Skocz do zawartości

mystarting123 oraz proces swdumon


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zabrakło trzeciego raportu FRST Shortcut. Używałeś też ComboFix, ten program nie nadaje się do czyszczenia adware z przeglądarek.

 

SWDUMon pochodzi od Slimdrivers (program wątpliwej reputacji, może być przemycany na komputer metodami "PUP"), obecnie program jest w stanie szczątkowym i ostał się tylko ten sterownik (nawet nie jest uruchomiony). Odinstalowałeś wprawdzie Google Chrome, ale nieskutecznie - nie zaznaczyłeś podczas deinstalacji opcji Usuń także dane przeglądarki i pozostał cały profil Chrome na dysku zainfekowany przez mystarting123 - po instalacji Chrome ten profil zostanie ponownie załadowany. Tu należało zamiast deinstalacji Chrome wykonać poprawne czyszczenie / reset przeglądarki via jej własne opcje.

W związku z tym, że przeglądarka została odinstalowana, profil usunę, ale to oznacza utratę zapisanych w nim danych. W skrypcie przekopiuję podstawowe pliki Bookmarks z zakładkami + Login Data z zapamiętanymi hasłami, które wstawisz do nowego profilu po świeżej instalacji Chrome.

 

Działania do przeprowadzenia:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
StartBatch:
netsh advfirewall reset
md C:\Users\Czesław\Desktop\Chrome
copy /y "C:\Users\Czesław\AppData\Local\Google\Chrome\User Data\Default\Bookmarks" C:\Users\Czesław\Desktop\Chrome
copy /y "C:\Users\Czesław\AppData\Local\Google\Chrome\User Data\Default\Login Data" C:\Users\Czesław\Desktop\Chrome
EndBatch:
S3 SWDUMon; C:\Windows\system32\DRIVERS\SWDUMon.sys [25608 2017-06-16] (SlimWare Utilities, Inc.)
S1 fburutqr; \??\C:\Windows\system32\drivers\fburutqr.sys [X]
U0 msahci; system32\drivers\msahci.sys [X]
U0 Partizan; system32\drivers\Partizan.sys [X]
Task: {72040F41-1635-429B-8BDF-289B41800C08} - \Plejuphaniling -> Brak pliku 
Task: {7ED7A3CA-D46E-41B5-8FA6-6E5FAAB4D385} - \AVG EUpdate Task -> Brak pliku 
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
HKU\S-1-5-21-2586129371-1797009435-415111422-1001\...\StartupApproved\StartupFolder: => "Wysyłanie do programu OneNote.lnk"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-2586129371-1797009435-415111422-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
SearchScopes: HKU\S-1-5-21-2586129371-1797009435-415111422-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2586129371-1797009435-415111422-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
DeleteKey: HKCU\Software\Google
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files (x86)\Google
C:\Program Files (x86)\Mozilla Firefox
C:\Users\Czesław\AppData\Local\Google
C:\Users\Czesław\AppData\Local\Mozilla
C:\Users\Czesław\AppData\Roaming\Mozilla
C:\Users\Czesław\Downloads\FRST64.exe.r6z2jjp.partial
C:\Users\Czesław\Downloads\RegCureProSetup_52fe7fda-917f-46a7-ba74-335c1dfaff72_.exe
C:\Windows\system32\DRIVERS\SWDUMon.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W wyniku powyższego skryptu na Pulpicie powstanie folder "Chrome" z plikami zakładek i danych logowania. Zainstaluj Google Chrome i uruchom, by utworzył się nowy profil. Następnie zamknij Chrome i podmień korespondujące pliki w poniższej ścieżce tymi z katalogu "Chrome" na Pulpicie. Uruchom Chrome ponownie i sprawdź czy widać zakładki.

 

C:\Users\Czesław\AppData\Local\Google\Chrome\User Data\Default

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

od rana kiedy napisałem tego posta również nie próżnowałem i na wszelkie sposoby starałem się wyleczyć system.

Nie wiem z jakim skutkiem - w każdym razie wydaje mi się, że porywacza "mystarting123" już nie ma, został tylko ten proces swdumon.

Chrome jest już zainstalowany i działa poprawnie.

 

Więc nie wiem - czy w dalszym ciągu zastosować ww poradę (zadziałają operacje dotyczące swdumon-a), czy potrzebne nowe logi. Proszę więc o info, w razie czego załączam nowe logi.  

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

AdwCleanerS13.txt

Odnośnik do komentarza

Na przyszłość, proszę trzymaj się zasad działu w kwestii konfiguracji logów FRST - sekcje Lista BCD i MD5 sterowników nie miały być zaznaczone, to detekcje pod archaiczne infekcje.

 

Operacje przeprowadzone przez Ciebie nieznane. mystarting123 był tylko i wyłącznie w profilu Google Chrome, a nie w innej partii systemu. Widzę teraz, że coś zrobiłeś z profilem Chrome, bo preferencje adware nie są już w nim obecne. Poprzedni skrypt FRST prawie cały aktualny z wyjątkiem partii relatywnej do Google Chrome. Nowa wersja skryptu do uruchomienia:

 

CloseProcesses:
CreateRestorePoint:
S3 SWDUMon; C:\Windows\system32\DRIVERS\SWDUMon.sys [25608 2017-06-16] (SlimWare Utilities, Inc.)
S1 fburutqr; \??\C:\Windows\system32\drivers\fburutqr.sys [X]
U0 msahci; system32\drivers\msahci.sys [X]
U0 Partizan; system32\drivers\Partizan.sys [X]
Task: {72040F41-1635-429B-8BDF-289B41800C08} - \Plejuphaniling -> Brak pliku 
Task: {7ED7A3CA-D46E-41B5-8FA6-6E5FAAB4D385} - \AVG EUpdate Task -> Brak pliku 
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
HKU\S-1-5-21-2586129371-1797009435-415111422-1001\...\StartupApproved\StartupFolder: => "Wysyłanie do programu OneNote.lnk"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\86006570.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\86006570.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-2586129371-1797009435-415111422-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
SearchScopes: HKU\S-1-5-21-2586129371-1797009435-415111422-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2586129371-1797009435-415111422-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files (x86)\Mozilla Firefox
C:\Users\Czesław\AppData\Local\Mozilla
C:\Users\Czesław\AppData\Roaming\Mozilla
C:\Users\Czesław\Downloads\FRST64.exe.r6z2jjp.partial
C:\Windows\system32\DRIVERS\SWDUMon.sys
CMD: netsh advfirewall reset
EmptyTemp:

 

Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne.

Odnośnik do komentarza

Witaj

Operacja wykonana. Plik wynikowy w załączeniu.

 

Jednak w związku z tym, że ADW cleaner wciąż widzi mi proces swdumon w katalogu i rejestrze, w razie czego (żeby nie przedłużać oczekiwania na reakcję moderatora - bo kolega potrzebuje kompa do pracy) - załączam ponownie pliki ze skanów, które wykonałem na wszelki wypadek.

 

PS. czy ewentualnie wykonywanie zdalnie tych skanów (np łącząc się ammy adminem lub team viewerem) lub odpalenie fix-a  jest do wykonania i wynik będzie poprawny technicznie?  Jutro muszę oddać sprzęt, a skoro zawracam Wam głowę to chciałbym doprowadzić sprawę do szczęśliwego zakończenia, a częste dojazdy nie wchodzą w drogę.   

 

PS2. w załączniku screen z GMERA (chodzi mi o zaznaczenie "ptaszków") - trochę się różnią od tego co jest w forumowej instrukcji, a u mnie są "wyszarzone" więc pokazuję jak to wygląda żeby nie było :-)

 

pozdrawiam

Fixlog.txt

Addition.txt

FRST.txt

Shortcut.txt

post-19378-0-48420000-1497817901_thumb.png

GMER.txt

AdwCleanerC0.txt

Odnośnik do komentarza

Sterownik SWDUMon został pomyślnie usunięty za pomocą skryptu FRST, ale został przywrócony. Przyjrzałam się bliżej raportom co go przywraca. Ten sterownik należy do:

 

AVG Driver Updater (x32 Version: 2.2.2 - AVG Netherlands B.V) Hidden

 

Task: {7BA60D47-7384-4A38-8418-E8F039EA4AAF} - System32\Tasks\AVG Driver Updater Scan => C:\Program Files (x86)\AVG Driver Updater\AVG Driver Updater.exe [2016-08-10] (AVG Netherlands B.V)

 

AVG Driver Updater to rebrand programu Slimware Driver Updater, co wyjaśnia wspólny sterownik. Pytaniem jest czy ten program jest sprawny i uruchamia się, oraz czy w interfejsie AVG widać jakieś opcje jego deinstalacji. Nie da się go po prostu odinstalować przez Panel sterowania (program ukryty) bez dodatkowych operacji.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...