Problem z Live Security Platinum

[Brainslavska]

Witam wszystkich. Wczoraj wieczorem na moim komputerze pojawił się live security platinum, dzięki google dowiedziałam się co stanowi problem,jak i to, że na waszym forum mogę otrzymać pomoc. Dzisiaj ściągnęłam OTL jak i wszystkie inne proponowane przez was programy żaden jednak nie chciał się uruchomić (pojawiał się komunikat o tym że są one zainfekowane). Wkońcu więc doczytałam że powinnam przejść do trybu awaryjnego i wtedy zrzucić na komputer OTL. Tak też zrobiłam i udało się, a oto efekty skanowania. Bardzo prosiłabym o dalszą pomoc.

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.order.1: "Ask"
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-515967899-1202660629-725345543-1003..\RunOnce: [036DFF98000C112E930D2CCE4A174311] H:\Documents and Settings\All Users\Dane aplikacji\036DFF98000C112E930D2CCE4A174311\036DFF98000C112E930D2CCE4A174311.exe ()
DRV - File not found [Kernel | On_Demand | Stopped] -- G:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand | Stopped] -- G:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- G:\install4\MSICPL.sys -- (MSICPL)
DRV - File not found [Kernel | On_Demand | Stopped] -- G:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | Auto | Stopped] -- H:\Program Files\Anti Trojan Elite\ATEPMon.sys -- (ATE_PROCMON)
 
:Files
H:\Documents and Settings\All Users\Dane aplikacji\036DFF98000C112E930D2CCE4A174311
H:\Documents and Settings\klpo\Menu Start\Programy\Live Security Platinum
H:\Documents and Settings\klpo\Pulpit\Live Security Platinum.lnk
H:\Documents and Settings\klpo\ndtok.exe
H:\Documents and Settings\klpo\Dane aplikacji\Mozilla\Firefox\Profiles\92q432rf.default\searchplugins\ask.xml
H:\Program Files\mozilla firefox\searchplugins\babylon.xml
H:\windows\System32\crash
H:\found.*
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Przeprowadź deinstalacje adware:

- Otwórz Firefox i w dodatkach odinstaluj: Ask Toolbar for Firefox, Conduit Engine, Babylon, Vuze Remote Community Toolbar, YouTube Downloader Toolbar.

- Przez Panel sterowania odinstaluj: Ask Toolbar, Babylon toolbar, Vuze_Remote Toolbar, YouTube Downloader Toolbar v6.1.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku H.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras + zaznacz opcję Pomiń pliki Microsoftu). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[Brainslavska]

Edytuję znowu ten post bo miałam wcześniej problemy z uruchomieniem OTL i usunięciem ()wszystko się blokowało), razmi się udało, ale pojawił siękomunikat że nie powiodło się zapisanie raportu z usuwania i komputer się nie zrestartował. Przez to używałam podanegomi skryptu kilkakrotnie,mam nadzieję że to nic nie popsuło? Wreszcie udałomi się wszystko tak jak chyba udać się powinno oprócz tego, że w dodatkach w firefox nie miałamn czegoś takiego jak conduit engine. Mam nadzieję że zamieszczam tu wszystko co powinnam i czekam na odpowiedź czy wszystko ok.

OTL2.txt

AdwCleanerS1.txt

[picasso]

Przez to używałam podanegomi skryptu kilkakrotnie,mam nadzieję że to nic nie popsuło?

 

Ponawianie skryptu jest bez sensu, bo to skrypt jednorazowy. Nie zrobi po raz drugi tego samego, nie usunie rzeczy już usuniętych w pierwszym podejściu. Pomijając już to, zadania pomyślnie wykonane i możemy przejść do tej partii:

 

1. Mini poprawka na odpadki adware i po skanerach. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=2&q="
[2011-03-23 21:05:41 | 000,000,000 | ---D | M] (Conduit Engine) -- H:\Documents and Settings\klpo\Dane aplikacji\Mozilla\Firefox\Profiles\92q432rf.default\extensions\engine@conduit.com
[2012-07-15 15:44:30 | 000,000,879 | ---- | M] () -- H:\Documents and Settings\klpo\Dane aplikacji\Mozilla\Firefox\Profiles\92q432rf.default\searchplugins\conduit.xml
[2011-06-21 11:24:06 | 000,032,768 | ---- | M] () -- H:\windows\System32\drivers\sp_rsdrv2.sys
[2010-11-06 15:36:49 | 000,000,000 | ---D | C] -- H:\Documents and Settings\All Users\Dane aplikacji\SUPERAntiSpyware.com
[2010-10-10 22:42:26 | 000,000,000 | ---D | C] -- H:\Documents and Settings\klpo\Ustawienia lokalne\Dane aplikacji\AVG Security Toolbar
[2010-10-10 22:32:22 | 000,000,000 | ---D | C] -- H:\Documents and Settings\klpo\Dane aplikacji\AVG10
[2010-10-10 22:07:05 | 000,000,000 | ---D | C] -- H:\Documents and Settings\All Users\Dane aplikacji\MFAData
[2010-09-10 20:34:12 | 000,000,000 | ---D | C] -- H:\Documents and Settings\klpo\Ustawienia lokalne\Dane aplikacji\Symantec
[2010-08-09 17:07:32 | 000,000,000 | ---D | C] -- H:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files
[2010-05-04 20:09:47 | 000,000,000 | ---D | C] -- H:\Program Files\Anti Trojan Elite
[2010-04-28 20:10:31 | 000,000,000 | ---D | C] -- H:\Program Files\SkanerOnline
[2010-04-11 11:34:57 | 000,000,000 | ---D | C] -- H:\Documents and Settings\All Users\Dane aplikacji\Symantec
[2010-04-11 11:34:57 | 000,000,000 | ---D | C] -- H:\Documents and Settings\All Users\Dane aplikacji\Norton
[2010-04-11 11:34:55 | 000,000,000 | ---D | C] -- H:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller
[2010-04-11 10:58:22 | 000,000,000 | ---D | C] -- H:\Documents and Settings\klpo\Ustawienia lokalne\Dane aplikacji\Conduit
[2009-11-01 19:14:04 | 000,000,000 | ---D | C] -- H:\Documents and Settings\All Users\Menu Start\Programy\Free Lunch Design
[2009-06-15 17:03:05 | 000,000,000 | ---D | C] -- H:\Program Files\AVG
[2009-05-07 00:09:23 | 000,000,000 | ---D | C] -- H:\Program Files\Alwil Software

 

Klik w Wykonaj skrypt.

 

2. Dodatkowa akcja na szczątki po AVG. Z poziomu Trybu awaryjnego zastosuj AVG Remover.

 

3. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

6. Wykonaj podstawowe aktualizacje: KLIK. Konkretnie system w krytycznym stanie aktualizacji (brak SP3+IE8 i łat wydanych po nich) oraz widoczne wersje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java™ 6 Update 17
"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2
"{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

 

 

PS. Gadu-Gadu 10 to ciężki reklamodawca, glównie pożera zasoby. Sugeruję lżejszy alternatywny program z obsługą sieci Gadu: WTW, Kadu, Mranda, AQQ. Opisy w artykule Darmowe komunikatory.

 

 

.

[Brainslavska]

Anti-malware cos wykrył.

mbam-log-2012-07-28 (17-04-12).txt

[picasso]

Wyniki nie przedstawiają troski:

- Katalog Thinstall to fałszywy alarm na obiektach wirtualizowanych (KLIK), tu od Office, niemniej i tak go w całości ręcznie skasuj ze względu na zaśmiecenie dysku aplikacją jakoby "portable".

- Wyniki PUM.Disabled.SecurityCenter to wyłączone powiadomienia Centrum zabezpieczeń, a interpretacja tego zależy od tego kto / co deaktywowało funkcję (mógł to zrobić użytkownik samodzielnie, mogła infekcja).

 

Kroki końcowe zadane, przypominam o ważnych aktualizacjach. Temat rozwiązany i zamykam.

 

 

 

.