LIVE SECURITY PLATINUM- problem z odistalowaniem

[margaritt]

Dzien dobry, z gory przepraszam za brak polskich liter ale moj komputer nie ma polskiej klawiatury.
Okazalo sie ze mam wirusa LIVE SECURITY PLATINUM, po przejrzeniu forum zsciagnelam w trybie awaryjnym OLT i zalaczam logi:

OTL => Dostępne tylko dla zarejestrowanych użytkowników

EXTRAS => Dostępne tylko dla zarejestrowanych użytkowników



Prosiabym o pomoc co mam zrobic dalej..
Z gory dziekuje za pomoc,
gosia

[kominekl]

Dzien dobry, z gory przepraszam za brak polskich liter ale moj komputer nie ma polskiej klawiatury.

Może okaże się to pomocne -> Dostępne tylko dla zarejestrowanych użytkowników.

"{3FD730D4-755F-439B-8082-B55E00924A44}" = Client Security - Password Manager
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"conduitEngine" = Conduit Engine
"IncrediMail_MediaBar_2 Toolbar" = IncrediMail MediaBar 2 Toolbar
"Lenovo Welcome_is1" = Lenovo Welcome
"Remote Administrator v2.2" = Remote Administrator v2.2
"Live Security Platinum" = Live Security Platinum

Odinstaluj to oprogramowanie za pomocą Revo Uninstaller`a w trybie zaawansowanym (po wcześniejszym zaznaczeniu w Nim opcji -> Pokazuj elementy Systemowe) -> Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE:64bit: - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE:64bit: - HKLM\..\SearchScopes\{BAF4ACE1-9BA7-4D2F-AEAF-7724308BA8EE}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=LEMDF8&pc=MALC&src=IE-SearchBox;
IE - HKLM\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files (x86)\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{A1F3AB04-F2BF-4C0C-B5DB-5417A4930F89}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&form=LEMDF8&pc=MALC&src=IE-SearchBox;
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2805139
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\URLSearchHook: {ba5844d2-b2c5-49eb-86f5-248d776a6f08} - No CLSID value found
IE - HKCU\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files (x86)\IncrediMail_MediaBar_2\tbIncr.dll (Conduit Ltd.)
IE - HKCU\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKCU\..\SearchScopes\{5C8B7E38-DFFD-49B9-BEEF-3FEF502E6725}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7WZPC_es
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2805139
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&loc=search_box&u=92260390793923032
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.hipra.com;*.hipra.local;192.168.*.*;10.0.0.*;www.bancopopular.es;www2.bancopopular.es;172.16.*.*;https://finweb.premium.fininfo.fr;<local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = proxy.hipra.local:8080
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKCU..\Run: [CNAP2 Launcher] C:\Windows\system32\spool\DRIVERS\x64\3\CNAP2LAK.EXE File not found
O4 - HKCU..\RunOnce: [7531CC777AFD8DED01BFE7994F147C45] C:\ProgramData\7531CC777AFD8DED01BFE7994F147C45\7531CC777AFD8DED01BFE7994F147C45.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O15:64bit: - ..Trusted Domains: bubu ([]file in Intranet local)
O15:64bit: - ..Trusted Domains: hipra.com ([]http in Intranet local)
O15:64bit: - ..Trusted Domains: hipra.com ([]https in Intranet local)
O15:64bit: - ..Trusted Domains: hipra.com ([portal] https in Intranet local)
O15:64bit: - ..Trusted Domains: hipra.com ([quickr] https in Intranet local)
O15:64bit: - ..Trusted Domains: hipra.com ([sapcrm] https in Intranet local)
O15 - HKCU\..Trusted Domains: bubu ([]file in Intranet local)
O15 - HKCU\..Trusted Domains: hipra.com ([]http in Intranet local)
O15 - HKCU\..Trusted Domains: hipra.com ([]https in Intranet local)
O15 - HKCU\..Trusted Domains: hipra.com ([portal] https in Intranet local)
O15 - HKCU\..Trusted Domains: hipra.com ([quickr] https in Intranet local)
O15 - HKCU\..Trusted Domains: hipra.com ([sapcrm] https in Intranet local)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} Dostępne tylko dla zarejestrowanych użytkowników (ObjWinNTCheck Class)
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} Dostępne tylko dla zarejestrowanych użytkowników (OfficeScan Corp Edition Web-Deployment SetupINICtrl Class)
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} Dostępne tylko dla zarejestrowanych użytkowników (OfficeScan Corp Edition Web-Deployment SetupCtrl Class)
O16 - DPF: {0F2AAAE3-7E9E-4B64-AB5D-1CA24C6ACB9C} Dostępne tylko dla zarejestrowanych użytkowników (IBM Lotus iNotes 8.5 Control)
O16 - DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} Dostępne tylko dla zarejestrowanych użytkowników (Cisco AnyConnect VPN Client Web Control)
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} Dostępne tylko dla zarejestrowanych użytkowników (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class)
O16 - DPF: {75AA409D-05F9-4F27-BD53-C7339D4B1D0A} Dostępne tylko dla zarejestrowanych użytkowników (IBM Lotus iNotes 8.5 Control)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hipra.local
@Alternate Data Stream - 256 bytes -> C:\Windows:nlsPreferences

:Files
C:\Program Files (x86)\Google\Update
C:\Users\malgorzata_cebula\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
C:\ProgramData\7531CC777AFD8DED01BFE7994F147C45
C:\Windows\tasks\*.*
C:\Windows\cfgall.ini
C:\Windows\SysWow64\mdhcp32.dll
C:\Users\malgorzata_cebula\AppData\Local\GetToolbar.exe

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[margaritt]

Dziekuje

[kominekl]

Dziekuje

Jeszcze nie ma za co . Działaj.