Toolbar w przeglądarce i dziwny plik gF28A.tmp.exe

[trucizna]

Witajcie, mam problem z tym plikiem, jest w folderze temp i nie mogę go usunąć, dodatkowo pojawia się wkurzający toolbar, który zmienia mi stronę google.

 

Dodatkowo widzę, że jest w logach filezilla, nie chce tego widzieć na oczy

Shortcut.txt

FRST.txt

gmer.txt

Addition.txt

[Miszel03]

W systemie widać modyfikacje infekcyjne adware, które niezłączni należy usunąć. 

 

Do poczytania: KLIK. 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {266A6AFE-217C-4703-985C-56997BE836F8} - System32\Tasks\youcam\youcam => Rundll32.exe "C:\ProgramData\90r5944M1252B652\90r5944M1252B652.dll",rMBufqnO
Task: {299007AA-A3D5-442A-A5AD-2DB5CCBAE43B} - System32\Tasks\plugin-container => Rundll32.exe "C:\ProgramData\90r5944M1252B652\90r5944M1252B652.dll",rMBufqnO
Task: {3D14D166-2DF0-45C7-8DD0-7B750FC4627E} - System32\Tasks\90r5944M1252B652 => Rundll32.exe "C:\ProgramData\90r5944M1252B652\90r5944M1252B652.dll",rMBufqnO 
Task: {95BFF448-4C96-4C8C-87A1-8CA5040D6937} - System32\Tasks\plugin-hang-ui => Rundll32.exe "C:\ProgramData\90r5944M1252B652\90r5944M1252B652.dll",rMBufqnO
Task: {F8323B97-3A7E-45EE-A744-62D9BF45C721} - System32\Tasks\90r5944M1252B652-dll => Rundll32.exe "C:\ProgramData\90r5944M1252B652\90r5944M1252B652.dll",rMBufqnO
Task: {FAE256BF-371E-437C-95C9-7CA3E0CFE7C9} - System32\Tasks\firefox => Rundll32.exe "C:\ProgramData\90r5944M1252B652\90r5944M1252B652.dll",rMBufqnO
C:\ProgramData\90r5944M1252B652
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> 
BHO: Brak nazwy -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> Brak pliku
BHO: Brak nazwy -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Brak pliku
BHO: Brak nazwy -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> Brak pliku
BHO-x32: Brak nazwy -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> Brak pliku
BHO-x32: Brak nazwy -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Brak pliku
BHO-x32: Brak nazwy -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> Brak pliku
S4 FileZilla Server; "D:\Desktop\xampp-win32-1.8.2-3-VC9\xampp\FileZillaFTP\FileZillaServer.exe" [X]
S4 HWDeviceService64.exe; "C:\ProgramData\DatacardService\HWDeviceService64.exe" -/service [X]
S4 SQLWriter; "d:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [X]
S4 STATISTICA License Manager; "D:\Program Files\StatSoft\FLEXlm\lmgrd.exe" [X]
S3 dbx; system32\DRIVERS\dbx.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
U3 pwdyipog; \??\C:\Users\tru\AppData\Local\Temp\pwdyipog.sys [X] 
C:\Users\tru\maxout_2420.dat
C:\Users\tru\maxout_452.dat
C:\Users\tru\maxout_4552.dat
C:\Users\tru\maxout_6532.dat
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

4. Zastosuj AdwCleaner na początku z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[trucizna]

Dzięki

logi:

 

Addition.txt

AdwCleanerC2.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[Miszel03]

Całość pomyślnie wykonana. Czy problem ustąpił? 

[trucizna]

Tak, dzięki wielkie, ale widzę, że w logu jest jeszcze linia

U3 aktdieim; C:\Windows\System32\Drivers\aktdieim.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)

Wiesz co to za sterownik ?

[Miszel03]

Spokojnie, to zerobajotwy sterownik, tworzony przy aktywności sterownika niesymulującego napę STPD, a w Twoim systemie taki jest.

 

R0 sptd; C:\windows\System32\Drivers\sptd.sys [564824 2013-06-07] (Duplex Secure Ltd.)

U3 aktdieim; C:\Windows\System32\Drivers\aktdieim.sys [0 ] (Microsoft Corporation) UWAGA (zerobajtowy plik/folder)

DAEMON Tools Lite (HKLM-x32\...\DAEMON Tools Lite) (Version: 4.45.4.0316 - DT Soft Ltd)

 

Zaznaczone "R" oznacza z ang. Running, czyli uruchomiony. A to, że zrobiłeś log z GMER nie zgodnie z zasadami to już inna sprawa Nie poprosiłem o nowy, z wyłączonym sterownikiem SPTD, bo ten stan systemu tego nie wymagał. 

 

---

 

Skoro problem rozwiązany to będziemy kończymy. 

 

Skasuj narzędzia diagnostyczno / dezynfekcyjne - KLIK.