DJYendruh Opublikowano 16 Czerwca 2017 Zgłoś Udostępnij Opublikowano 16 Czerwca 2017 witajcie komputer znajomego dopadły te upierdliwe przypadłości. WIn 8.1 64bit. ADWCleaner i Malwarebytes anty....... nie dają rady. Proszę o wskazówki jak się tego pozbyć. PS. Google chrome odinstalowałem póki co, bo mystarting123 "porwał ją" i przekierowuje ruch... Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 16 Czerwca 2017 Zgłoś Udostępnij Opublikowano 16 Czerwca 2017 Zabrakło trzeciego raportu FRST Shortcut. Używałeś też ComboFix, ten program nie nadaje się do czyszczenia adware z przeglądarek. SWDUMon pochodzi od Slimdrivers (program wątpliwej reputacji, może być przemycany na komputer metodami "PUP"), obecnie program jest w stanie szczątkowym i ostał się tylko ten sterownik (nawet nie jest uruchomiony). Odinstalowałeś wprawdzie Google Chrome, ale nieskutecznie - nie zaznaczyłeś podczas deinstalacji opcji Usuń także dane przeglądarki i pozostał cały profil Chrome na dysku zainfekowany przez mystarting123 - po instalacji Chrome ten profil zostanie ponownie załadowany. Tu należało zamiast deinstalacji Chrome wykonać poprawne czyszczenie / reset przeglądarki via jej własne opcje. W związku z tym, że przeglądarka została odinstalowana, profil usunę, ale to oznacza utratę zapisanych w nim danych. W skrypcie przekopiuję podstawowe pliki Bookmarks z zakładkami + Login Data z zapamiętanymi hasłami, które wstawisz do nowego profilu po świeżej instalacji Chrome. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: StartBatch: netsh advfirewall reset md C:\Users\Czesław\Desktop\Chrome copy /y "C:\Users\Czesław\AppData\Local\Google\Chrome\User Data\Default\Bookmarks" C:\Users\Czesław\Desktop\Chrome copy /y "C:\Users\Czesław\AppData\Local\Google\Chrome\User Data\Default\Login Data" C:\Users\Czesław\Desktop\Chrome EndBatch: S3 SWDUMon; C:\Windows\system32\DRIVERS\SWDUMon.sys [25608 2017-06-16] (SlimWare Utilities, Inc.) S1 fburutqr; \??\C:\Windows\system32\drivers\fburutqr.sys [X] U0 msahci; system32\drivers\msahci.sys [X] U0 Partizan; system32\drivers\Partizan.sys [X] Task: {72040F41-1635-429B-8BDF-289B41800C08} - \Plejuphaniling -> Brak pliku Task: {7ED7A3CA-D46E-41B5-8FA6-6E5FAAB4D385} - \AVG EUpdate Task -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKU\S-1-5-21-2586129371-1797009435-415111422-1001\...\StartupApproved\StartupFolder: => "Wysyłanie do programu OneNote.lnk" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2586129371-1797009435-415111422-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome SearchScopes: HKU\S-1-5-21-2586129371-1797009435-415111422-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2586129371-1797009435-415111422-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Users\Czesław\AppData\Local\Google C:\Users\Czesław\AppData\Local\Mozilla C:\Users\Czesław\AppData\Roaming\Mozilla C:\Users\Czesław\Downloads\FRST64.exe.r6z2jjp.partial C:\Users\Czesław\Downloads\RegCureProSetup_52fe7fda-917f-46a7-ba74-335c1dfaff72_.exe C:\Windows\system32\DRIVERS\SWDUMon.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W wyniku powyższego skryptu na Pulpicie powstanie folder "Chrome" z plikami zakładek i danych logowania. Zainstaluj Google Chrome i uruchom, by utworzył się nowy profil. Następnie zamknij Chrome i podmień korespondujące pliki w poniższej ścieżce tymi z katalogu "Chrome" na Pulpicie. Uruchom Chrome ponownie i sprawdź czy widać zakładki. C:\Users\Czesław\AppData\Local\Google\Chrome\User Data\Default 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
DJYendruh Opublikowano 16 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 16 Czerwca 2017 od rana kiedy napisałem tego posta również nie próżnowałem i na wszelkie sposoby starałem się wyleczyć system. Nie wiem z jakim skutkiem - w każdym razie wydaje mi się, że porywacza "mystarting123" już nie ma, został tylko ten proces swdumon. Chrome jest już zainstalowany i działa poprawnie. Więc nie wiem - czy w dalszym ciągu zastosować ww poradę (zadziałają operacje dotyczące swdumon-a), czy potrzebne nowe logi. Proszę więc o info, w razie czego załączam nowe logi. FRST.txt Addition.txt Shortcut.txt GMER.txt AdwCleanerS13.txt Odnośnik do komentarza
picasso Opublikowano 16 Czerwca 2017 Zgłoś Udostępnij Opublikowano 16 Czerwca 2017 Na przyszłość, proszę trzymaj się zasad działu w kwestii konfiguracji logów FRST - sekcje Lista BCD i MD5 sterowników nie miały być zaznaczone, to detekcje pod archaiczne infekcje. Operacje przeprowadzone przez Ciebie nieznane. mystarting123 był tylko i wyłącznie w profilu Google Chrome, a nie w innej partii systemu. Widzę teraz, że coś zrobiłeś z profilem Chrome, bo preferencje adware nie są już w nim obecne. Poprzedni skrypt FRST prawie cały aktualny z wyjątkiem partii relatywnej do Google Chrome. Nowa wersja skryptu do uruchomienia: CloseProcesses: CreateRestorePoint: S3 SWDUMon; C:\Windows\system32\DRIVERS\SWDUMon.sys [25608 2017-06-16] (SlimWare Utilities, Inc.) S1 fburutqr; \??\C:\Windows\system32\drivers\fburutqr.sys [X] U0 msahci; system32\drivers\msahci.sys [X] U0 Partizan; system32\drivers\Partizan.sys [X] Task: {72040F41-1635-429B-8BDF-289B41800C08} - \Plejuphaniling -> Brak pliku Task: {7ED7A3CA-D46E-41B5-8FA6-6E5FAAB4D385} - \AVG EUpdate Task -> Brak pliku ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKU\S-1-5-21-2586129371-1797009435-415111422-1001\...\StartupApproved\StartupFolder: => "Wysyłanie do programu OneNote.lnk" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\86006570.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\86006570.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2586129371-1797009435-415111422-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome SearchScopes: HKU\S-1-5-21-2586129371-1797009435-415111422-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2586129371-1797009435-415111422-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\Users\Czesław\AppData\Local\Mozilla C:\Users\Czesław\AppData\Roaming\Mozilla C:\Users\Czesław\Downloads\FRST64.exe.r6z2jjp.partial C:\Windows\system32\DRIVERS\SWDUMon.sys CMD: netsh advfirewall reset EmptyTemp: Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne. Odnośnik do komentarza
DJYendruh Opublikowano 17 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 17 Czerwca 2017 Witaj Operacja wykonana. Plik wynikowy w załączeniu. Jednak w związku z tym, że ADW cleaner wciąż widzi mi proces swdumon w katalogu i rejestrze, w razie czego (żeby nie przedłużać oczekiwania na reakcję moderatora - bo kolega potrzebuje kompa do pracy) - załączam ponownie pliki ze skanów, które wykonałem na wszelki wypadek. PS. czy ewentualnie wykonywanie zdalnie tych skanów (np łącząc się ammy adminem lub team viewerem) lub odpalenie fix-a jest do wykonania i wynik będzie poprawny technicznie? Jutro muszę oddać sprzęt, a skoro zawracam Wam głowę to chciałbym doprowadzić sprawę do szczęśliwego zakończenia, a częste dojazdy nie wchodzą w drogę. PS2. w załączniku screen z GMERA (chodzi mi o zaznaczenie "ptaszków") - trochę się różnią od tego co jest w forumowej instrukcji, a u mnie są "wyszarzone" więc pokazuję jak to wygląda żeby nie było :-) pozdrawiam Fixlog.txt Addition.txt FRST.txt Shortcut.txt GMER.txt AdwCleanerC0.txt Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2017 Zgłoś Udostępnij Opublikowano 21 Czerwca 2017 Sterownik SWDUMon został pomyślnie usunięty za pomocą skryptu FRST, ale został przywrócony. Przyjrzałam się bliżej raportom co go przywraca. Ten sterownik należy do: AVG Driver Updater (x32 Version: 2.2.2 - AVG Netherlands B.V) Hidden Task: {7BA60D47-7384-4A38-8418-E8F039EA4AAF} - System32\Tasks\AVG Driver Updater Scan => C:\Program Files (x86)\AVG Driver Updater\AVG Driver Updater.exe [2016-08-10] (AVG Netherlands B.V) AVG Driver Updater to rebrand programu Slimware Driver Updater, co wyjaśnia wspólny sterownik. Pytaniem jest czy ten program jest sprawny i uruchamia się, oraz czy w interfejsie AVG widać jakieś opcje jego deinstalacji. Nie da się go po prostu odinstalować przez Panel sterowania (program ukryty) bez dodatkowych operacji. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się