Pomoc w usunięciu wirusa "Security Shield"

cllio (Izka 85) 2012-07-24 16:32:23 UTC #1

Mam problem z wirusem Security Shield, już znalazłam w necie i podałam mu "klucz licencyjny", więc mogę go wyłączyć.

Proszę o pomoc w dezynfekcji systemu

OTL

http://www.wklej.org/id/796898/

a tu

Extras

http://www.wklej.org/hash/3223be4ee48/

Atis (Atis) 2012-07-24 17:44:02 UTC #2

Security Shield to mały problem, bo w logu widać składniki ZeroAccess (Sirefef)

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT) O4 - HKU\S-1-5-21-1644491937-1035525444-1417001333-1003..\Run: [AdobeBridge] File not found 2012-07-24 17:09:40 | 000,000,851 | ---- | C -- C:\Documents and Settings\Izka\Menu Start\Programy\Uninstall Security Shield.lnk 2012-07-24 17:09:40 | 000,000,845 | ---- | C -- C:\Documents and Settings\Izka\Pulpit\Uninstall Security Shield.lnk 2012-07-24 17:09:40 | 000,000,835 | ---- | C -- C:\Documents and Settings\Izka\Menu Start\Programy\Security Shield.lnk 2012-07-24 17:09:40 | 000,000,829 | ---- | C -- C:\Documents and Settings\Izka\Pulpit\Security Shield.lnk 2012-07-24 17:09:40 | 000,000,049 | ---- | C -- C:\Documents and Settings\Izka\Pulpit\Security Shield Support.url 2012-07-24 17:09:40 | 000,000,048 | ---- | C -- C:\Documents and Settings\Izka\Ustawienia lokalne\Dane aplikacji\Security Shield.cfg 2012-07-24 16:12:55 | 000,352,256 | ---- | M -- C:\Documents and Settings\Izka\Ustawienia lokalne\Dane aplikacji\wpdpqxxt.exe :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej i kliknij Skanuj:

Pokaż ten log.

cllio (Izka 85) 2012-07-24 18:47:35 UTC #3

Dziękuję za szybką pomoc!

A tu raport z usuwania:

http://www.wklej.org/id/797021/

OTL:

http://www.wklej.org/id/797022/

Atis (Atis) 2012-07-24 19:01:21 UTC #4

Wszystkie programy -> Akcesoria -> Wiersz polecenia

W wierszu polecenia wklej i zatwierdź enterem:

reg delete HKCU\Software\Classes\CLSID{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej i kliknij Skanuj:

Pokaż ten log.

Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż ten raport.

cllio (Izka 85) 2012-07-24 20:43:18 UTC #5

Raport z usuwania:

http://www.wklej.org/id/797083/

Log:

http://www.wklej.org/id/797086/

Farbar raport:

http://www.wklej.org/id/797087/

W międzyczasie Avira zaczęła mi świrować i w kółko usuwam 2 wirusy a one cały czas są wykrywane na nowo :-/

TR/ATRAPS.Gen

TR/ATRAPS.Gen2

Atis (Atis) 2012-07-24 20:49:24 UTC #6

Jaki plik wykrywa jako zainfekowany?

Wyłącz program żeby nie przeszkadzał w usuwaniu:

Kliknij prawym na ikonie obok zegara i odznacz: AntiVir Guard Enable

Wklej i kliknij Wykonaj skrypt:

Pokaż raport i nowy log.

cllio (Izka 85) 2012-07-24 21:29:44 UTC #7

Raport:

http://www.wklej.org/id/797118/

a pliki zainfekowane to C:\WINDOWS]Installer{22cbb6ca-5546-bce8-2182-92913e00dfdc}\U\800000cb.@

i drugi 80000000.@

Atis (Atis) 2012-07-24 21:34:24 UTC #8

Pokaż nowy log.

Wklej i kliknij Skanuj:

Pokaż ten log.

cllio (Izka 85) 2012-07-24 22:11:27 UTC #9

Log:

http://www.wklej.org/id/797151/

Avira już nie krzyczy

Atis (Atis) 2012-07-24 22:16:00 UTC #10

Wyłączyłaś Avire podczas usuwania?

cllio (Izka 85) 2012-07-25 06:46:54 UTC #11

Zrobiłam skan jeszcze raz i tym razem na pewno avira była wyłączona:

http://www.wklej.org/id/797232/

Atis (Atis) 2012-07-25 07:59:56 UTC #12

Chodzi o to żeby wyłączyć na czas usuwania.

Odinstaluj Babylon Toolbar

Wklej i kliknij Wykonaj skrypt:

Pokaż raport i nowy log.

cllio (Izka 85) 2012-07-25 09:01:49 UTC #13

Awira była wyłączona, Babylon odinstalowany

Raport:

http://www.wklej.org/id/797265/

Log

http://www.wklej.org/id/797272/

Atis (Atis) 2012-07-25 09:12:07 UTC #14

OTL nie potrafi tego skasować.

Wyłącz program antywirusowy.

Pobierz i uruchom The Avenger

Do okna programu wklej:

Kliknij w Execute i zatwierdź restart.

Pokaż raport z usuwania i nowy log z OTL.

cllio (Izka 85) 2012-07-25 10:14:38 UTC #15

No to jeszcze raz Avira była wyłączona

Raport z Avengera:

http://www.wklej.org/id/797325/

Log z OTL

http://www.wklej.org/id/797326/

Atis (Atis) 2012-07-25 10:20:58 UTC #16

Wklej i kliknij Wykonaj skrypt:

Napraw usługi uszkodzone przez trojana.

Pobierz i rozpakuj archiwum:

http://sendfile.pl/191972/xp.zip

Kliknij prawym na pliku FIX i wybierz Scal.

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte ... 13117.html

cllio (Izka 85) 2012-07-25 21:17:20 UTC #17

Mam problem z SecurityCheck wyrzuca mi Autolt Error Line-1 Error: Variable must be of type "Object"

ale w sumie pojawił mi się teraz ni stąd checkup http://www.wklej.org/id/797829/

Atis (Atis) 2012-07-25 21:28:49 UTC #18

W panelu sterpwania odinstaluj:

Java 6 Update 32

Adobe Reader 9

Później zainstaluj:

Internet Explorer 8

Java

Adobe Reader

cllio (Izka 85) 2012-07-25 22:14:22 UTC #19

Zrobiłam szybkie skanowanie i był jeden trojan tu jest log http://www.wklej.org/id/797859/ Programy zaktualizowałam, więc już IE6 jest na IE8 w ogóle zapomniałam, że taka przeglądarka istnieje..

Teraz jeszcze puściłam pełny skan przez Malwarebytes dla /C i /D wyniki podam rano, bo pewnie jeszcze to potrwa długo.

Pozdrawiam serdecznie.

-- Dodane 26.07.2012 (Cz) 19:54 --

Wynik pełnego skanu http://www.wklej.org/id/798297/

Czy to już wszystko?

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem