.WEB CureIt wykonaj Pełne skanowanie.

blackx432 · 31 Lipiec 2012 09:12

Jest mały problem z Dr.WEB CureIt. Gdy klikam dwukrotnie na launch.exe to nic się nie dzieje. W procesach pojawia się na 1 sekundę launch.exe i znika.

Atis · 31 Lipiec 2012 09:39

Spróbuj przeskanować za pomocą Kaspersky Virus Removal Tool 2011

W zakładce Scan scope zaznacz wszystkie dyski:

Jak zmienić obszar automatycznego skanowania w Kaspersky Virus Removal Tool 2011?

Najlepiej na czystym komputerze utwórz bootowalną płytą lub pendrive.

Dr.Web LiveCD:

http://www.freedrweb.com/livecd/?lng=en

Dr.Web LiveUSB:

http://www.freedrweb.com/liveusb/?lng=en

SARDU pozwala umieścić kilka różnych skanerów na DVD/USB

http://www.sarducd.it/

blackx432 · 31 Lipiec 2012 14:34

Pobrałem plik .iso i otworzyłem przez Deamon. Co dalej?

Atis · 31 Lipiec 2012 14:45

Bootowalna płyta czyli ISO należy wypalić na CD.

Użyj programu Active@ ISO Burner