Widze ze problem z antivirus protection 2012 staje sie popularny, wedle zalecenia zakladam nowy temat, z tym samym problemem mianowicie jak sie tego (AP2012) pozbyc.
Raport OTL: http://wklej.org/id/700631/
Bede bardzo wdzieczny za pomoc
Na początek główne elementy infekcji
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=0b205da4- … 82fe673cad IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyEnable” = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyOverride” = *.local IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyServer” = http=127.0.0.1:53151 FF - prefs.js…browser.startup.homepage: “http://startsear.ch/?aff=2&cf=0b205da4-2698-11e1-850d-b482fe673cad ” F - prefs.js…keyword.URL: “http://startsear.ch/?aff=2&src=sp&cf=0b205da4-2698-11e1-850d-b482fe673cad&q= ” FF - prefs.js…network.proxy.http: “127.0.0.1” FF - prefs.js…network.proxy.http_port: 53151 FF - prefs.js…network.proxy.type: 1 O4 - HKLM…\Run: [2FE.exe] C:\Program Files (x86)\LP\CADC\2FE.exe () O4 - HKLM…\Run: [crrss] C:\Windows\SysWOW64\crrss.exe () 4 - HKCU…\Run: [2FE.exe] C:\Users\user\AppData\Roaming\Microsoft\CADC\2FE.exe () O4 - HKCU…\Run: [Antivirus Protection 2012] C:\Users\user\AppData\Roaming\Antivirus Protection 2012\AntivirusProtection2012.exe (KlureIn) O4 - HKCU…\Run: [Antivirus Protection 2012 SH] C:\Users\user\AppData\Roaming\Antivirus Protection 2012\securityhelper.exe (KlureIn) O4 - HKCU…\Run: [Antivirus Protection 2012 SM] C:\Users\user\AppData\Roaming\Antivirus Protection 2012\securitymanager.exe (KlureIn) O4 - HKCU…\Run: [ctgekpuvd58l] C:\Users\user\AppData\Local\Temp\4282.tmp (KlureIn) O4 - HKCU…\Run: [Facebook Update] C:\Users\user\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) O4 - HKCU…\Run: [RegistryWm] C:\Users\user\AppData\Roaming\qtwm.exe () O4 - HKCU…\Run: [winlogon] C:\Users\user\winlogon.exe () F3:64bit: - HKCU WinNT: Load - (C:\Users\user\AppData\Roaming\570B4\lvvm.exe) - C:\Users\user\AppData\Roaming\570B4\lvvm.exe () F3 - HKCU WinNT: Load - (C:\Users\user\AppData\Roaming\570B4\lvvm.exe) - C:\Users\user\AppData\Roaming\570B4\lvvm.exe () O20 - HKCU Winlogon: Shell - (explorer.exe) - C:\windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKCU Winlogon: Shell - (“C:\Users\user\winlogon.exe”) - C:\Users\user\winlogon.exe () O20 - HKLM Winlogon: UserInit - (C:\windows\system32\crrss.exe) - C:\Windows\SysWOW64\crrss.exe () [2012/03/03 11:28:48 | 000,000,000 | —D | C] – C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus Protection 2012 [2012/03/03 11:28:48 | 000,000,000 | —D | C] – C:\Users\user\AppData\Roaming\Antivirus Protection 2012 [2012/02/23 10:48:55 | 000,000,000 | —D | C] – C:\Program Files (x86)\LP [2012/02/23 10:46:45 | 000,000,000 | —D | C] – C:\Users\user\AppData\Roaming\570B4 [2012/02/23 10:46:34 | 000,000,000 | —D | C] – C:\Users\user\AppData\Roaming\C8057 :Files C:\Users\user\Desktop\Antivirus Protection 2012.lnk C:\windows\tasks\At*.job :Commands [emptytemp] [resethosts]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
stream
(stream)
3 Marzec 2012 11:55
#3
Uruchom OTL i w okienko Własne opcje skanowania / skrypt wklej
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=0b205da4- … 82fe673cad IE - HKLM…\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} IE - HKCU…\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…extensions.enabledItems: {dd05fd3d-18df-4ce4-ae53-e795339c5f01}:1.01 FF - prefs.js…keyword.URL: “http://startsear.ch/?aff=2&src=sp&cf=0b205da4-2698-11e1-850d-b482fe673cad&q= ” [2011/12/14 22:10:34 | 000,000,792 | ---- | M] () – C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\9w9qn395.default\searchplugins\startsear.xml [2012/01/12 03:22:05 | 000,000,000 | —D | M] (No name found) – C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\9w9qn395.default\extensions [2012/01/12 03:22:05 | 000,000,000 | —D | M] (uTorrentBar Community Toolbar) – C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\9w9qn395.default\extensions{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011/05/08 18:00:36 | 000,000,000 | —D | M] (vShare Add-On) – C:\Program Files (x86)\mozilla firefox\extensions{dd05fd3d-18df-4ce4-ae53-e795339c5f01} [2011/10/27 14:45:50 | 000,083,456 | ---- | M] (LiveVDO ) – C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.) O3 - HKLM…\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.) O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll (StartSearch Inc.) O4 - HKLM…\Run: [2FE.exe] C:\Program Files (x86)\LP\CADC\2FE.exe () O4 - HKCU…\Run: [2FE.exe] C:\Users\user\AppData\Roaming\Microsoft\CADC\2FE.exe () O4 - HKCU…\Run: [Antivirus Protection 2012] C:\Users\user\AppData\Roaming\Antivirus Protection 2012\AntivirusProtection2012.exe (KlureIn) O4 - HKCU…\Run: [Antivirus Protection 2012 SH] C:\Users\user\AppData\Roaming\Antivirus Protection 2012\securityhelper.exe (KlureIn) O4 - HKCU…\Run: [Antivirus Protection 2012 SM] C:\Users\user\AppData\Roaming\Antivirus Protection 2012\securitymanager.exe (KlureIn) O4 - HKCU…\Run: [ctgekpuvd58l] C:\Users\user\AppData\Local\Temp\4282.tmp (KlureIn) O4 - HKCU…\Run: [RegistryWm] C:\Users\user\AppData\Roaming\qtwm.exe () O4 - HKCU…\Run: [winlogon] C:\Users\user\winlogon.exe () O4 - HKCU…\RunOnce: [FlashPlayerUpdate] C:\windows\SysWOW64\Macromed\Flash\FlashUtil11e_Plugin.exe (Adobe Systems, Inc.) F3 - HKCU WinNT: Load - (C:\Users\user\AppData\Roaming\570B4\lvvm.exe) - C:\Users\user\AppData\Roaming\570B4\lvvm.exe () O20 - HKLM Winlogon: UserInit - (C:\windows\system32\crrss.exe) - C:\Windows\SysWOW64\crrss.exe () O20 - HKCU Winlogon: Shell - (“C:\Users\user\winlogon.exe”) - C:\Users\user\winlogon.exe () [2012/03/03 11:28:48 | 000,000,000 | —D | C] – C:\Users\user\AppData\Roaming\Antivirus Protection 2012 [2012/02/23 10:46:45 | 000,000,000 | —D | C] – C:\Users\user\AppData\Roaming\570B4 [2012/02/23 10:46:34 | 000,000,000 | —D | C] – C:\Users\user\AppData\Roaming\C8057 [2012/02/23 10:50:22 | 000,397,347 | ---- | C] () – C:\Users\user\AppData\Roaming\qtwm.exe [2012/02/23 10:47:04 | 000,287,232 | ---- | C] () – C:\Users\user\AppData\Roaming\chrome.exe [2012/02/23 11:16:09 | 000,000,000 | —D | M] – C:\Users\user\AppData\Roaming\570B4 [2012/03/02 14:50:30 | 000,000,000 | —D | M] – C:\Users\user\AppData\Roaming\C8057 :Files [2012/02/29 00:42:04 | 000,000,390 | ---- | M] () – C:\windows\tasks\At3.job [2012/02/28 23:04:03 | 000,000,390 | ---- | M] () – C:\windows\tasks\At2.job [2012/02/23 10:49:00 | 000,000,390 | ---- | M] () – C:\windows\tasks\At1.job [2012/03/03 11:28:48 | 000,001,971 | ---- | C] () – C:\Users\user\Desktop\Antivirus Protection 2012.lnk :Commands [emptytemp]
Klikasz Wykonaj skrypt . Program poprosi o restart komputera, zgadzasz się. Log z procesu usuwania zamieść nam na forum. Pobierz skaner Malwarebytes Anti-Malware i wykonaj pełne skanowanie, a wyniki zamieść na forum.
Pozdrawiam!
edit: kurcze, znów Pan spandaupol był szybszy #-o
Log z usuwania: http://wklej.org/id/700663/
Log z nowego skanowania po usuwaniu: http://wklej.org/id/700676/
Wklej dokładnie skrypt
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyEnable” = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyServer” = http=127.0.0.1:62929 FF - prefs.js…keyword.URL: “http://startsear.ch/?aff=2&src=sp&cf=0b205da4-2698-11e1-850d-b482fe673cad&q= ” FF - prefs.js…network.proxy.http: “127.0.0.1” FF - prefs.js…network.proxy.http_port: 62929 FF - prefs.js…network.proxy.type: 1 [2012/03/03 12:50:42 | 000,000,000 | —D | C] – C:\Users\user\AppData\Roaming\570B4 [2012/03/03 12:50:05 | 000,000,000 | —D | C] – C:\Users\user\AppData\Roaming\C8057 O20 - HKCU Winlogon: Shell - (C:\Users\user\AppData\Roaming\C8057\673CA.exe) - C:\Users\user\AppData\Roaming\C8057\673CA.exe () F3:64bit: - HKCU WinNT: Load - (C:\Users\user\AppData\Roaming\570B4\lvvm.exe) - C:\Users\user\AppData\Roaming\570B4\lvvm.exe () F3 - HKCU WinNT: Load - (C:\Users\user\AppData\Roaming\570B4\lvvm.exe) - C:\Users\user\AppData\Roaming\570B4\lvvm.exe () O4 - HKCU…\Run: [2FE.exe] C:\Users\user\AppData\Roaming\Microsoft\CADC\2FE.exe () :Files C:\Users\user\AppData\Roaming\firefox.exe C:\windows\tasks\At1.job C:\windows\tasks\At2.job C:\windows\tasks\At3.job C:\windows\tasks\At4.job C:\Users\user\Desktop\Antivirus Protection 2012.lnk C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus Protection 2012.lnk C:\Users\user\AppData\Roaming\chrome.exe :Commands [emptytemp] [resethosts]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Zalozcie osobne tematy tak jak ktos wczesniej prosil.
Log z usuwania: http://wklej.org/id/700717/
Log z nowego skanowania po usuwaniu: http://wklej.org/id/700722/
Co mam dalej robic? czy to juz po problemie?
A ty kasiutka195 załóż nowy temat.
babciawgaciach , W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL IE - HKLM…\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: “URL” = http://slirsredirect.search.aol.com/sli … 685&query={searchTerms}&invocationType=tb50winampie7 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?AF=100481&ba … 1d0fb79f97 IE - HKCU…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&AF=100481&babsrc=SP_ss&mntrId=5c3f8b22000000000000001d0fb79f97 IE - HKCU…\SearchScopes{2775E6A2-3B80-4944-B618-7FEB28FAD6D3}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=&apn_ptnrs=VX&apn_dtid=YYYYYYFEPL&apn_uid=579B655F-ABE9-4544-B91C-7B1236FD3FAE&apn_sauid=57537DBD-3390-4D69-8AAC-17893EF34DED& IE - HKCU…\SearchScopes{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: “URL” = http://slirsredirect.search.aol.com/sli … 685&query={searchTerms}&invocationType=tb50winampie7 FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Search the web (Babylon)” FF - prefs.js…browser.search.defaulturl: “http://www9.iamwired.net/websearch.php?src=tops&search= ” FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” FF - prefs.js…keyword.URL: “http://search.babylon.com/?AF=100481&babsrc=adbartrp&mntrId=5c3f8b22000000000000001d0fb79f97&q= ” O4 - HKLM…\Run: [crrss] C:\WINDOWS\system32\crrss.exe () O4 - HKLM…\Run: [MozillaAgent] C:\WINDOWS\Temp_ex-68.exe File not found O2 - BHO: (internetspooler) - {559b180b-3d51-fd2a-c140-5d31b7c73456} - C:\WINDOWS\system32\b303d945.dll File not found O4 - HKLM…\Run: [owttvnxgqsgtbdco] C:\WINDOWS\System32\regsvr32.exe /s “C:\WINDOWS\system32\jnnngwpoowi.dll” File not found O4 - HKCU…\Run: [r1esgjurfnbw] C:\Documents and Settings\ADMIN\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe (KlureIn) O4 - HKCU…\Run: [winlogon] C:\Documents and Settings\ADMIN\winlogon.exe () O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\crrss.exe) - C:\WINDOWS\system32\crrss.exe () O20 - HKCU Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKCU Winlogon: Shell - (“C:\Documents and Settings\ADMIN\winlogon.exe”) - C:\Documents and Settings\ADMIN\winlogon.exe () :Files C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie wykonaj pełny skan Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html Usuń co znajdzie pokaż raport na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Log z usuwania: http://wklej.org/id/700820/
I teraz sciagne ten program Malwarebytes i bede postepowal jak napisales
– Dodane 03.03.2012 (So) 17:35 –
raport z tego programu: http://wklej.org/id/700882/
i log ze skanowania po usuwaniu: http://wklej.org/id/700942/
Co teraz?
– Dodane 03.03.2012 (So) 19:46 –
Potrzeba jeszcze cos robic czy juz wszystko jest ok?