Avast blokuje mi Google

[Jedrucha]

witam,

od jakiegoś czasu zauważyłam wyjątkowe spowolnione działanie mojego kompa (ma już z 6 lat). AVG nie wykrył mi wirusów, ale nie mogłam już otwierać google. Zamieniłam AVG na Avast, zmieniłam przeglądarkę oraz oczyściłam komputer za pomocą CCleaner. Niestety w dalszym ciągu pojawia się komunilat o zablokowanym adresie url google. Dodatkowo nie ładują mi się strony na peb.pl.

O dziwo (jak dla mnie) problem czasami znika kiedy wchodzę na połączenie wi-fi -> napraw. Czasami odinstalowanie i zainstalowanie karty sieciowej likwiduje problem i wtedy mogę połączyć się z google.

Czytałam o OTL, także ściągnęłam program i załączam logi.

z góry dziękuję za pomoc

Agnieszka

Extras.Txt

OTL.Txt

[picasso]

Zasady działu: KLIK. Obowiązkowym logiem jest także GMER. Proszę dostarcz go.

[Jedrucha]

witam,

załączam obowiązkowe GMER

dziękuję za wskazówki i pozdrawiam

agnieszka

GMER.txt

[picasso]

Skan z GMER był potrzebny. Otóż GMER notuje rootkita Rloader:

 

---- Kernel code sections - GMER 1.0.15 ----
 
.text           atapi.sys           F84CE852 1 Byte  [CC] {INT 3 }
 
---- Threads - GMER 1.0.15 ----
 
Thread          System [4:120]      822A939F
Thread          System [4:500]      FF9DF0F4

 

To ten rootkit jest odpowiedzialny za dysfunkcje Google. Ponadto, w GMER widać dużą aktywność adware Browser Manager. Wszystkim się zajmiemy po kolei:

 

1. Uruchom Kaspersky TDSSKiller i dla wyniku Virus.Win32.Rloader.a przyznaj akcję Cure. Zresetuj system. Na dysku C powstanie log z usuwania.

 

2. Przez Dodaj / Usuń programy odinstaluj adware Browser Manager.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowe logi OTL z opcji Skanuj (już bez Extras) + GMER. Dołącz też logi utworzone przez TDSSKiller oraz AdwCleaner.

 

 

.

[Jedrucha]

witam,

 

starałam się wykonać wszystko zgodnie z Twoimi instrukcjami, pomimo że co drugi wyraz na tych stronach nie występuje w moim słownictwie i ich nawet nie rozumiem

 

Załączam wymagane logi. Google faktycznie zaczęło mi działać. Niestety cały czas mam problem z peb.pl, wyskakuje mi komunikat: "Program internet explorer nie może otworzyć miejsca internetowego hxxp:/peb.pl. Operacja przerwana". Jak próbuję się dostać na stronę przez google, to ładuje mi stronę tylko np. w 1/3. Dla innych www nie zauwazyłam tego problemu.

 

Dodatkowo, punktu 2 nie udało mi się wykonać. Nie ma tam tego programu. Próbowałam odnaleźć go poprzez "wyszukaj" i jedyne co mi znalazło to skrót do odinstalowania tego programu. Źródła docelowego już nie wykrył.

 

Czy po przesłanych przeze mnie załącznikach można ocenić, że jeszcze coś mi infekuje kompa ?

 

dziękuję za wszelką pomoc

pozdrawiam

Agnieszka

AdwCleanerS1.txt

GMER.txt

OTL.Txt

TDSSKiller.2.8.13.0_17.10.2012_19.30.14_log.txt

[picasso]

Infekcja pomyślnie usunięta, adware również. Zostały do korekty szczątki adware oraz czyszczenie lokalizacji tymczasowych:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ROC_roc_ssl_v12"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Live Search"
"DisplayName"="@ieframe.dll,-12512"
"URL"="http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
"BrowserMngrDefaultScope"=-
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
"SuggestionsURLFallback"="http://api.bing.com/qsml.aspx?query={searchTerms}&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}&sectionHeight={ie:sectionHeight}&FORM=IE8SSC&market={language}"
"FaviconURLFallback"="http://www.bing.com/favicon.ico"
"URL"="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC"
"FaviconPath"="C:\\Documents and Settings\\Administrator\\Ustawienia lokalne\\Dane aplikacji\\Microsoft\\Internet Explorer\\Services\\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico"
"DisplayName"="Bing"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\WINDOWS\System32\Extensions
C:\WINDOWS\System32\searchplugins
C:\Documents and Settings\Administrator\Dane aplikacji\AVG
C:\Documents and Settings\All Users\Dane aplikacji\AVG
C:\Documents and Settings\All Users\Dane aplikacji\MFAData
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Otworzy się log z wynikami usuwania. Wystarczy, że tylko ten pokażesz. Będzie krótki = wklej wprost do posta.

 

 

Dodatkowo, punktu 2 nie udało mi się wykonać. Nie ma tam tego programu. Próbowałam odnaleźć go poprzez "wyszukaj" i jedyne co mi znalazło to skrót do odinstalowania tego programu. Źródła docelowego już nie wykrył.

 

W Twoim pierwszym OTL Extras taka pozycja była w rejestrze, czyli powinna być widzialna na liście Dodaj / Usuń programy. W jakiś sposób musiałaś już to odinstalować, gdyż AdwCleaner wykańczał już resztki tego.

 

 

Niestety cały czas mam problem z peb.pl, wyskakuje mi komunikat: "Program internet explorer nie może otworzyć miejsca internetowego hxxp:/peb.pl. Operacja przerwana". Jak próbuję się dostać na stronę przez google, to ładuje mi stronę tylko np. w 1/3. Dla innych www nie zauwazyłam tego problemu.

 

Ten efekt nie wygląda jak pochodna infekcji.

 

1. Powyżej w punkcie 2 czyszczę lokalizacje tymczasowe (co obejmuje i Tymczasowe pliki internetowe przeglądarki IE). Jeżeli po tym działaniu nadal będzie problem z ładowaniem tej strony w IE, to jeszcze wypróbuj resetu przeglądarki: Opcje internetowe > Zaawansowane > Resetuj.

 

2. Sprawdź czy stronę otwierają inne przeglądarki.

 

Problem może być niezależny od ustawień komputera, możliwością jest tu usterka po stronie dostawcy Chello (takie adresy DNS widzę w Twoim raporcie).

 

 

 

.

[Jedrucha]

witam i bardzo dziękuję !

komputerek śmiga mi jak z przed wielu laty. Strona peb.pl nie działała w dalszym ciągu po wykonaniu czyszczenia i resetu IE (i to tylko na moim kompie), ale wystarczył powrót do poprzedniej przeglądarki i ładuje mi się ekspresowo.

Jeżeli poniższe logi się zgadzają to ja kłaniam się nisko i dziękuję za pomoc

pozdrawiam

Agnieszka

 

załączam OTL:

All processes killed

========== FILES ==========

C:\WINDOWS\System32\Extensions folder moved successfully.

C:\WINDOWS\System32\searchplugins folder moved successfully.

C:\Documents and Settings\Administrator\Dane aplikacji\AVG\AWL2012\TuningIndex folder moved successfully.

C:\Documents and Settings\Administrator\Dane aplikacji\AVG\AWL2012\StartUp Manager folder moved successfully.

C:\Documents and Settings\Administrator\Dane aplikacji\AVG\AWL2012\Dashboard folder moved successfully.

C:\Documents and Settings\Administrator\Dane aplikacji\AVG\AWL2012\Backups folder moved successfully.

C:\Documents and Settings\Administrator\Dane aplikacji\AVG\AWL2012 folder moved successfully.

C:\Documents and Settings\Administrator\Dane aplikacji\AVG folder moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\AVG\AWL2012\StartUp Manager\Wyłącz obiekty dla wszystkich użytkowników folder moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\AVG\AWL2012\StartUp Manager folder moved successfully.

Folder move failed. C:\Documents and Settings\All Users\Dane aplikacji\AVG\AWL2012 scheduled to be moved on reboot.

C:\Documents and Settings\All Users\Dane aplikacji\AVG\AWL\Program Statistics folder moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\AVG\AWL folder moved successfully.

Folder move failed. C:\Documents and Settings\All Users\Dane aplikacji\AVG scheduled to be moved on reboot.

C:\Documents and Settings\All Users\Dane aplikacji\MFAData\logs folder moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\MFAData folder moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 115650090 bytes

->Temporary Internet Files folder emptied: 49516920 bytes

->Java cache emptied: 593109 bytes

->Flash cache emptied: 8121318 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2352022 bytes

%systemroot%\System32 .tmp files removed: 2596 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 613626 bytes

RecycleBin emptied: 9924079 bytes

 

Total Files Cleaned = 178,00 mb

 

 

OTL by OldTimer - Version 3.2.69.0 log created on 10182012_162836

 

Files\Folders moved on Reboot...

Folder move failed. C:\Documents and Settings\All Users\Dane aplikacji\AVG\AWL2012 scheduled to be moved on reboot.

Folder move failed. C:\Documents and Settings\All Users\Dane aplikacji\AVG\AWL2012 scheduled to be moved on reboot.

Folder move failed. C:\Documents and Settings\All Users\Dane aplikacji\AVG scheduled to be moved on reboot.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\3KNGJYUR\fastbutton[4].htm moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\3KNGJYUR\page__gopid__91379[1].htm moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

C:\Documents and Settings\Administrator\Ustawienia lokalne\Temporary Internet Files\SuggestedSites.dat moved successfully.

File move failed. C:\WINDOWS\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

 

PendingFileRenameOperations files...

 

Registry entries deleted on Reboot...

[picasso]

Przejdź do wykończeń tematu:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine, w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj Adobe Reader, Javę i Skype: KLIK. W logu widać wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish
"Skype_is1" = Skype 2.5

 

4. Prewencyjnie zmień hasła logowania w serwisach.

 

 

Strona peb.pl nie działała w dalszym ciągu po wykonaniu czyszczenia i resetu IE (i to tylko na moim kompie), ale wystarczył powrót do poprzedniej przeglądarki i ładuje mi się ekspresowo.

 

O jakiej przeglądarce mowa?

 

 

.

[Jedrucha]

faktycznie, trzeba jeszcze po sobie posprzątać.

wszystko wykonane.

a co do przeglądarki, to wróciłam do firefoxa z czego się cieszę, bo nigdy explorera nie lubiłam

 

pozdrawiam

Agnieszka