Live Security Platinum

[Endrjiuuu]

Witam mam problem z live security platinum. Na moim komputerze nie mogę otworzyć żadnego z programów ponieważ albo nie chce się włączyć, albo okienko odrazu znika. Mógłby ktoś pomóc mi usunąć tego wirusa ?

 

Przedstawie moje logi zrobione w trybie awaryjnym na OLT:

 

Extras: http://wklej.org/hash/76820f67dc4/

OLT: http://wklej.org/id/825663/

 

Proszę o pomoc w rozwiązaniu mojego problemu.

[picasso]

Logi zrobione z poziomu nieprawidłowego konta, czyli wbudowanego w system Administraora a nie konta użytkownika:

 

Computer Name: D13733B688F4471 | User Name: Administrator | Logged in as Administrator.

 

To ma ogromne znaczenie dla skanu, zwłaszcza przy infekcji Live Security Platinum (działa po stronie bieżącego użytkownika), gdyż konta mają inne rejestry i foldery. Konto Administrator nie było nawet aktywne przed akcją (świeży zrzut katalogu na dysku). Zaloguj się na właściwe konto i zrób nowy skan OTL.

 

 

 

.

[Endrjiuuu]

Extras: http://wklej.org/hash/03ef5584a14/

OLT: http://wklej.org/id/825679/

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-2052111302-1078145449-725345543-1003..\RunOnce: [6F63A59F000D220717FE9AE34A174311] C:\Documents and Settings\All Users\Dane aplikacji\6F63A59F000D220717FE9AE34A174311\6F63A59F000D220717FE9AE34A174311.exe (Корпорация Майкрософт)
IE - HKU\S-1-5-21-2052111302-1078145449-725345543-1003\..\SearchScopes\{5A8CB078-65DD-42C9-97B9-9FFE8CB3FF06}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000STPL&apn_uid=ABAB96A7-40D9-4330-8446-763984DC4AD2&apn_sauid=4711C759-D41B-4101-AE87-9013B4ECDABD"
IE - HKU\S-1-5-21-2052111302-1078145449-725345543-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={1BCA88E0-E878-4C83-BFD2-5D2049878C81}&mid=09687978e9cc47d1ad8cd15e7793bdab-f7b32af420aa6f58ebff2ac23e11adebafbadf4d&lang=pl&ds=AVG&pr=pr&d=2012-06-13 10:04:25&v=12.2.5.32&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-2052111302-1078145449-725345543-1003\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110730144212461&tb_oid=30-07-2011&tb_mrud=30-07-2011"
CHR - plugin: downloadUpdater (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npdnu.dll
CHR - plugin: downloadUpdater2 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npdnupdater2.dll
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vtmini.sys -- (viagfx)
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\6F63A59F000D220717FE9AE34A174311
C:\Documents and Settings\user\Dane aplikacji\OpenCandy
C:\Documents and Settings\user\Y=Y=
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. System odblokowany, więc działasz już od tego momentu w Trybie normalnym:

 

2. Przez Dodaj / Usuń programy odinstaluj adware Ask Toolbar, Download Updater (AOL LLC). W Firefox w Dodatkach odinstaluj Winamp Toolbar.

 

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C. Skutek uboczny: AdwCleaner usuwa też AVG Secure Search, traktując jako sponsora (i owszem tak jest).

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[Endrjiuuu]

OTL - http://wklej.org/id/825706/

log z usuwania OTL z punktu 1 - http://wklej.org/id/825697/

log AdwCleaner z punktu 3 - http://wklej.org/id/825699/

[picasso]

1. Drobna poprawka pod kątem nadgryzionego operacjami AVG Secure Search. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..keyword.URL: "https://isearch.avg.com/search?cid=%7B9ce94f37-277d-4282-b61e-e2cec90f7256%7D&mid=09687978e9cc47d1ad8cd15e7793bdab-f7b32af420aa6f58ebff2ac23e11adebafbadf4d&ds=AVG&v=12.2.5.32&lang=pl&pr=pr&d=2012-06-13%2010%3A04%3A25&sap=ku&q="
O4 - HKLM..\Run: [ROC_ROC_JULY_P1] "C:\Program Files\AVG Secure Search\ROC_ROC_JULY_P1.exe" / /PROMPT /CMPID=ROC_JULY_P1 File not found
O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\12.2.6\ToolbarUpdater.exe -- (vToolbarUpdater12.2.6)
[2012-09-07 16:14:47 | 000,000,000 | ---- | M] () -- C:\Documents and Settings\user\Y=Y=

 

Klik w Wykonaj skrypt.

 

2. W Google Chrome zostały wtyczki AOL:

 

CHR - plugin: downloadUpdater (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npdnu.dll
CHR - plugin: downloadUpdater2 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npdnupdater2.dll

 

By to usunąć, należałoby zedytować plik Preferences podobnie do punktu 3: KLIK. Tylko należy wziąźć poprawkę na to, że na XP jest inna ścieżka pliku preferencji:

 

C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

I oczywiście nazwy wtyczek to downloadUpdater + downloadUpdater2.

 

 

.

[Endrjiuuu]

Zrobiłem zgodnie z poleceniem, zamieszczam tutaj log z OTL po wykonaniu poszczególnych kroków:

OTL: http://wklej.org/id/825760/

[picasso]

1. Jeszcze jedna poprawka. Za późno doedytowałam usuwanie usługi + po usuwaniu wrócił ten dziwny plik:

 

[2012-09-07 17:03:37 | 000,000,000 | ---- | M] () -- C:\Documents and Settings\user\Y=Y=

 

Czyli skrypt do OTL:

 

:Services
vToolbarUpdater12.2.6
 
:Files
C:\Documents and Settings\user\Y=Y=

 

2. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Na wszelki wypadek wykonaj pełne skanowanie w posiadanym Malwarebytes Anti-Malware. Upewnij się, ża bazy są zaktualizowane.

 

 

 

.

[Endrjiuuu]

Chciałbym podziękować za fachową pomoc w rozwiązaniu problemu, dziękuje

[picasso]

Na koniec aktualizacje Windows i aplikacji:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Google Chrome" = Google Chrome 14.0.835.186
"Mozilla Firefox 5.0.1 (x86 pl)" = Mozilla Firefox 5.0.1 (x86 pl)

 

Windows ma krytyczny poziom Service Pack. Szczegóły aktualizacyjne: KLIK.

 

 

.

[Endrjiuuu]

Już aktualizuje.