live security platinum - czy jest już usunięty ? czy jeszcze aktywny ?

[liveszok]

Witam,

 

Potrzebuję pomocy. Do usunięcia "live security platinum " zająłem się trochę nie od tej strony (tj. na końcu zorientowałem się że jest OLT).

Częściwo zneutralizowałem go różnymi antywirusami, ale system włącza mi się bardzo długo, komp ledwo chodzi

więc zapewne jeszcze diabelstwo się replikuje.

Proszę o pomoc

Logi z OLT wyglądają następująco.

 

OLT : http://wklej.org/id/798562/

Extras : http://wklej.org/id/798563/

[picasso]

Live Security Platinum to nie jedyna infekcja. W systemie czynny o wiele bardziej inwazyjny (szkody w Windows) trojan ZeroAccess. Wymagane skany identyfikujące punkty ładowania oraz zakres szkód:

 

1. Uruchom SystemLook x64 i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy log.

 

2. Uruchom Farbar Service Scanner, zaznacz wszystko do skanu. Przedstaw wynikowy log.

 

 

 

.

[liveszok]

Dziękuję za szybką odpowiedź.

 

Ad1) Wykonałem jak mówisz. Link do wyników : http://wklej.org/id/798567/

Ad2) Link do wyników : http://wklej.org/id/798569/

[picasso]

Nie widać w skanie modyfikacji ZeroAccess, ale na dysku jest jego folder. Skan z SystemLook może być "oszukany", a to dlatego, że jest tu niespójność kont. Folder infekcji jest na koncie Mike:

 

[2012-07-26 18:24:02 | 000,023,040 | ---- | C] () -- C:\Users\Mike\AppData\Local\{eaf8f410-9473-2c51-7146-81a949c823cb}\U\800000cb.@
[2012-07-26 18:24:01 | 000,001,712 | ---- | C] () -- C:\Users\Mike\AppData\Local\{eaf8f410-9473-2c51-7146-81a949c823cb}\U\00000001.@
[2012-01-11 10:23:58 | 000,002,048 | -HS- | C] () -- C:\Users\Mike\AppData\Local\{eaf8f410-9473-2c51-7146-81a949c823cb}\@

 

Skan w SystemLook zrobiony na koncie Admin. W tym konkretnym przypadku ma to duże znaczenie, ponieważ ścieżka w C:\Users jest punktowana w rejestrze w kluczu, który jest tylko na koncie powiązanym. Proszę o ponowienie skanu SystemLook z poziomu konta Mike.

 

 

 

.

[liveszok]

Siedziałem na koncie Admin, bo miałem wcześniej problem z wejście na konto Mike, ale teraz się udało.

Raporty z poziomu konta Mike wyglądają następująco :

1) http://wklej.org/id/798577/

2) http://wklej.org/id/798578/

[picasso]

Mnie chodzi tylko o ponowienie SystemLook a nie Farbar Service Scanner, bo tylko w pierwszym jest skan różnicujący konta. I log z SystemLook tu właśnie podany nadal nie z tego konta co należy: "Log created at 09:14 on 27/07/2012 by Admin".

[liveszok]

Rozumiem.

Jest tylko jeden problem. Gdy uruchamiam System Look z poziomu konta Mike Windows wymusza na mnie uruchomienie tego programu jako admin i prosi o podanie hasła do admina

po podaniu hasła program się wykonuje ale raport generuje takie jak generuje - czyli pisze by Admin. Nie wiem jak uruchomić program w innym trybie...

[picasso]

Mike nie ma uprawnień administracyjnych. To inna metoda sprawdzenia obecności klucza. Z poziomu konta Mike uruchom linię komend cmd i wklej to:

 

reg export HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} C:\Users\Mike\Desktop\log.reg

 

Jeśli nie pojawi się komunikat zwrotny "BŁĄD: System nie znalazł w rejestrze określonego klucza albo wartości", na Pulpicie powstanie plik log.reg. Otwórz go w Notatniku i przeklej co się wyeksportowało.

 

 

.

[liveszok]

OK. Nadałem uprawnienia administratora dla konta Mike.

I zrobiłem jak na początku prosiłeś.

http://wklej.org/id/798600/

 

jeszcze wynik tę drugą metodą - niestety przez przypadek zanim otworzyłem to notatnikiem to uruchomiłem ten plik to był komunikat że coś "wyeksportowan do rejestru czy coś"

http://wklej.org/id/798615/

[picasso]

Apropos prosiłeś = jestem kobietą. Skan z SystemLook pokazuje klucz trojana, infekcja definitywnie czynna. Ta komenda w cmd była już niepotrzebna po rekonfiguracji uprawnień Mike, gdyż SystemLook pobrał te same dane. A uruchomienie tego pliku REG to ironia, bo to dodaje ponownie klucz infekcji do rejestru. W tym przypadku i tak bez znaczenia, gdyż trojan już jest tam zapisany i ponowne omyłkowe wbicie tych samych danych nie czyni różnicy na tym etapie.

 

 

---

Usuwanie musi być prowadzone z konta Mike:

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder: 

C:\ProgramData\225932DF000905D6DD042AF4F875EF60
C:\Users\Mike\AppData\Local\{eaf8f410-9473-2c51-7146-81a949c823cb}
C:\Users\Admin\AppData\Roaming\Babylon
C:\ProgramData\Premium
C:\ProgramData\Babylon
C:\ProgramData\OptimizerPro
C:\ProgramData\WxDFastUpdater
C:\ProgramData\wxDfast
C:\ProgramData\InstallMate
 
DeleteFile:
"C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml"
C:\user.js
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Zrób nowe logi OTL z opcji Skanuj (z poziomu konta Mike, Admina już sprawdziłam) + log z SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

Wklej do posta zawartość raportu BlitzBlank, doczep też w załącznioku log z AdwCleaner.

 

 

.

[liveszok]

Systemlook : http://wklej.org/id/798623/

AdwCleaner : http://wklej.org/id/798625/

BlitzBlank : http://wklej.org/id/798627/

OTL : http://wklej.org/id/798630/

 

hmmmm,jak to wygląda ?

[picasso]

Zapomniałeś o logu OTL Extras z poziomu konta Mike (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Usuwanie podstawowe wykonane, z jednym drobnym zgrzytem = BlitzBlank wywalił błąd na koniec i nie przetworzył pliku BAT.

 

1. Z poziomu konta Mike z prawokliku na FIX.BAT wybierz opcję "Uruchom jako Administrator". Ta akcja doczyści klucz po ZeroAccess.

 

2. System zamula i aż dziw, że startuje. Widzę wyraźną zmianę na niekorzyść między dwoma zestawami logów. W międzyczasie doinstalowałeś nowy skaner. Aktualnie w tle działają równolegle Avast + KIS. Zgroza. Jeden z nich koniecznie do deinstalacji, od razu też odmontuj GridinSoft Trojan Killer + wątpliwy Enigma SpyHunter. Następnie z poziomu Trybu awaryjnego dopraw specjalizowanym usuwaczem, w zależności który wybrałeś do usunięcia: Avast Uninstall Utility lub Kaspersky Remover.

 

3. Mini poprawka pod kątem odpadków infekcji / adware + czyszczenie Tempów. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
O4 - HKCU..\Run: []  File not found
[2012-07-26 18:25:03 | 000,000,000 | ---D | C] -- C:\Users\Mike\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras z Mike).

 

 

.

[liveszok]

Ad1) zrobione

Ad2) zrobione

Ad3) http://www.wklej.org/id/798691/

Ad4) zaraz zrobię

 

ok jest

ad4 )

OTL : http://wklej.org/id/798702/

EXTRAS : http://wklej.org/id/798704/

 

jak to wygląda tym raziem.

ps. komp znacznie przyspieszył - prędkość normalna lub prawie normalna

[picasso]

liveszok, proszę używaj opcję Edytuj, gdy nikt jeszcze nie odpisał, a chcesz coś uzupełnić. Już dwa razy tu scalałam posty.

 

Wszystkie zadania wykonane. Wykonaj następujące czynności:

 

1. Obiekty adware były czyszczone (via AdwCleaner + skrypt OTL) z poziomu konta Mike, czyli tylko wpisy tego konta + część wspólna dla obu kont. Na Adminie też jednak były. Przełącz się na konto Admin. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall + resztę narzędzi dokasuj ręcznie, w tym poniżej zakreślone foldery.

 

C:\ProgramData\AVAST Software

C:\Program Files\AVAST Software

C:\Program Files\Enigma Software Group

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

 

 

 

.

[liveszok]

Przepraszam za uprzednie złe wpisy na wątku.

Zrobiłem wszystko tak jak mówiłeś.

Logi z obu kont wyglądają następująco.

Bardzo proszę o info czy to znaczy że jest już czysto ?

 

 

Mike:

OTL > http://www.wklej.org/id/798892/

Extras > http://www.wklej.org/id/798894/

Malwarebytes > http://www.wklej.org/id/798897/

 

Admin:

OTL > http://www.wklej.org/id/798898/

Extras > http://www.wklej.org/id/798900/

Malwarebytes > http://www.wklej.org/id/798902/

[picasso]

Apropos kolejnego mówiłeś = przypominam Ci, jestem kobietą.

 

Nie prosiłam Cię o logi z OTL. Dostałeś jawne polecenie użycia Sprzątania, które kasuje z dysku OTL wraz z całym inwentarzem. To jest jednoznaczne. Chodziło już tylko o przedstawienie skanu z MBAM, o ile coś by wykrył. A nic nie wykrył. Tak więc i nawet ten log zbyteczny. Na zakończenie:

 

1. Wykonaj ważne aktualizacje: KLIK. Tu z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 24
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4
"{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----. sprawdź
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla FF/Opera) ----> już jest najnowsza
"Mozilla Firefox (3.6.23)" = Mozilla Firefox (3.6.23)
"Mozilla Thunderbird (7.0.1)" = Mozilla Thunderbird (7.0.1)
"Opera 11.11.2109" = Opera 11.11
"Opera 11.60.1185" = Opera 11.60

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

I żegnamy się.

 

.

[liveszok]

Najmocniej przepraszam Panią.

Dziękuję za pomoc puszczę małe wsparcie :-)

Jestem pełen podziwu dla twojego profesjonalizmu picasso.

Będę wszystkim polecał.