Citzen
(Citzen1)
3 Marzec 2012 11:01
#1
Dzisiaj pojawił mi się problem z wirusem Antivirus Protection 2012. Dodatkowo non-stop Avira wykrywa TR/Crypt.XPACK.Gen i nie może go usunąć.
Raport OTL : http://wklej.to/EASkd
Byłbym wdzięczny za pomoc.
Odinstaluj zbędnik Ask Toolbar
Co na dysku C:\ robi plik C:\iExplore.exe?
Na początek W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL O4 - HKLM…\Run: [] File not found O4 - HKCU…\Run: [Antivirus Protection 2012] “C:\Documents and Settings\Ja\Dane aplikacji\Antivirus Protection 2012\AntivirusProtection2012.exe” /STARTUP File not found O4 - HKCU…\Run: [Antivirus Protection 2012 SH] C:\Documents and Settings\Ja\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe (KlureIn) O4 - HKCU…\Run: [Antivirus Protection 2012 SM] C:\Documents and Settings\Ja\Dane aplikacji\Antivirus Protection 2012\securitymanager.exe (KlureIn) O4 - HKCU…\Run: [dv1np7use6kl] C:\Documents and Settings\Ja\Ustawienia lokalne\Temp\229A.tmp (KlureIn) O4 - HKCU…\Run: [winlogon] C:\Documents and Settings\Ja\winlogon.exe (Activision Blizzard, Inc.) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\crrss.exe) - C:\WINDOWS\system32\crrss.exe (Activision Blizzard, Inc.) O20 - HKCU Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKCU Winlogon: Shell - (“C:\Documents and Settings\Ja\winlogon.exe”) - C:\Documents and Settings\Ja\winlogon.exe (Activision Blizzard, Inc.) [2012-03-03 10:55:24 | 000,000,000 | —D | C] – C:\Documents and Settings\Ja\Menu Start\Programy\Antivirus Protection 2012 [2012-03-03 10:55:18 | 000,000,000 | —D | C] – C:\Documents and Settings\Ja\Dane aplikacji\Antivirus Protection 2012 :Files C:\Documents and Settings\Ja\Pulpit\Antivirus Protection 2012.lnk C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\Ja\Menu Start\Programy\Antivirus Protection 2012.lnk :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
pawko_86
(pawko_86)
3 Marzec 2012 11:22
#3
zajrzyj tutaj masz wszystko ładnie opisane w jezyku ang
pozdrawiam
Citzen
(Citzen1)
3 Marzec 2012 11:41
#4
Log z usuwania : http://wklej.to/T3kZx
Ponowny skan : http://wklej.to/WHagz
Niestety nie wiem gdzie odinstalować Ask Toolbar ani w dodaj/usuń, ani w dodatkach do firefox-a go niema.
Mam nadzieje, że teraz będzie czysto.
stream
(stream)
3 Marzec 2012 12:05
#5
Uruchom OTL i w okienko Własne opcje skanowania / skrypt wklej
:OTL IE - HKCU…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) IE - HKCU…\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\prxtbgr2.dll (Conduit Ltd.) IE - HKCU…\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKCU…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKCU…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?client=ie&tb=AWR&o=1955&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^A17&apn_dtid=^YYYYYY^YY^PL&apn_uid=ca8f5624-3f1a-4081-aa96-4692ef63d940&apn_sauid=96CD0DED-6C41-4DA8-B7E0-389371ADD928 IE - HKCU…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076 FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.defaultthis.engineName: “gry Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=3&q={searchTerms} ” FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2417076&SearchSource=2&q= ” [2012-01-08 21:15:37 | 000,000,000 | —D | M] (No name found) – C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Firefox\Profiles\uph0jeyz.default\extensions [2012-01-08 21:15:37 | 000,000,000 | —D | M] (gry Community Toolbar) – C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Firefox\Profiles\uph0jeyz.default\extensions{8532a8b7-c06a-41bb-936a-8ce73e4711ed} [2012-02-28 23:20:33 | 000,000,000 | —D | M] (Alawar Ask Toolbar) – C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Firefox\Profiles\uph0jeyz.default\extensions\toolbar@ask.com [2011-11-17 19:25:44 | 000,002,333 | ---- | M] () – C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Firefox\Profiles\uph0jeyz.default\searchplugins\askcom.xml [2011-03-21 16:07:48 | 000,000,909 | ---- | M] () – C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Firefox\Profiles\uph0jeyz.default\searchplugins\conduit.xml [2011-07-13 18:38:17 | 000,001,565 | ---- | M] () – C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Firefox\Profiles\uph0jeyz.default\searchplugins\web-search.xml () (No name found) – C:\DOCUMENTS AND SETTINGS\JA\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\UPH0JEYZ.DEFAULT\EXTENSIONS{DD05FD3D-18DF-4CE4-AE53-E795339C5F01}.XPI O2 - BHO: (gry Toolbar) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\prxtbgr2.dll (Conduit Ltd.) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (gry Toolbar) - {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - C:\Program Files\gry\prxtbgr2.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O3 - HKCU…\Toolbar\ShellBrowser: (gry Toolbar) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - C:\Program Files\gry\prxtbgr2.dll (Conduit Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (gry Toolbar) - {8532A8B7-C06A-41BB-936A-8CE73E4711ED} - C:\Program Files\gry\prxtbgr2.dll (Conduit Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [ApnUpdater] C:\Program Files\Ask.com \Updater\Updater.exe (Ask) O4 - HKLM…\Run: [crrss] C:\WINDOWS\system32\crrss.exe File not found :Commands [emptytemp]
Klikasz Wykonaj skrypt . Program poprosi o restart komputera, zgadzasz się. Log z procesu usuwania zamieść nam na forum. Pobierz skaner Malwarebytes Anti-Malware i wykonaj pełne skanowanie, a wyniki zamieść na forum.
Pozdrawiam!
Citzen
(Citzen1)
3 Marzec 2012 12:33
#6
stream , http://wklej.to/6fO27
A ten Malwarebytes Anti-Malware zaraz zainstaluje.
– Dodane 03.03.2012 (So) 18:09 –
Malwarebytes Anti-Malware (Okres testowy) 1.60.1.1000 www.malwarebytes.org Wersja bazy: v2012.03.03.04 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Ja :: DELL-EA38088B46 [administrator] Ochrona: Włączona 2012-03-03 14:09:59 mbam-log-2012-03-03 (14-09-59).txt Typ skanowania: Pełne skanowanie Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM Odznaczone opcje skanowania: P2P Przeskanowano obiektów: 290122 Upłynęło: 3 godzin(y), 46 minut(y), 27 sekund(y) Wykrytych procesów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych modułów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych kluczy rejestru: 0 (Nie znaleziono zagrożeń) Wykrytych wartości rejestru: 1 HKCU\Software\Microsoft|adver_id (Malware.Trace) -> Data: 0 -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. Wykryte wpisy rejestru systemowego: 0 (Nie znaleziono zagrożeń) wykrytych folderów: 0 (Nie znaleziono zagrożeń) Wykrytych plików: 4 C:\jzk\przegladarek.exe (Heuristics.Shuriken) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. D:\System Volume Information_restore{D5F79DE5-EDBD-4D33-929C-98B3556A2360}\RP718\A0128374.exe (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. D:\System Volume Information_restore{D5F79DE5-EDBD-4D33-929C-98B3556A2360}\RP718\A0128375.exe (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. C:\Documents and Settings\Ja\uidsave.dat (Malware.Trace) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem. (zakończone)
Tak się prezentuje log z Malwarebytes Anti-Malware.
Uruchom OTL klikasz Sprzątanie
Użyj SecurityCheck [http://www.fixitpc.pl/topic/61-diagnost … #entry9515 ](http://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/page p 9515#entry9515) Uaktualnij to co wskaże program