Anty Virus Protection 2012 - jak usunąć?

Dla specjalistów Bezpieczeństwo
#1

Witam

Jestem kolejnym nieszczęśnikiem którego dopadł złośliwy antyvirus.

OTL : http://wklej.to/yWVYn

EXTRAS: http://wklej.to/s1Isn

Proszę o pomoc w jego usunięciu.

#2

Napisz skąd wszyscy biorą tego trojana?

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

SRV - [2012-02-17 22:22:51 | 000,092,160 | -HS- | M] () [Auto | Running] -- C:\WINDOWS\Debug\micq.exe -- (204211)

IE - HKCU\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=fbqRLMpVi-MALIGMQh0yTk997DQ?q={searchTerms}

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:49758

FF - prefs.js..browser.search.defaultenginename: "Winamp Search"

FF - prefs.js..network.proxy.http: "127.0.0.1"

FF - prefs.js..network.proxy.http_port: 49758

FF - prefs.js..network.proxy.type: 1

O4 - HKLM..\Run: [564.exe] C:\Program Files\LP\1302\564.exe ()

O4 - HKLM..\Run: [crrss] C:\WINDOWS\system32\crrss.exe (Tomasz Pawlak)

O4 - HKLM..\Run: [D7D.exe] C:\Program Files\LP\96E2\D7D.exe ()

O4 - HKLM..\Run: [MozillaAgent] C:\WINDOWS\Temp\_ex-68.exe File not found

O4 - HKCU..\Run: [Antivirus Protection 2012 SH] C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe (KlureIn)

O4 - HKCU..\Run: [Antivirus Protection 2012 SM] C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012\securitymanager.exe (KlureIn)

O4 - HKCU..\Run: [g1b2waustwbr] C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe (KlureIn)

O4 - HKCU..\Run: [winlogon] C:\Documents and Settings\---\winlogon.exe (Tomasz Pawlak)

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\crrss.exe) - C:\WINDOWS\system32\crrss.exe (Tomasz Pawlak)

O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\---\Dane aplikacji\2CC29\69613.exe) - C:\Documents and Settings\---\Dane aplikacji\2CC29\69613.exe ()

[2012-03-20 00:08:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\---\Menu Start\Programy\Antivirus Protection 2012

[2012-03-04 00:03:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012

[2012-02-22 15:39:21 | 000,000,000 | ---D | C] -- C:\Program Files\29F28

[2012-02-22 15:39:10 | 000,000,000 | ---D | C] -- C:\Program Files\LP

[2012-02-22 15:39:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\---\Dane aplikacji\2CC29

[2012-03-20 00:08:38 | 000,001,936 | ---- | M] () -- C:\Documents and Settings\---\Pulpit\Antivirus Protection 2012.lnk


:Reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\WINDOWS\Temp\_ex-68.exe"=-

"C:\WINDOWS\Debug\micq.exe"=-


:Commands

[resethosts]

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

#3

Dzięki za odpowiedź Atis

Niestety komputer ma kilku użytkowników i nie wiem skąd to się wzięło.

Po wykonaniu skryptu(wg. zaleceń) OTL zawiesił się wyświetlając u dołu okna:

Processing registry data "“C:\WINDOWS\Debug\micq.exe”-…

czekałem, czekałem i nic

co dalej z tym zrobić?

#4

Uruchom system w trybie awaryjnym i wtedy użyj skryptu.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

#5

Po uruchomieniu komputera w trybie awaryjnym i wykonaniu skryptu w OTL

dzieje się dokładnie to samo. Pojawia się:

Processing registry data "“C:\WINDOWS\Debug\micq.exe”-…

i komputer pozostał na tym etapie przez kilka godzin i nic.

Da się coś jeszcze z tym zrobić?

#6

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

IE - HKCU\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=fbqRLMpVi-MALIGMQh0yTk997DQ?q={searchTerms}

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:49758

FF - prefs.js..browser.search.defaultenginename: "Winamp Search"

FF - prefs.js..network.proxy.http: "127.0.0.1"

FF - prefs.js..network.proxy.http_port: 49758

FF - prefs.js..network.proxy.type: 1

O4 - HKLM..\Run: [564.exe] C:\Program Files\LP\1302\564.exe ()

O4 - HKLM..\Run: [crrss] C:\WINDOWS\system32\crrss.exe (Tomasz Pawlak)

O4 - HKLM..\Run: [D7D.exe] C:\Program Files\LP\96E2\D7D.exe ()

O4 - HKLM..\Run: [MozillaAgent] C:\WINDOWS\Temp\_ex-68.exe File not found

O4 - HKCU..\Run: [Antivirus Protection 2012 SH] C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe (KlureIn)

O4 - HKCU..\Run: [Antivirus Protection 2012 SM] C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012\securitymanager.exe (KlureIn)

O4 - HKCU..\Run: [g1b2waustwbr] C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe (KlureIn)

O4 - HKCU..\Run: [winlogon] C:\Documents and Settings\---\winlogon.exe (Tomasz Pawlak)

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\crrss.exe) - C:\WINDOWS\system32\crrss.exe (Tomasz Pawlak)

O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\---\Dane aplikacji\2CC29\69613.exe) - C:\Documents and Settings\---\Dane aplikacji\2CC29\69613.exe ()

[2012-03-20 00:08:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\---\Menu Start\Programy\Antivirus Protection 2012

[2012-03-04 00:03:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\---\Dane aplikacji\Antivirus Protection 2012

[2012-02-22 15:39:21 | 000,000,000 | ---D | C] -- C:\Program Files\29F28

[2012-02-22 15:39:10 | 000,000,000 | ---D | C] -- C:\Program Files\LP

[2012-02-22 15:39:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\---\Dane aplikacji\2CC29

[2012-03-20 00:08:38 | 000,001,936 | ---- | M] () -- C:\Documents and Settings\---\Pulpit\Antivirus Protection 2012.lnk


:Reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\WINDOWS\Temp\_ex-68.exe"=-

"C:\WINDOWS\Debug\micq.exe"=-


:Commands

[resethosts]

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

#7

Pomogło

OTL:

http://wklej.to/zP7sQ

EXTRAS:

http://wklej.to/KwYAR

Wielkie dzięki

#8

Wklej do OTL i kliknij Wykonaj skrypt:

Pokaż raport z usuwania i nowy log Skanuj.

#9

Dzięki

wykonałem skrypt

raport z usuwania: http://wklej.to/DGUhX

nowy Log : http://wklej.to/qkqGS

wielkie dzięki za pomoc