alexis88
(Alexis33)
30 Lipiec 2012 17:36
#1
Witam!
Dzisiaj rano ok.9 Avira zaczęła wyłapywać jakieś świństwo;/ a konkretnie TR/ATRAPS.Gen2 i TR/ATRAPS.Gen. Robi to co kilka minut, sytuacja ciągle się powtarza. Szukałam informacji na ten temat ale nie za bardzo rozumiem o co w tym wszystkim chodzi;/ Pierwszy raz spotykam się z czymś takim. Jak się tego pozbyć?!
OTL http://www.wklej.org/id/800658/
Extras http://www.wklej.org/id/800661/
Agaton
(Agatonster)
30 Lipiec 2012 17:39
#2
alexis88 ,
Proszę zapoznać się z tematem i poprawić tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj przy poście otwierającym ten temat.
Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.
Atis
(Atis)
30 Lipiec 2012 18:33
#3
Pobierz i uruchom SystemLook_x64
Do okna programu wklej:
Kliknij Look i pokaż raport.
alexis88
(Alexis33)
30 Lipiec 2012 18:38
#4
Atis
(Atis)
30 Lipiec 2012 18:45
#5
Wyłącz program antywirusowy i utwórz nowy raport z SystemLook.
Kliknij prawym na ikonie Aviry obok zegara i odznacz AntiVir Guard Enable
alexis88
(Alexis33)
30 Lipiec 2012 18:49
#6
Atis
(Atis)
30 Lipiec 2012 18:59
#7
Program Avira niech będzie wyłączony.
Uruchom cmd.exe jako administrator:
Jak uruchomić polecenie z pełnymi uprawnieniami?
Wklej i zatwierdź enterem:
sfc /scanfile=C:\Windows\system32\services.exe
reg delete HKCU\Software\Classes\CLSID{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
Zrestartuj system.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=12&barid={B046EA4B-C2CA-11E1-AC02-DCA971C0E369} IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=12&q={searchTerms}&barid={B046EA4B-C2CA-11E1-AC02-DCA971C0E369} IE - HKU\S-1-5-21-1771593470-3012635902-189330645-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=12&barid={B046EA4B-C2CA-11E1-AC02-DCA971C0E369} IE - HKU\S-1-5-21-1771593470-3012635902-189330645-1001…\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKU\S-1-5-21-1771593470-3012635902-189330645-1001…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=12&q={searchTerms}&barid={B046EA4B-C2CA-11E1-AC02-DCA971C0E369} FF - prefs.js…browser.search.defaultenginename: “SweetIM Search” FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q= ” [2012-07-17 22:16:56 | 000,000,000 | —D | M] (uTorrentControl2 Community Toolbar) – C:\Users\Ola\AppData\Roaming\mozilla\Firefox\Profiles\0dkl8uz3.default\extensions{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-06-30 17:46:20 | 000,004,002 | ---- | M] () – C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\0dkl8uz3.default\searchplugins\sweetim.xml O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1771593470-3012635902-189330645-1001…\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-21-1771593470-3012635902-189330645-1000…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found [2012-07-16 17:39:23 | 000,000,000 | —D | C] – C:\Users\Ola\AppData\Local\Conduit [2012-07-16 17:39:26 | 000,000,000 | —D | C] – C:\Program Files (x86)\Conduit :Files C:\windows\Installer{129190d4-e2d0-67c7-3faf-dfd8cbbdf2e7} C:\Users\Ola\AppData\Local{129190d4-e2d0-67c7-3faf-dfd8cbbdf2e7} :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Pokaż nowy raport z SystemLook:
alexis88
(Alexis33)
30 Lipiec 2012 19:21
#8
Raport z usuwania http://wklej.org/id/800746/
Nie wiem czy przy tworzeniu raportu z SystemLook Avira miała być wyłączona czy nie więc dam oba, z wyłączoną i nie wyłączoną
SystemLook z włączoną Avirą http://wklej.org/id/800750/ i wyłączoną http://wklej.org/id/800754/
Atis
(Atis)
30 Lipiec 2012 19:26
#9
Wygląda na to, że infekcja została usunięta.
Uruchom OTL kliknij skanuj i pokazż nowy log.
Pobierz i uruchom Farbar Service Scanner
Zaznacz wszystkie pozycje i kliknij Scan.
Pokaż ten raport.
alexis88
(Alexis33)
30 Lipiec 2012 19:43
#10
Atis
(Atis)
30 Lipiec 2012 20:00
#11
Odinstaluj:
JavaFX 2.1.0
Java 7 Update 4
Internet Explorer Toolbar 4.6 by SweetPacks
Później zainstaluj Java
Na koniec musisz naprawić usługi uszkodzone przez ZeroAccess (Sirefef)
Rekonstrukcja zapory:
http://www.fixitpc.pl/topic/6855-rekons … u-windows/
Rekonstrukcja Centrum zabezpieczeń:
http://www.fixitpc.pl/topic/6767-rekons … u-windows/
Windows defender i aktualizacje.
Pobierz i rozpakuj archiwum:
http://sendfile.pl/191604/plik.zip
Kliknij prawym na pliku FIX i wybierz Scal.
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
alexis88
(Alexis33)
30 Lipiec 2012 23:02
#12
Mam nadzieję, że już wszystko jest dobrze…
Z góry DZIĘKUJĘ BARDZO za pomoc!!
Atis
(Atis)
31 Lipiec 2012 08:32
#13
Zmień wszystkie hasła logowania.
Programy są aktualne, więc to już wszystko.