Antivirus Protection 2012

M1153 · 3 Marzec 2012 11:32

Dziś rano na swoim komputerze włączył mi się program Antivirus Protection 2012. Najlepsze jest to, że ja go nie ściągałem. Chciałem go odinstalować, ale potrzebny jest klucz. Dostałem taki klucz, ale nie działał. Co chwilę program ten skanuje mi kompa i pisze, że mam 47 trojanów. Jak go wyłączyć? Pomocy!!

Atis · 3 Marzec 2012 11:38

Skąd dostałeś ten klucz?

Pokaż logi z OTL:

otl-gmer-rsit-dss-inne-instrukcje-t370405.html

Atis · 3 Marzec 2012 17:32

Do rozwiązywania tego typu problemów służy dział Bezpieczeństwo.

Przeskanuj dysk Malwarebytes:

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Po zakończeniu skanowania kliknij Usuń zaznaczone.

Później pokaż logi OTL.

M1153 · 4 Marzec 2012 19:06

Oto mój raport. --> http://wklej.org/id/700933/

Proszę o pomoc!!

Atis · 4 Marzec 2012 19:37

M@G!K

Odinstaluj facemoods Toolbar, HyperCam Toolbar, vShare Toolbar, Babylon toolbar, Conduit Engine, Mario Forever Toolbar, DealPly, IncrediMail MediaBar 2 Toolbar.

Wszystko inne co w nazwie ma słowo Toolbar.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:49616

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=598d8b40-2371-11e1-b7f5-00262d52bb3f

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4

IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=598d8b40-2371-11e1-b7f5-00262d52bb3f&q={searchTerms}

IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250

FF - prefs.js..browser.search.defaultengine: "Web Search"

FF - prefs.js..browser.search.defaultenginename: "Web Search"

FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design TB Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2670199&SearchSource=3&q={searchTerms}"

FF - prefs.js..browser.search.order.1: "Web Search"

FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=598d8b40-2371-11e1-b7f5-00262d52bb3f&q="

FF - prefs.js..network.proxy.http: "127.0.0.1"

FF - prefs.js..network.proxy.http_port: 49616

FF - prefs.js..network.proxy.type: 1

O4 - HKLM..\Run: [62D.exe] C:\Program Files (x86)\LP\B3FA\62D.exe ()

O4 - HKLM..\Run: [facemoods] C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe (facemoods.com)

O4 - HKCU..\Run: [62D.exe] C:\Users\Kamil i Jacek\AppData\Roaming\Microsoft\B3FA\62D.exe ()

O4 - HKCU..\Run: [Antivirus Protection 2012] C:\Users\Kamil i Jacek\AppData\Roaming\Antivirus Protection 2012\AntivirusProtection2012.exe (KlureIn)

O4 - HKCU..\Run: [Antivirus Protection 2012 SH] C:\Users\Kamil i Jacek\AppData\Roaming\Antivirus Protection 2012\securityhelper.exe (KlureIn)

O4 - HKCU..\Run: [Antivirus Protection 2012 SM] C:\Users\Kamil i Jacek\AppData\Roaming\Antivirus Protection 2012\securitymanager.exe (KlureIn)

O4 - HKCU..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent File not found

O4 - HKCU..\Run: [gum9geuwdc8a] C:\Users\Kamil i Jacek\AppData\Roaming\Antivirus Protection 2012\securityhelper.exe (KlureIn)

O4 - HKCU..\Run: [Real Desktop] "C:\Program Files (x86)\Real Desktop\Real Desktop.exe" File not found

O4 - Startup: C:\Users\Kamil i Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lua7.exe ()

O20 - HKCU Winlogon: Shell - ("C:\Users\Kamil i Jacek\winlogon.exe") - C:\Users\Kamil i Jacek\winlogon.exe (Provtech Limited)


:Files

C:\Users\Kamil i Jacek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus Protection 2012

C:\Users\Kamil i Jacek\AppData\Roaming\Antivirus Protection 2012

C:\Users\Kamil i Jacek\Desktop\Antivirus Protection 2012.lnk

C:\Windows\tasks\At*.job

C:\Users\Kamil i Jacek\AppData\Roaming\*.exe

C:\Users\Kamil i Jacek\AppData\Local\*.exe


:Reg

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"=- 


:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.