Pozůstatek po viru Trotux - přesměrování vyhledávání

[albert4096]

Dobrý den, infikoval jsem PC s Win 7 Professional 64bit virem Trotux, který mi u všech prohlížečů nastavil homepage Trotux.com. Na PC je sice legální Avast Internet Security, ten byl ovšem úplně k ničemu - jak při ochraně, tak při odstraňování. Trotux jsem nakonec úspěšně odstranil pomocí free aplikací od Malwarebytes, ale nedošlo k úplnému navrácení do původního stavu. Vyhledávač Google se mi totiž nyní vždy při snaze cokoliv hledat přesměrovává na custom search (cse.google.com). Dělá to ve všech prohlížečích. Podařilo se mi zjistit, že vždy po promazání temp adresářů programem Temp File Cleaner přesměrování ustane, ale po restartu je to tam všechno zpět. Díky tomu jsem objevil, že v Temp adresáři Windows ve vždy nově po startu systému vytvoří soubory g6CA6.tmp, g6CA7.tmp, g6CA7.tmp.exe, gA9D7.tmp.exe a gB6E1.tmp, které za přesměrování evidentně mohou. Nicméně jde o názvy, které nejde nikde na internetu v žádné souvislosti najít, jsou zjevně generovány individuálně. Zkusil jsem tyto názvy i "blokovat" vytvořením prázdných read only souborů se stejným názvem, ale po dalším restartu se pak vytvořilo pět nových s trochu odlišnými názvy a přesměrování Googlu bylo opět aktivní. Prošel jsem všechna fóra, kde se custom search řeší, ale bez úspěchu a nevím jak identifikovat proces, který uvedené nežádoucí soubory vytváří. A mazat je vždy po každém nabootování je trochu otravné, nehledě na to, že je nepříjemné vědět, že v počítači je evidentně nějaká "havěť". Máte nějaké rady, co s tím? Výpisy z FRST přikládám do přílohy, ale z nich toho asi moc poznat nepůjde Předem děkuji za pomoc.

[Rudy]

Zdravím!
Spusťte tuto utilitu:

Stáhněte AdwCleaner https://toolslib.net/downloads/viewdown ... dwcleaner/
Uložte na plochu
Ukončete všechny programy
Klikněte nejprve na >Scan<(hledání) a pak na >Clean< (mazání).
Proběhne skenováni a pak se objeví log, který sem vložte.

[albert4096]

Díky, tuto utilitu jsem již dříve použil - byla jednou z těch, pomocí kterých jsem odstranil Trotux, ale nevyřešila to přesměrování na custom search. I při opakovaných skenech najde jako nebezpečný vždy jeden klíč, ale i po jeho odstranění je tam po restartu znovu. Obsahem klíče je příkaz ke spuštění již zmíněného programu v tempu (momentálně C:\windows\TEMP\gEE93.tmp.exe - ovšem přizpůsobuje se to vždy podle aktuálního názvu) a který pak způsobuje přesměrování. Toto jsem také ještě zjistil sám, ale nedokážu vystopovat, který proces tento klíč neustále znovu zakládá do registru a který vytváří zmíněné soubory v tempu. Když ho najdeme, bude vyřešeno.

# AdwCleaner v6.041 - Log vytvořen 29/12/2016 v 07:51:06
# Aktualizováno dne 16/12/2016 z Malwarebytes
# Databáze : 2016-12-26.3 [Server]
# Operační systém : Windows 7 Professional Service Pack 1 (X64)
# Uživatelské jméno : test
# Spuštěno z : C:\Users\test\Documents\b3\adwcleaner_6.041.exe
# Mod: Skenování
# Podpora : https://www.malwarebytes.com/support



***** [ Služby ] *****

Nebyly nalezeny žádné škodlivé služby.


***** [ Složky ] *****

Nebyly nalezeny žádné škodlivé složky.


***** [ Soubory ] *****

Nebyly nalezeny žádné škodlivé soubory.


***** [ DLL ] *****

Nebyly nalezeny žádné škodlivé DLL.


***** [ WMI ] *****

Nebyly nalezeny žádné škodlivé klíče.


***** [ Zástupci ] *****

Žádný infikovaný zástupce nenalezen.


***** [ Naplánované úlohy ] *****

Žádná nebezpečná úloha nenalezena.


***** [ Registry ] *****

Klíč nalezen: [x64] HKLM\SOFTWARE\MGT
Hodnota nalezena: [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce [Wd]


***** [ Internetové prohlížeče ] *****

Nebyly nalezeny žádné škodlivé položky prohlížeče Firefox.
Nebyly nalezeny žádné škodlivé položky prohlížeče Chromium.

*************************

C:\AdwCleaner\AdwCleaner[S0].txt - [1300 Bajty] - [29/12/2016 07:51:06]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1373 Bajty] ##########

[Rudy]

Dejte nový log FRST.

[albert4096]

Ok, přidávám. Teď je počítač po restartu a nově vytvořené soubory a klíče jsem ručně umazal, abych mohl bez problémů pracovat. Ale stav je trvale stále stejný.

[Rudy]

Otevřte poznámkový blok a zkopírujte do něj:

Start
ShellExecuteHooks: No Name - {B9320EEE-AB3C-11E6-BA01-64006A5CFC23} - C:\Users\Ekospol\AppData\Roaming\Jaberge\Ckesuge.dll -> No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com?pc=CMDTDFJS
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com?pc=CMDTDFJS
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.bing.com?pc=CMDTDFJS
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.bing.com?pc=CMDTDFJS
FF ProfilePath: C:\Users\Ekospol\AppData\Roaming\Mozilla\Firefox\Profiles\h44knnl7.default [not found]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
C:\ProgramData\935z56777t378
C:\Program Files (x86)\Bonjour
C:\ProgramData\pconfig.dat
Task: {FD37BF45-290B-424F-B4EE-9FB365A99DEA} - System32\Tasks\935z56777t378 => Rundll32.exe "C:\ProgramData\935z56777t378\935z56777t378.dll",drvGetDefaultCommConfig <==== ATTENTION
C:\windows\TEMP

EmptyTemp:
End

Uložte do C:\Users\Ekospol\Documents\b3 jako fixlist.txt. Spusťte znovu FRST a klikněte na >Fix<. Po skončení akce se objeví log, který sem zkopírujte.

[albert4096]

Děkuji, nechal jsem to fixnout, po prvním restartu bylo vše OK, ale po obnově profilu ve Firefoxu se přesměrování i soubory ve windowsovském Tempu začaly znovu objevovat. Vytvořil jsem tedy jen minimalistickou zálohu profilu FF (zahrnující jen general settings, bookmarks a history), znovu pustil fix a zdá se, že se problém znovu neobjevil. Už jsem zkusil několik restartů. Výsledky obou fixů jsou v příloze, ale kdyžtak to budu během dne ještě testovat.

[Rudy]

Smazáno. Log by již měl být OK.

[albert4096]

Děkuji, jste nejlepší

[Rudy]

Díky za pochvalu a nemáte zač!

[kutil.josef]

Dobrý den, mám úplně stejný problém jako popisoval albert4096 v tomto vlákně. Odstranil jsem vir Trotux, ale vyhledávání v prohlížeči se přesměrovává na cse.google.com. Mám Win 10 64bit. Mám anitivirový program Avira a zkoušel jsem odstranění pomocí AdwCleaneru. Nějaké hrozby byly odstraněny, ale přesměrování vyhledávání stále přetrvává. Nyní jsem si tedy stáhl FRST a přikládám log. Můžete mi prosím poradit, co dál? Děkuji.

[Rudy]

2kutil.josef: Založte si, prosím, vlastní topic. Děkujeme.