bako22 Opublikowano 29 Grudnia 2014 Zgłoś Udostępnij Opublikowano 29 Grudnia 2014 Przypadkowo stałem się dzisiaj (a raczej mój komputer) posiadaczem tego potwornie irytującego wirusa. Pojawił się w procesach i nie mogę go ani usunąć ani zlokalizować. Spamuje mi reklamami po całej przeglądarce, otwiera ciągle nowe okna i zakładki wrzucając tam reklamy. Wirusa ściągnąłem przez zbieg okoliczności. Akurat pobrał go znajomy, który miał podesłać mi film z naszego wspólnego wyjazdu i myślałem że to film na który czekam, a okazało się ze padł on również ofiarą tego wirusa i bezmyślnie kliknąłem w link, przez co wirus zadomowił się również u mnie. Dodam, że nie mogę w chromie otworzyć zakładki "rozszerzenia" automatycznie wyłącza się zaraz po tym jak próbuje ją uruchomić. Teraz zwracam się z prośba do was czy ktoś byłby tak miły i pomógł mi się tego badziewia pozbyć? z góry dziękuję Oczywiście dołączam potrzebne logi. Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 4 Stycznia 2015 Zgłoś Udostępnij Opublikowano 4 Stycznia 2015 irytujący wirus (atieclxx.exe) (...) Pojawił się w procesach i nie mogę go ani usunąć ani zlokalizować. To poprawny proces sterowników AMD: ==================== Processes (Whitelisted) ================= (AMD) C:\WINDOWS\System32\atiesrxx.exe (AMD) C:\WINDOWS\System32\atieclxx.exe (Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe Jest on w Menedżerze zadań wyświetlany bez żadnych danych opisowych, gdyż menedżer jest uruchomiony na zbyt niskich uprawnieniach. Podobny temat: KLIK. Spamuje mi reklamami po całej przeglądarce, otwiera ciągle nowe okna i zakładki wrzucając tam reklamy. Wirusa ściągnąłem przez zbieg okoliczności. Akurat pobrał go znajomy, który miał podesłać mi film z naszego wspólnego wyjazdu i myślałem że to film na który czekam, a okazało się ze padł on również ofiarą tego wirusa i bezmyślnie kliknąłem w link, przez co wirus zadomowił się również u mnie. Dodam, że nie mogę w chromie otworzyć zakładki "rozszerzenia" automatycznie wyłącza się zaraz po tym jak próbuje ją uruchomić. Problem leży gdzie indziej, ale w raportach mało co widać - właściwie tylko polityki blokujące Google Chrome. Dodatkowo: zainstalowałeś wątpliwy skaner SpyHunter, z daleka od niego. Wstępnie: 1. Odinstaluj stare wersje i wątpliwy skaner: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.1 - Polish, Java 7 Update 25, Java 6 Update 20 (64-bit), SpyHunter. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1813054588-749713010-1817662991-1001\...\Run: [GenieoUpdaterService] => "C:\Users\Bartek\AppData\Roaming\Genieo\Application\Updater\bin\genupdater.exe" -wait 5 HKU\S-1-5-21-1813054588-749713010-1817662991-1001\...\Run: [GenieoSystemTray] => "C:\Users\Bartek\AppData\Roaming\Genieo\Application\TrayUi\bin\gentray.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141201 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" C:\ProgramData\APN C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Genieo C:\Users\Bartek\AppData\Roaming\Systweak Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 4. Specjalny skrót IE jest uszkodzony (prawdopodobnie czyszczeniem AdwCleaner): Shortcut: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy. Odnośnik do komentarza
bako22 Opublikowano 5 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2015 okej, zrobiłem wszystko. Będę sprawdzał na bieżąco czy wszystko ok. Jakby coś się działo to napisze to tutaj. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2015 Zgłoś Udostępnij Opublikowano 8 Stycznia 2015 Czy problem reklam nadal występuje? Poprzednie zadania wykonane, jeszcze drobne poprawki: Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\Users\Bartek\Downloads\SpyHunter-installer.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Enigma Software Group RemoveDirectory: C:\Users\Bartek\Desktop\FRST-OlderVersion RemoveDirectory: C:\Windows\1F7E4FF9D2E542589AE1E16E6CB3252A.TMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
bako22 Opublikowano 10 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2015 Reklamy zniknęły Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2015 Zgłoś Udostępnij Opublikowano 10 Stycznia 2015 Kończymy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
bako22 Opublikowano 11 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 11 Stycznia 2015 Usunąłem foldery przywracania systemu i użyłem DelFix tak jak w temacie. Nie mam niestety loga bo zamknąłem go przypadkiem a on nigdzie mi się nie zapisał.. ale usunął wszystko poprawnie. Zrobiłem to drugi raz i log był czysty wiec chyba wszystko ok. dzięki za pomoc Odnośnik do komentarza
picasso Opublikowano 14 Stycznia 2015 Zgłoś Udostępnij Opublikowano 14 Stycznia 2015 Na przyszłość: zamknięcie raportu nie powoduje jego usunięcia z dysku, zaś ponowne uruchomienie narzędzia nadpisuje obecny na dysku raport i niestety poprzednie akcje są nieznane. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi