jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Log z USBFix zrobiony bez podpiętego zarażonego "D".
SystemLook - nic w Rejestrze nie wykrył związanego z tym "vpbt0.dll", a ja jakoś nie dostrzegam, co może wywoływać ten błąd.
-
@Picasso jest od kilku dni nieobecna, i nie wiem, kiedy wróci.
W logach nie widzę infekcji (ale to dokładniej oceni @Picasso).
Odinstaluj niepotrzebny Qtrax Player.
Są ślady po sponsorskich śmieciach, więc użyj Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=118323
Kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt
Zrób nowe logi, by @Picasso, gdy już wróci, miała aktualne logi.
-
Zrób też log z USBFix https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=74 z opcji LISTING.
A jeśli w żadnym z tych logów nie znajdziesz wpisu dotyczącego "vpbt0.dll", to dodatkowo:
Do >SystemLook wklej:
:regfind
vpbt0.dll
Naciśnij Look i pokaż raport.Oczywiście jeśli w logach znajdziesz jakiś wpis o tym "vpbt0.dll", to zalecenia z SystemLook nie rób.
-
@Picasso od kilku dni jest nieobecna, i nie wiem, za ile dni wróci.
Spróbuję Ci pomóc tylko na tyle, byś mógł używać komputer w Trybie Normalnym (a nie spoza Systemu).
Masz też infekcję ZeroAcces, więc do tego potrzebna będzie fachowa pomoc @Picasso.
1) 1. Otwórz Notatnik i wklej w nim:
HKLM\...\Run: [AS2014] - C:\ProgramData\gX337333\gX337333.exe
C:\ProgramData\gX337333
HKU\admin\...\Run: [AS2014] - C:\ProgramData\gX337333\gX337333.exe
HKLM\...\Winlogon: [userinit] C:\ProgramData\gX337333\gX337333.exe -sm,
HKU\admin\...\Run: [crediles] - rundll32 "C:\Users\admin\AppData\Local\Temp\explmmc64.dll",CreateProcessNotify <===== ATTENTION
C:\Users\admin\AppData\Local\Temp\explmmc64.dll
S2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{44ed8363-71b7-b030-c4a3-bda14e250c8f}\ \...\???\{44ed8363-71b7-b030-c4a3-bda14e250c8f}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess)
S1 pnhynwsk; \??\C:\Windows\system32\drivers\pnhynwsk.sys [x]
S1 rdcjrmhm; \??\C:\Windows\system32\drivers\rdcjrmhm.sys [x]
S1 sqgbkqyb; \??\C:\Windows\system32\drivers\sqgbkqyb.sys [x]
S1 wyemuqbr; \??\C:\Windows\system32\drivers\wyemuqbr.sys [x]
C:\Program Files (x86)\BonanzaDeals
C:\Users\admin\AppData\Local\Google\Desktop\Install
C:\Program Files (x86)\Google\Desktop\Install
C:\ProgramData\dsgsdgdsgdsgw.bat
C:\ProgramData\dsgsdgdsgdsgw.reg
Plik zapisz pod nazwą fixlist.txt. Umieść obok narzędzia FRST.
2. Uruchom FRST, wskaż mu Windows 7 jako system do naprawy, wybierz opcję Fix. Powstanie plik fixlog.txt. (dasz go)
Spróbuj uruchomić komputer w Trybie Normalnym.
Jeśli się uda, to zrobisz to:
1) Użyj >>RogueKiller (aby pobrać kliknij na obrazek po Lien de téléchargement :)
Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.
2) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
3) Zrobisz wymagane logi.
Bez względu na to, czy uda się uruchomić komputer w Trybie Normalnym, czy nie, to zrobisz log z FRST.
-
Tak, w logach MBAM wyraźnie widać, że to tylko śmieci PUP, a nie infekcje.
Teraz już spokojnie czekaj, aż wróci @Picasso, i dokładniej przyjrzy się logom.
-
@Picasso od kilku dni jest nieobecna; nie wiem, kiedy wróci.
Nie widzę raportu z MBAM, ale podejrzewam, że wszystkie jego wykrycia to śmieci PUP.
W logach nie widzę żadnej infekcji.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2013-10-10 17:18:44 | 000,000,000 | ---D | C] -- C:\Users\xxx\AppData\Local\avgchrome
[2013-10-10 17:12:24 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions
[2013-10-10 17:12:22 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1294815342-1581708736-1204018937-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-1294815342-1581708736-1204018937-1000\..\Toolbar\WebBrowser: (no name) - {9D81AF43-DE53-48D0-A199-42C2A226B24C} - No CLSID value found.
IE - HKU\S-1-5-21-1294815342-1581708736-1204018937-1000\..\URLSearchHook: {9d81af43-de53-48d0-a199-42c2a226b24c} - No CLSID value found
:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1294815342-1581708736-1204018937-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Zrób nowy log z OTL, oraz wymagane logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294
po to, by @Picasso, jak już wróci, miała do przejrzenia aktualne logi.
-
@Picasso od kilku dni jest nieobecna, a chyba nikt tu oprócz Niej nie potrafi Ci pomóc.
Gdyby to była wina jakiejś infekcji, to być może ja bym pomogła, ale w logach nie widzę niczego "wirusowego"
Wiem natomiast, co powoduje mulenie:
HKLM\...\Run: [Chew7Hale] - C:\Windows\System32\hale.exe [2169856 2013-05-22] ()
To aktywator "legalnego" Systemu WIN 7.
On znany jest z tego, że powoduje duże mulenie.
Teoretycznie mogłabym podać jego usuwanie, ale chyba lepiej będzie, jak zajmie się tym sama @Picasso.
-
File ptytemp] not found.
Nie wszystko się wykonało, bo w raporcie z usuwania widać, że gdzieś po drodze odcięty został lewy dolny róg Skryptu.
Logi dokładniej przejrzy @Picasso jak wróci.
W międzyczasie możesz sprawdzić ten ukryty plik C:\Windows\SysWow64\rdpd3di.dll na JOTTI/ albo na VIRUSTOTAL
Próbowałam go dopasować wg nazwy do jakiegoś Twego programu, ale do niczego nie pasuje.
Nie podoba mi się też to, że jest ukryty.
-
@Picasso od kilku dni jest nieobecna, i nie wiem, za ile dni wróci.
W międzyczasie:
Otwórz Notatnik i wklej w nim:
C:\ProgramData\Start.exe
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt - daj go.
Zrób też nowy log z FRST, by @Picasso, gdy wróci, miała aktualny obraz sytuacji.
-
@Picasso jest od kilku dni nieobecna, i nie wiem, za ile dni wróci.
Sądząc po tych logach, to to wcale nie jest problem "wirusowy", ale mimo to zrób jeszcze wymagane logi z FRST.
-
@Picasso od kilku dni jest nieobecna, i nie wiem, za ile dni wróci.
Wlogu jest zaplanowane Zadanie, ale jakoś nie dostrzegam pozostałej części tej infekcji.
Na razie usuniemy tylko to Zadanie:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2013-10-10 06:34:31 | 000,000,310 | ---- | M] () -- C:\Windows\tasks\Yawamyq.job
O3 - HKLM\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found.
O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16:64bit: - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Reg Error: Key error.)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} http://download.eset.com/special/eos/OnlineScanner.cab (Reg Error: Key error.)
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
Zrób też wymagane logi z FRST, bo @Picasso, jak już wróci, na pewno będzie je chciała zobaczyć
-
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
@Alternate Data Stream - 24 bytes -> C:\Windows:DE7CA630653230F0
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\EagleNT.sys -- (EagleNT)
FF - HKLM\Software\MozillaPlugins\@tools.bdupdater.com/BonanzaDealsLive Update;version=3: C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.bdupdater.com/BonanzaDealsLive Update;version=9: C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll File not found
O2 - BHO: (Lyrmix) - {804efe7d-a8d7-4351-a6df-014d1ed7c6fc} - C:\Program Files\Lyrmix\133.dll File not found
O2 - BHO: (4sharedExt) - {95525BD9-6136-4A26-8263-9CEE295D442D} - C:\Program Files\4Shared Toolbar\4sharedExt32.dll (New IT Solutions Ltd)
O3 - HKLM\..\Toolbar: (4shared Toolbar) - {95080B13-AA71-4EE8-B951-7E98221E1ED5} - C:\Program Files\4Shared Toolbar\4sharedbar32.dll (New IT Solutions Ltd)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found.
O4 - HKLM..\Run: [AnyProtect] C:\Program Files\AnyProtectEx\AnyProtect.exe File not found
O4 - HKLM..\Run: [AnyProtect Tray] C:\Program Files\AnyProtectEx\AnyProtectTray.exe /scanner File not found
O4 - HKLM..\Run: [ConvertAd] C:\Users\szczepan\AppData\Local\ConvertAd\ConvertAd.exe File not found
O4 - Startup: C:\Users\szczepan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TorpedoCopy.lnk = File not found
O20 - AppInit_DLLs: (c:\progra~2\bitguard\261694~1.246\{c16c1~2\bitguard.dll) - File not found
[2013/10/09 17:17:46 | 000,000,000 | ---D | C] -- C:\Users\szczepan\AppData\Roaming\0C1I1L1R1J0M1P0I1G
[2013/10/09 17:16:07 | 000,000,000 | ---D | C] -- C:\Users\szczepan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BonanzaDeals
[2013/10/09 17:16:07 | 000,000,000 | ---D | C] -- C:\Program Files\BonanzaDeals
[2013/10/09 21:22:01 | 000,000,918 | ---- | M] () -- C:\windows\tasks\BonanzaDealsLiveUpdateTaskMachineUA.job
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[-HKEY_USERS\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\SearchScopes\{12995981-2FD6-4BEE-9FB0-B1674E8E5E7E}]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Zrób nowy log OTL.txt oraz raport z usuwania Skryptem.Zrób nowy log z FRST.
Te już oceni @Picasso, jak wróci (nie wiem, za ile dni, czy tygodni).
-
-
Adw-Cleaner powinien je wszystkie usunąć
a w logu OTL nie widzę, by Adw-Cleaner był w ogóle użyty.
-
@Picasso od kilku dni jest nieobecna - musisz poczekać.
W międzyczasie:
1) Odinstaluj StartNow Toolbar
2) Odinstaluj Softonic-Polska Toolbar
3) Odinstaluj "DSite" = Update for Mipony Download Manager
4) Odinstaluj Claro LTD toolbar on IE
5) Odinstaluj Babylon toolbar on IE
6) Odinstaluj "{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}" = BitGuard
7) Użyj Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=118323
Najnowsza wersja Adw-Cleaner'a nie ma polskiej wersji, i działa trochę inaczej: najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego. Daj z tego raport.
8) Potem zrób nowe logi z FRST i OTL, by @Picasso mogła zobaczyć aktualną sytuację po tych zabiegach.
-
Możesz zerknąć czy log OTL zaktualizowany w pierwszym poscie cos zmienia?
nie, ten log także jest zrobiony na ustawieniu "Wszyscy Użytkownicy", a powinien być na jednym konkretnym użytkowniku.
Poza tym jeśli robisz nowy log, to dawaj go albo do nowego postu, albo dawaj jako drugi, bo przecież @Picasso będzie chciała widzieć, co było w pierwszym logu.
-
@Picasso jest nieobecna, wiec musisz poczekać, ale w międzyczasie możesz zrobić log z USBFix z opcji LISTING https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=74
Z logów nie wynika, by infekcja pendrivowa była aktywna, ale może tylko dlatego, że w chwili robienia logów pendrive nie były podpięte.
Lepiej się upewnić.
-
Reklamiarz został odinstalowany.
@Picasso jest nieobecna, więc musisz poczekać.
Ale to, co widzę w logach, nie zgadza się z tym "odinstalowaniem" Wprawdzie "eSafe" nie ma już na liście Twoich programów, ale w logach są jego resztki:
Ze względu na tę uciążliwą usługę radzę użyć Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbiór-narzędzi-usuwających/#entry118323 - kliknij najpierw na "Skan", a potem, po uaktywnieniu się przycisk CLEAN.[2013-10-08 18:54:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\eSafe
SRV - [2013-10-02 15:00:56 | 000,825,920 | ---- | M] (Wsys Co., Ltd.) [Auto | Running] -- C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe -- (WsysSvc)
Adw-Cleaner może usunie też:
Może i inne, ale to oceni już @Picasso.IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=SAMSUNGXHM320II_S230J56SC01821&ts=1379585702&type=default&q={searchTerms}
IE - HKU\S-1-5-21-839522115-746137067-1801674531-1003\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKU\S-1-5-21-839522115-746137067-1801674531-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=SAMSUNGXHM320II_S230J56SC01821&ts=1379585702&type=default&q={searchTerms}
[2013-09-19 12:15:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\pdejko\Ustawienia lokalne\Dane aplikacji\Lollipop
[2013-09-19 12:15:05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\pdejko\Ustawienia lokalne\Dane aplikacji\DProtect
-
Scan Mode: All users
@Picasso od kilku dni jest nieobecna.
W tych logach nie widzę tej infekcji, ale może tylko dlatego, że skan nie był robiony na rzekomo zainfekowanym koncie?
Spróbuj zrobić logi na koncie zarażonego Użytkownika.
-
@piotrml:
Chyba niezbyt dokładnie przeczytałeś, co napisał autor tematu:
Odinstalowanie za pomocą BitDefender_Uninstall_Tool nie przynosi rezultatu.
-
w systemie działał rootkit ZeroAccess.
albo dalej działa, tyle tylko, ze to jest ta najnowsza wersja, którą (na razie) wykrywa tylko RogueKiller.
?
-
Dziwna z Ciebie osoba - inne osoby, które także nie doczekały się tu żadnej odpowiedzi, już dawno sformatowały dysk.
Sama będziesz mogła policzyć, ile to osób: po prostu policzysz, w ilu tematach, po kilku tygodniach w końcu odpowie @Picasso, ale na jej odpowiedź już autor tematu nie odpowie.
Każdy ma prawo do odpoczynku od Forum, ale, wg mnie, powinien być wtedy ktoś z prawem do odpowiadania.
Picasso jednak uważa, że lepiej by autor tematu sformatował dysk, niż gdyby miał jakąś niewielką szansę na pomoc innej osoby.
No cóż, to jej Forum.
-
Jest szansa na usunięcie tej infekcji.
Problem jest tylko taki, że od 27 lipca @Picasso jest nieobecna, aż do ok. 11 sierpnia, @Landuss czasem zagląda tu, ale nie pomaga, a nikt więcej nie ma prawa tu pomagać.. Tak więc masz do wyboru:
1) sformatować dysk
2) poczekać do 11 sierpnia,(czyli łącznie 12 dni od 31 lipca!)
3) poszukać innego forum, gdzie pomoc otrzymasz prawie natychmiast.
to tylko:
[2013-07-24 13:54:55 | 000,000,806 | ---- | M] () -- C:\Documents and Settings\Dewelop\Menu Start\Programy\Autostart\regmonstd.lnk
plik do usunięcia
SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\ALLUSE~1\DANEAP~1\fvJcrgR.exe -- (winmgmt)
naprawa tego klucza w Rejestrze
O4 - HKU\S-1-5-21-2000478354-602162358-1417001333-1003..\Run: [Iszyokaxz] C:\Documents and Settings\Dewelop\Dane aplikacji\Toev\utqil.exe (Twain Working Group)
plik, folder, i wartość klucza do usunięcia.
C:\Documents and Settings\Dewelop\Dane aplikacji\Iqku
to też wygląda podejrzanie
Masz też infekcję pendrivową (potrzebne będzie użycie USBFix)
Masz też sponsorskie śmieci (potrzebne będzie odinstalowanie ich/użycie Adw-Cleaner)
Jak widzisz, na każdym innym forum znajdzie się szybko ktoś, kto Ci pomoże.
Wybieraj, ja Ci nie pomogę w wyborze, musisz sam wybrać..
-
prosiłbym o w możliwie szybką interwencję, ponieważ w tym tygodniu komputer jest mi potrzebny do pracy
To niemożliwe, bo >https://www.fixitpc.pl/topic/19096-a-picasso-na-wakacjach/?do=findComment&comment=126838
Wg mnie - w logach nie ma niczego podejrzanego, ale tu są wyznaczone osoby do pomagania, więc moja opinia się nie liczy.
Błąd rundll vpbt0.dll podczas startu systemu
w Dział pomocy doraźnej
Opublikowano
coś jest "nie tak" - to powinno trwać najwyżej kilka minut.