Live Security Platinum - kolejna ofiara

[kasiab]

Witam,

 

Bardzo proszę o pomoc w usunięciu tego cholerstwa, widzę że to prawdziwa plaga w ostatnich tygodniach. komputer mogę uruchomić tylko w trybie awaryjnym, bo to cholerstwo w normalnym trybie uniemożliwa uruchomienie czegokolwiek. w razie potrzeby mam jeszcze jednego laptopa pod ręką. będę wdzięczna za pomoc. logi w załączeniu.

OTL.Txt

Extras.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Search the web"
FF - prefs.js..browser.search.order.1: "Search the web"
FF - prefs.js..browser.search.selectedEngine: "Search the web"
FF - prefs.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" 
FF - user.js..browser.search.selectedEngine: "Search the web"
FF - user.js..browser.search.order.1: "Search the web"
FF - user.js..browser.search.defaultenginename: "Search the web"
FF - user.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.0.900
FF - prefs.js..extensions.enabledItems: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.0.900
FF - prefs.js..extensions.enabledItems: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.2.5.2
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files (x86)\DivX\DivX OVS Helper\npovshelper.dll File not found
IE:64bit: - HKLM\..\SearchScopes\{6C71F986-38DA-42C6-B91A-95676305341D}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKLM\..\SearchScopes\{6C71F986-38DA-42C6-B91A-95676305341D}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=bb967460-d0c1-11e0-9600-00238bafbef3&q={searchTerms}"
IE - HKLM\..\SearchScopes\{6D366C9E-FE0A-416C-8BC7-75644F756F4D}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKCU\..\SearchScopes\{6C71F986-38DA-42C6-B91A-95676305341D}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=bb967460-d0c1-11e0-9600-00238bafbef3&q={searchTerms}"
IE - HKCU\..\SearchScopes\{6D366C9E-FE0A-416C-8BC7-75644F756F4D}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKCU\..\SearchScopes\{B4C4ECE6-A94D-40FD-9A13-774DBD100951}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}"
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\hp\AppData\Roaming\toolplugin\toolbar.dll File not found
O4 - HKLM..\Run: [bEWINTERNET-PLSessionManager] "C:\Program Files (x86)\OrangeBS\BEWInternet-PL\SessionManager\SessionManager.exe" File not found
O4 - HKLM..\Run: [DivX Download Manager] "C:\Program Files (x86)\DivX\DivX Plus Web Player\DDmService.exe" start File not found
O4 - HKLM..\Run: [unlockerAssistant] "C:\Program Files (x86)\Unlocker\UnlockerAssistant.exe" File not found
O4 - HKCU..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe File not found
O4 - HKCU..\RunOnce: [0C1D1A01000024D800082A682F3B707C] C:\ProgramData\0C1D1A01000024D800082A682F3B707C\0C1D1A01000024D800082A682F3B707C.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Files
C:\ProgramData\0C1D1A01000024D800082A682F3B707C
C:\Users\hp\Desktop\Live Security Platinum.lnk
C:\Users\hp\AppData\Roaming\mozilla\Firefox\Profiles\yj0eift0.default\extensions\welcome@toolmin.com
C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\yj0eift0.default\searchplugins\startsear.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Przez Panel sterowania oraz w Google Chrome w Rozszerzeniach odinstaluj nośniki adware LiveVDO plugin 1.3 + vShare.tv plugin 1.3.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[kasiab]

Dziękuję serdeczenie za pomoc. Udało mi się już wcześniej odblokować kompa dzięki skanowi za pomocą mbam, ale pewnie gdzieś sie jeszcze czają pozostałości tego wirusa, więc na wszelki wypadek wykonałam wszystkie Pani polecenia.

 

Jedyne czego nie udało mi się zrobić to znaleźć zainfekowane wtyczki w rozszerzeniach Chrome, może dlatego, że najpierw usunęłam je z panelu sterowania.

 

Logi w załączeniu.

AdwCleanerS1.txt

FSS.txt

log OTL Ad 1.txt

OTL.Txt

[picasso]

Udało mi się już wcześniej odblokować kompa dzięki skanowi za pomocą mbam, ale pewnie gdzieś sie jeszcze czają pozostałości tego wirusa

 

Mimo to skrypt do OTL i tak miał co robić i prawie w 100% przeprowadził co było pierwotnie planowane. Kolejne - już końcowe - czynności do wykonania:

 

 

1. Start > w polu szukania wpisz regedit > z prawokliku skasuj ten klucz:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2

 

2. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Windows Defender tu pomijam, bo działa Avira przejmująca w pełni jego rolę.

 

3. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych o co mi chodzi:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl)

 

 

 

.