Skocz do zawartości

Irytujący wirus (atieclxx.exe)


Rekomendowane odpowiedzi

Przypadkowo stałem się dzisiaj (a raczej mój komputer) posiadaczem tego potwornie irytującego wirusa. Pojawił się w procesach i nie mogę go ani usunąć ani zlokalizować. Spamuje mi reklamami po całej przeglądarce, otwiera ciągle nowe okna i zakładki wrzucając tam reklamy. Wirusa ściągnąłem przez zbieg okoliczności. Akurat pobrał go znajomy, który miał podesłać mi film z naszego wspólnego wyjazdu i myślałem że to film na który czekam, a okazało się ze padł on również ofiarą tego wirusa i bezmyślnie kliknąłem w link, przez co wirus zadomowił się również u mnie. Dodam, że nie mogę w chromie otworzyć zakładki "rozszerzenia" automatycznie wyłącza się zaraz po tym jak próbuje ją uruchomić. Teraz zwracam się z prośba do was czy ktoś byłby tak miły i pomógł mi się tego badziewia pozbyć? z góry dziękuję :)

Oczywiście dołączam potrzebne logi.

 

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

irytujący wirus (atieclxx.exe)

(...)

Pojawił się w procesach i nie mogę go ani usunąć ani zlokalizować.

To poprawny proces sterowników AMD:

 

==================== Processes (Whitelisted) =================

 

(AMD) C:\WINDOWS\System32\atiesrxx.exe

(AMD) C:\WINDOWS\System32\atieclxx.exe

(Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

(ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

 

Jest on w Menedżerze zadań wyświetlany bez żadnych danych opisowych, gdyż menedżer jest uruchomiony na zbyt niskich uprawnieniach. Podobny temat: KLIK.

 

 

Spamuje mi reklamami po całej przeglądarce, otwiera ciągle nowe okna i zakładki wrzucając tam reklamy. Wirusa ściągnąłem przez zbieg okoliczności. Akurat pobrał go znajomy, który miał podesłać mi film z naszego wspólnego wyjazdu i myślałem że to film na który czekam, a okazało się ze padł on również ofiarą tego wirusa i bezmyślnie kliknąłem w link, przez co wirus zadomowił się również u mnie. Dodam, że nie mogę w chromie otworzyć zakładki "rozszerzenia" automatycznie wyłącza się zaraz po tym jak próbuje ją uruchomić.

Problem leży gdzie indziej, ale w raportach mało co widać - właściwie tylko polityki blokujące Google Chrome. Dodatkowo: zainstalowałeś wątpliwy skaner SpyHunter, z daleka od niego.

 

 

Wstępnie:

 

1. Odinstaluj stare wersje i wątpliwy skaner: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.1 - Polish, Java 7 Update 25, Java™ 6 Update 20 (64-bit), SpyHunter.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKU\S-1-5-21-1813054588-749713010-1817662991-1001\...\Run: [GenieoUpdaterService] => "C:\Users\Bartek\AppData\Roaming\Genieo\Application\Updater\bin\genupdater.exe" -wait 5
HKU\S-1-5-21-1813054588-749713010-1817662991-1001\...\Run: [GenieoSystemTray] => "C:\Users\Bartek\AppData\Roaming\Genieo\Application\TrayUi\bin\gentray.exe"
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
C:\ProgramData\APN
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee
C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Genieo
C:\Users\Bartek\AppData\Roaming\Systweak
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.

 

4. Specjalny skrót IE jest uszkodzony (prawdopodobnie czyszczeniem AdwCleaner):

 

Shortcut: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Odnośnik do komentarza

Czy problem reklam nadal występuje? Poprzednie zadania wykonane, jeszcze drobne poprawki:

 

Otwórz Notatnik i wklej w nim:

 

BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
C:\Users\Bartek\Downloads\SpyHunter-installer.exe
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files\Enigma Software Group
RemoveDirectory: C:\Users\Bartek\Desktop\FRST-OlderVersion
RemoveDirectory: C:\Windows\1F7E4FF9D2E542589AE1E16E6CB3252A.TMP

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...