Live security platinium zablokowany profil

[kolbe]

Witam. jestem nowy na forum więć proszę o wyrozumiałość

Wczoraj na jednym z profili mojego komputera pojawił się nieproszony gość w postaci w/w "antywirusa"

Jeden profil działa prawidłowo a drugi jest skutecznie blokowany. Zgodnie z instrukcją wykonałem logi w programie olt i mam nadzieję że zrobiłem to dobrze bo jestem laikiem. Proszę o pomoc i łopatologiczne instrukcje jak mam dalej postępować

Z góry dziękuję za pomoc

OTL.Txt

Extras.Txt

[Landuss]

Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

[kolbe]

proszę bardzo

 

SystemLook 30.07.11 by jpshortstuff

Log created at 18:32 on 26/07/2012 by Piotr

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(Unable to open key - key not found)

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

@="MruPidlList"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

@="%SystemRoot%\system32\shell32.dll"

"ThreadingModel"="Apartment"

 

 

========== filefind ==========

 

Searching for "services.exe"

C:\Windows\System32\services.exe --a---- 279552 bytes [14:30 22/10/2009] [06:27 11/04/2009] 8737764F4FD36D6808EE80578409C843

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:24 21/01/2008] [02:24 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [14:30 22/10/2009] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

 

-= EOF =-

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (Tosrfcom)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igdkmd32.sys -- (igfx)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\iaStor.sys -- (iaStor)
IE - HKU\S-1-5-21-3810736084-3119334004-3840044883-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=101434&mntrId=7cc4aad20000000000000024d2418b1d"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&affID=101434&mntrId=7cc4aad20000000000000024d2418b1d&q="
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
\3d0c9znn.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011-09-22 22:43:05 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Piotr\AppData\Roaming\mozilla\Firefox\Profiles\3d0c9znn.default\extensions\ffxtlbr@babylon.com
[2011-09-22 22:43:01 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
 
:Files
C:\ProgramData\036DFF85004C81CB196F1F562F3B707C
C:\Windows\Installer\{7954fcc8-123d-4f07-1589-f70d59b45213}
C:\Users\Gosia.Piotr-PC.000\AppData\Local\{7954fcc8-123d-4f07-1589-f70d59b45213}
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

[kolbe]

mam nadzieję żę nie dałem ciała z tymi logami..

FSS.txt

OTL.Txt

[Landuss]

Teraz będziesz naprawiał usunięte usługi.

 

1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow):

• Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK.
  
• Rekonstrukcja usługi Centrum zabezpieczeń: KLIK.
  
• Rekonstrukcja usługi Windows Defender: KLIK.
  

2. Po wykonaniu wszystkiego pokaż nowy log z FSS.

[kolbe]

o co tu chodzi???

 

Rekonstrukcja kluczy usług:

 

(...)

 

Pierwszy etap polega na odtworzeniu wpisów rejestru usług. Wyłącz opcję ukrywającą rozszerzenia, odznaczając opcję Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukrywaj rozszerzenia dla znanych typów plików. Następnie pobierz pasujący plik i zmień mu rozszerzenie z TXT na REG. Z prawokliku na dany plik REG wybierz opcję Scal.

 

 

 

na początku może pierwszy etap... gdzie pozmieniać te rozszerzenia?

[Landuss]

Pobierz wszystkie pliki na pulpit i pozmieniaj rozszerzenie na .REG, albo otwórz kazdy w notatniku i zapisz z rozszerzeniem .reg. Prosciej sie nie da.

Edytowane 26 Sierpnia 2012 przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso