Avast - zatrzymano usługę avast, proszę o sprawdzenie loga

[matik2001]

Proszę o pomoc
Nie działa mi program avast. Komunikat brak zabezpieczeń, pilne zatrzymano usługę avast.
Przejrzałam google i prawdopodobnie mam jakiegoś wirusa blokuącego program antywirusowy.
Wkleję tu loga - jeśli źle to zrobię to przepraszam, ale po raz pierwszy robiłam loga

http://www.wklej.eu/index.php?id=c9e1058952
http://www.wklej.eu/index.php?id=7fe2a2bd47

Czy mogłabym prosić o sprawdzenie loga i podpowiedź co mam zrobić, abym wreszcie miała tego avasta, bo obecnie mój komputer nie jest chroniony

[mateo8898]

Dorzuć brakujący log z Gmer http://forum.instalki.pl/otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736

Odinstaluj: Ask Toolbar, SweetIM for Messenger 3.7, Internet Explorer Toolbar 4.6 by SweetPacks, Winamp Toolbar, Google Toolbar (jeśli nie korzystasz).

Zmień sobie w ustawieniach Chrome stronę startową oraz wyszukiwarkę na np. google.pl

Następnie:

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010008&st=12&barid={E7238C8C-EF82-11E1-AF0D-88AE1D8AB9E7}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010008&st=12&q={searchTerms}&barid={E7238C8C-EF82-11E1-AF0D-88AE1D8AB9E7}
IE - HKU\S-1-5-21-1639131595-2942432304-3817123215-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.avira.com/?l=dis&o=APN10401&gct=hp&dc=EU&locale=en_PL
IE - HKU\S-1-5-21-1639131595-2942432304-3817123215-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http://search.babylon.com/?affID=111252&tt=230512_54x&babsrc=HP_ss&mntrId=04f0560100000000000018f46a339949
IE - HKU\S-1-5-21-1639131595-2942432304-3817123215-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120608&user_guid=F5F069FFE0DF4EB3A9D3E716255E78A2&machine_id=8cb9f8c92eee6931431f1d317d737fd7&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source}
IE - HKU\S-1-5-21-1639131595-2942432304-3817123215-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=111252&tt=230512_54x&babsrc=SP_ss&mntrId=04f0560100000000000018f46a339949
IE - HKU\S-1-5-21-1639131595-2942432304-3817123215-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010008&st=12&q={searchTerms}&barid={E7238C8C-EF82-11E1-AF0D-88AE1D8AB9E7}
IE - HKU\S-1-5-21-1639131595-2942432304-3817123215-1000\..\SearchScopes\{FAF07CB5-F46D-4BBB-A087-B12D2E00F8D1}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=kw&q={searchTerms}&locale=en_PL&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=40a7b047-74ca-41e1-b28d-3e85a84388af&apn_sauid=28D77D44-D53C-4E46-AA89-A828FA98D7E7
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://search.avira.com/?l=dis&o=APN10401&gct=hp&dc=EU&locale=en_PL"
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-3&o=APN10401&locale=en_PL&apn_uid=40a7b047-74ca-41e1-b28d-3e85a84388af&apn_ptnrs=%5EABZ&apn_sauid=28D77D44-D53C-4E46-AA89-A828FA98D7E7&apn_dtid=%5EYYYYYY%5EYY%5EPL&&q="
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Yahoo"
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2012-05-12 09:56:56 | 000,000,000 | ---D | M] (Mario Forever Toolbar) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\ci0d0gwn.default\extensions\{707db484-2428-402d-afb5-d85b387544c7}
[2013-01-14 22:45:08 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\ci0d0gwn.default\extensions\{8b9fe9be-f7dd-451e-ac96-0e568e0ecc10}
[2013-01-16 20:17:23 | 000,000,000 | ---D | M] (Free Lunch Design TB Community Toolbar) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\ci0d0gwn.default\extensions\{a5ae8924-4036-420f-b7f6-a47e4b8f692e}
[2013-02-12 00:25:49 | 000,000,000 | ---D | M] (Avira SearchFree Toolbar plus Web Protection) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\ci0d0gwn.default\extensions\[email protected]
[2013-02-12 00:25:49 | 000,002,344 | ---- | M] () -- C:\Users\Paweł\AppData\Roaming\mozilla\firefox\profiles\ci0d0gwn.default\searchplugins\askcom.xml
[2012-05-12 10:23:48 | 000,000,965 | ---- | M] () -- C:\Users\Paweł\AppData\Roaming\mozilla\firefox\profiles\ci0d0gwn.default\searchplugins\conduit.xml
[2012-10-21 12:27:52 | 000,003,915 | ---- | M] () -- C:\Users\Paweł\AppData\Roaming\mozilla\firefox\profiles\ci0d0gwn.default\searchplugins\sweetim.xml
[2012-06-08 21:44:34 | 000,001,390 | ---- | M] () -- C:\Users\Paweł\AppData\Roaming\mozilla\firefox\profiles\ci0d0gwn.default\searchplugins\yahoo-zugo.xml
[2012-05-31 20:32:59 | 000,002,353 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (Bcool Class) - {2C963B1C-55BD-89CB-E608-6257E942FCEE} - Reg Error: Value error. File not found
[2012-06-01 17:55:47 | 000,000,000 | ---D | M] (Bcool) -- C:\Users\Paweł\AppData\Roaming\mozilla\Firefox\Profiles\ci0d0gwn.default\extensions\[email protected]
O4 - HKLM..\Run: [] File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
[2013-01-14 14:36:12 | 000,000,000 | ---D | C] -- C:\Users\Paweł\AppData\Local\Avg2013
[2013-01-14 14:39:04 | 000,000,000 | -H-D | C] -- C:\$AVG
[2013-01-14 14:39:02 | 000,000,000 | ---D | C] -- C:\ProgramData\AVG2013
[2013-01-14 14:41:01 | 000,000,000 | ---D | C] -- C:\Users\Paweł\AppData\Roaming\AVG2013
[2013-01-14 22:25:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Ask
[2013-01-14 22:23:41 | 000,000,000 | ---D | C] -- C:\ProgramData\McAfee
[2013-02-12 22:17:25 | 000,000,354 | ---- | M] () -- C:\Windows\tasks\ROC_JAN2013_TB_rmv.job
[2013-02-12 22:17:25 | 000,000,336 | ---- | M] () -- C:\Windows\tasks\SpeedUpMyPC.job

:Files
C:\Users\Paweł\AppData\Roaming\*.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.

[matik2001]

Podaję log ze skryptu i dziękuję za wcześniejszą pomoc, proszę o sprawdzenie logów
http://www.wklej.eu/index.php?id=3b52ae848d

log otl

http://www.wklej.eu/index.php?id=468bf1f578

log z gmer
http://www.wklej.eu/index.php?id=7d2db0b8bd

[mateo8898]

Odinstaluj jeszcze PriceGong 2.6.9

Nie zmieniłeś strony startowej w Chrome.

Wklej w OTL:

:OTL
SRV:64bit: - [2012-10-23 07:34:53 | 000,072,144 | ---- | M] () [Unknown (-1) | Unknown] -- C:\Windows\SysNative\drivers\5ddadd6eb83bb397.sys -- (5ddadd6eb83bb397)
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\[email protected]: C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found
O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found
[2013-02-12 00:25:28 | 000,000,000 | ---D | C] -- C:\Users\Paweł\AppData\Local\AskToolbar
[2013-02-12 00:24:51 | 000,000,000 | ---D | C] -- C:\Users\Paweł\AppData\Local\APN
DRV:64bit: - [2013-01-30 18:35:18 | 000,037,720 | ---- | M] (AVG Technologies) [Kernel | System | Stopped] -- C:\Windows\SysNative\drivers\avgtpx64.sys -- (avgtp)

:Commands
[reboot]

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL + log z TDSSKiller otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292 + nowy log z Gmer.

[matik2001]

log po skrypcie
http://www.wklej.eu/index.php?id=52be042509

log otl - pojawiły się dwa
http://www.wklej.eu/index.php?id=70aeb6c0ab
http://www.wklej.eu/index.php?id=d22d6f250d


log tdsskiller
http://www.wklej.eu/index.php?id=1680cfd167

log gmer
http://www.wklej.eu/index.php?id=b56c3e7e9a

Avast zaczął działać, jeszcze raz dziękuję za pomoc, ale proszę jeszcze o sprawdzenie logów czy coś jeszcze nie siedzi. Czy to paskudztwo które miałam było bardzo groźne?
Jeżeli chodzi o stronę startową to coś tam zmieniłam, ale nie wiem czy prawidłowo.
Pozdrawiam

[mateo8898]

Raczej groźne, tu był rootkit, który przecież potrafił zablokować Avasta.

Stronka startowa nadal jest nie zmieniona, więc coś źle robisz:

Kod: Zaznacz wszystko

CHR - homepage: http://search.avira.com/?l=dis&o=APN10401&gct=hp&dc=EU&locale=en_PL

Chrome Ustawienia "Po uruchomieniu" zaznacz: Otwórz konkretną stronę lub zestaw stron Wybierz strony usuń wszystkie, które tam są, a zostaw tylko google.pl

W OTL wklej:

:OTL
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_5_502_149.dll File not found

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)