Problem z update.vbe

[mistrzu112]

Witam mam następujący problem związany z update.vbe. Zdaje mi się ,że jest to Trojan (przynajmniej tak pokazuje mi Kaspersky Internet Security).

Pomimo tego że KIS stara się to usunąć i żąda ode mnie restartu systemu to i tak po ponownym uruchomieniu pojawia się ciągle ten sam problem. Widziałem na tym forum podobny problem pod tym linkiem "https://www.fixitpc.pl/topic/21367-trojanbitcoinminer/" ,nawet nie próbowałem poradzić sobie sam z tym problemem ,bo wiedziałem ,że polegnę.

Załączam

FRST.txt

Addition.txt

Extras.Txt

OTL.Txt

[picasso]

Owszem, jest to infekcja, tylko że u Ciebie została już usunięta i się nie ładuje. Został po niej martwy wpis "Origin" w Harmonogramie zadań. Czyli tylko doczyszczanie szczątkowych wpisów, w tym odpadków po adware i niepoprawnie odinstalowanym McAfee:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {6EA804D6-B13A-4ED2-A2A5-4FD4FE07ECCE} - \Origin No Task File 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Driver"
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.default-search.net?sid=476&aid=132&itype=n&ver=12302&tm=323&src=hmp
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12302&tm=323&src=ds&p={searchTerms}
SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12302&tm=323&src=ds&p={searchTerms}
SearchScopes: HKCU - {1F88C210-B73D-4A7E-9E52-B1B877750DB9} URL =
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=n&ver=12302&tm=323&src=ds&p={searchTerms}
BHO: No Name - {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} - No File
HKLM\...\Policies\Explorer: [NoControlPanel] 0
C:\Windows\SysWOW64\sqlite3.dll
Folder: C:\Users\Mateusz\AppData\Roaming\Origin
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {1F88C210-B73D-4A7E-9E52-B1B877750DB9} /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom McAfee Consumer Product Removal Tool.

 

3. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres default-search.net.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z katalogu C:\AdwCleaner (był używany).

 

 

 

 

.

[mistrzu112]

Dziękuję za szybka odpowiedź .

Niżej zamieszczam to co jest potrzebne(przynajmniej tak mi się zdaje)

Fixlog.txt

FRST.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

Na przyszłość: przed użyciem AdwCleaner zawsze staraj się deinstalować adware / nieznane aplikacje przez Panel sterowania oraz w menedżerze rozszerzeń przeglądarki. AdwCleaner powinien być stosowany jako poprawiacz a nie zamiennik deinstalacji.

 

Wszystko wykonane. Kończymy:

 

1. Drobna poprawka. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
C:\Users\Mateusz\AppData\Roaming\Origin

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Usuń używane narzędzia za pomocą DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj Java 7 Update 51 do najnowszej wersji.

 

 

 

 

.

[mistrzu112]

Naprawdę bardzo Dziękuję za pomoc .

[mistrzu112]

W temacie został opisany mój problem z update.vba

Moim kolejnym problemem jest to ,że zrobiłem wszystko co użytkownik picasso polecił mi wykonać (myślę, że zrobiłem wszystko prawidłowo) lecz nie wiem dlaczego KIS ciągle wykrywa mi update.vbe.

Addition.txt

FRST.txt

Extras.Txt

OTL.Txt

[picasso]

Tematy łączę. W świeżych raportach nie widać oznak infekcji. Przedstaw gdzie konkretnie KIS wykrywa update.vbe, przeklej ze skanera lokalizację. I czy na pewno nie chodzi tu o widok pliku w kwarantannie?

 

 

 

.

[mistrzu112]

Proszę mam nadzieję ,że to o to chodziło

[picasso]

KIS pokazuje zupełnie inną lokalizację niż ta infekcja domyślnie używa, czyli na jednym z kont serwisowych. Toteż ponówmy próbę via FRST. Otwórz Notatnik i wklej w nim:

 

C:\Windows\system32\config\systemprofile\appdata\roaming\origin

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[mistrzu112]

Proszę

Fixlog.txt

[picasso]

Usuwanie przebiegło pomyślnie, czyli Kaspersky powinien się uspokoić. Na koniec:

 

1. Usuń kwarantannę FRST. Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Zastosuj Delfix, który widzę na Pulpicie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

 

.