karczo Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Witam. Od pewnego czasu Avast terroryzuje komunikatami o blokowaniu pliku w lokalizacji C:\Program Files\LP\0040\000.exe. Plik próbuje się łączyć z jakimś dziwnym adresem strony, jednak jest (jak na razie) skutecznie blokowany przez Avasta. Dodatkowo zauważyłem, że przy próbie wydrukowania czegokolwiek z Internet Explorera, zamyka się i następnie uruchamia ponownie, automatycznie otwierając stronę, na której byłem przed zamknięciem. Wcześniej avast wykrywał jakieś problemy z dodatkowymi paskami wyszukiwania(typu ask.com i inne), jednak zostały już one usunięte. Przesyłem logi z GMER i OTL i jednocześnie proszę o pomoc w rozwiązaniu problemu. Pozdrawiam. Marcin. GMER.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Owszem, jest tu infekcja. Ponadto mało istotne odpadki po Ask Toolbar / Babylon / MyWebSearch i FoxTab FLV Player (program adware). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZXxdm022YYpl&ptb=95F30578-7369-43AE-97C0-DEAC7A6E0B4A&ind=2012012607&ptnrS=ZXxdm022YYpl&si=CKShtLCS6K0CFSgntAodPFCu6Q&n=77ece03f&psa=&st=kwd&searchfor=" FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 63596 FF - prefs.js..network.proxy.type: 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:63596 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [000.exe] C:\Program Files\LP\0040\000.exe () O4 - HKCU..\Run: [000.exe] C:\Users\KSIĘGOWA\AppData\Roaming\Microsoft\0040\000.exe () O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) SRV - File not found [Auto | Stopped] -- -- (LiveUpdate Notice Ex) SRV - File not found [Auto | Stopped] -- -- (CLTNetCnService) :Files C:\Windows\tasks\At*.job C:\Users\KSIĘGOWA\AppData\Roaming\*.exe C:\Users\KSIĘGOWA\AppData\Roaming\1168B C:\Users\KSIĘGOWA\AppData\Roaming\0A011 C:\Users\KSIĘGOWA\AppData\Roaming\Microsoft\0040 C:\Program Files\LP C:\Program Files\RadioRage_4jEI C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml C:\Users\KSIĘGOWA\AppData\Roaming\Mozilla\Firefox\Profiles\6wsh8e2p.default\searchplugins\askcom.xml C:\Users\KSIĘGOWA\AppData\Roaming\Mozilla\Firefox\Profiles\6wsh8e2p.default\searchplugins\BearShareWebSearch.xml C:\Users\KSIĘGOWA\AppData\Roaming\Mozilla\Firefox\Profiles\6wsh8e2p.default\searchplugins\RadioRage_4j.xml C:\Users\KSIĘGOWA\AppData\Roaming\Babylon C:\Users\KSIĘGOWA\AppData\Local\Babylon C:\ProgramData\Babylon C:\Users\KSIĘGOWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab FLV Player :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 2. Przejdź do Panelu sterowania i odinstaluj szczątki LiveUpdate 3.2 (Symantec Corporation) + LiveUpdate Notice (Symantec Corporation). 3. Przedstaw nowy log z OTL z opcji Skanuj (Extras już nie potrzebuję po raz drugi) + AdwCleaner z opcji Search. Dołącz i log pozyskany z usuwania w punkcie 1. . Odnośnik do komentarza
karczo Opublikowano 22 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Wykonałem polecenia i przesyłam pliki. OTL.Txt AdwCleanerR1.txt 02222012_112429.txt Odnośnik do komentarza
picasso Opublikowano 22 Lutego 2012 Zgłoś Udostępnij Opublikowano 22 Lutego 2012 Zadane operacje pomyślnie wykonane, a w Koszu to trzymałeś sporą liczbę śmieci ... Uruchom AdwCleaner i wybierz opcję Delete. Pokaż na koniec nowy log z AdwCleaner z opcji Search. Odnośnik do komentarza
karczo Opublikowano 23 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2012 Przesyłam log po wyszukiwaniu z AdwCleaner. Pozdrawiam. AdwCleanerR2.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2012 Zgłoś Udostępnij Opublikowano 23 Lutego 2012 Sprawa wygląda na rozwiązaną. 1. Porządki po używanych narzędziach: w OTL uruchom Sprzątanie, co zlikwiduje z dysku OTL wraz z jego kwarantanną, zaś w AdwCleaner użyj Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport, o ile coś zostanie wykryte (pusty zbędny). . Odnośnik do komentarza
karczo Opublikowano 24 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2012 W logi nie ma informacji o jakichkolwiek zagrożeniach. Dziękuję za pomoc i pozdrawiam Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 Na koniec wykonaj aktualizacje oprogramowania: KLIK. W Twoim OTL Extras widnieją m.in.: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 22"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.0"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Gadu-Gadu" = Gadu-Gadu 7.7"Mozilla Firefox (3.6.26)" = Mozilla Firefox (3.6.26) A zamienniki na niepełnosprawne GG7 znajdziesz tu: Darmowe komunikatory (WTW / Miranda / Kadu). . Odnośnik do komentarza
Rekomendowane odpowiedzi