jessica

coś jest "nie tak" - to powinno trwać najwyżej kilka minut.

Log z USBFix zrobiony bez podpiętego zarażonego "D".

SystemLook - nic w Rejestrze nie wykrył związanego z tym "vpbt0.dll", a ja jakoś nie dostrzegam, co może wywoływać ten błąd.

@Picasso jest od kilku dni nieobecna, i nie wiem, kiedy wróci.

W logach nie widzę infekcji (ale to dokładniej oceni @Picasso).

Odinstaluj niepotrzebny Qtrax Player.

Są ślady po sponsorskich śmieciach, więc użyj Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=118323

Kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner[s1].txt

Zrób nowe logi, by @Picasso, gdy już wróci, miała aktualne logi.

Zrób też log z USBFix https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=74 z opcji LISTING.

A jeśli w żadnym z tych logów nie znajdziesz wpisu dotyczącego "vpbt0.dll", to dodatkowo:

Do  >SystemLook wklej:

:regfind
vpbt0.dll

Oczywiście jeśli w logach znajdziesz jakiś wpis o tym "vpbt0.dll", to zalecenia z SystemLook nie rób.

@Picasso od kilku dni jest nieobecna, i nie wiem, za ile dni wróci.

Spróbuję Ci pomóc tylko na tyle, byś mógł używać komputer w Trybie Normalnym (a nie spoza Systemu).

Masz też infekcję ZeroAcces, więc do tego potrzebna będzie fachowa pomoc @Picasso.

1) 1. Otwórz Notatnik i wklej w nim:

HKLM\...\Run: [AS2014] - C:\ProgramData\gX337333\gX337333.exe

C:\ProgramData\gX337333

HKU\admin\...\Run: [AS2014] - C:\ProgramData\gX337333\gX337333.exe

HKLM\...\Winlogon: [userinit] C:\ProgramData\gX337333\gX337333.exe -sm,

HKU\admin\...\Run: [crediles] - rundll32 "C:\Users\admin\AppData\Local\Temp\explmmc64.dll",CreateProcessNotify <===== ATTENTION

C:\Users\admin\AppData\Local\Temp\explmmc64.dll

S2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{44ed8363-71b7-b030-c4a3-bda14e250c8f}\   \...\???\{44ed8363-71b7-b030-c4a3-bda14e250c8f}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess)

S1 pnhynwsk; \??\C:\Windows\system32\drivers\pnhynwsk.sys [x]

S1 rdcjrmhm; \??\C:\Windows\system32\drivers\rdcjrmhm.sys [x]

S1 sqgbkqyb; \??\C:\Windows\system32\drivers\sqgbkqyb.sys [x]

S1 wyemuqbr; \??\C:\Windows\system32\drivers\wyemuqbr.sys [x]

C:\Program Files (x86)\BonanzaDeals

C:\Users\admin\AppData\Local\Google\Desktop\Install

C:\Program Files (x86)\Google\Desktop\Install

C:\ProgramData\dsgsdgdsgdsgw.bat

C:\ProgramData\dsgsdgdsgdsgw.reg

Plik zapisz pod nazwą fixlist.txt. Umieść obok narzędzia FRST.

2. Uruchom FRST, wskaż mu Windows 7 jako system do naprawy, wybierz opcję Fix. Powstanie plik fixlog.txt. (dasz go)

Spróbuj uruchomić komputer w Trybie Normalnym.

Jeśli się uda, to zrobisz to:

1) Użyj >>RogueKiller (aby pobrać kliknij na obrazek po Lien de téléchargement :)

Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.

2) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

3) Zrobisz wymagane logi.

Bez względu na to, czy uda się uruchomić komputer w Trybie Normalnym, czy nie, to zrobisz log z FRST.

Tak, w logach MBAM wyraźnie widać, że to tylko śmieci PUP, a nie infekcje.

Teraz już spokojnie czekaj, aż wróci @Picasso, i dokładniej przyjrzy się logom.

@Picasso od kilku dni jest nieobecna; nie wiem, kiedy wróci.

Nie widzę raportu z MBAM, ale podejrzewam, że wszystkie jego wykrycia to śmieci PUP.

W logach nie widzę żadnej infekcji.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013-10-10 17:18:44 | 000,000,000 | ---D | C] -- C:\Users\xxx\AppData\Local\avgchrome
[2013-10-10 17:12:24 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions
[2013-10-10 17:12:22 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1294815342-1581708736-1204018937-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-1294815342-1581708736-1204018937-1000\..\Toolbar\WebBrowser: (no name) - {9D81AF43-DE53-48D0-A199-42C2A226B24C} - No CLSID value found.
IE - HKU\S-1-5-21-1294815342-1581708736-1204018937-1000\..\URLSearchHook: {9d81af43-de53-48d0-a199-42c2a226b24c} - No CLSID value found

:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1294815342-1581708736-1204018937-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

:Commands
[emptytemp]

Zrób nowy log z OTL, oraz wymagane logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294

po to, by @Picasso, jak już wróci, miała do przejrzenia aktualne logi.

@Picasso od kilku dni jest nieobecna, a chyba nikt tu oprócz Niej nie potrafi Ci pomóc.

Gdyby to była wina jakiejś infekcji, to być może ja bym pomogła, ale w logach nie widzę niczego "wirusowego"

Wiem natomiast, co powoduje mulenie:

HKLM\...\Run: [Chew7Hale] - C:\Windows\System32\hale.exe [2169856 2013-05-22] ()

To aktywator "legalnego" Systemu WIN 7.

On znany jest z tego, że powoduje duże mulenie.

Teoretycznie mogłabym podać jego usuwanie, ale chyba lepiej będzie, jak zajmie się tym sama @Picasso.

File ptytemp] not found.

Nie wszystko się wykonało, bo w raporcie z usuwania widać, że gdzieś po drodze odcięty został lewy dolny róg Skryptu.

Logi dokładniej przejrzy @Picasso jak wróci.

W międzyczasie możesz sprawdzić ten ukryty plik C:\Windows\SysWow64\rdpd3di.dll na JOTTI/ albo na VIRUSTOTAL

Próbowałam go dopasować wg nazwy do jakiegoś Twego programu, ale do niczego nie pasuje.

Nie podoba mi się też to, że jest ukryty.

@Picasso od kilku dni jest nieobecna, i nie wiem, za ile dni wróci.

W międzyczasie:

Otwórz Notatnik i wklej w nim:

C:\ProgramData\Start.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt - daj go.

Zrób też nowy log z FRST, by @Picasso, gdy wróci, miała aktualny obraz sytuacji.

@Picasso jest od kilku dni nieobecna, i nie wiem, za ile dni wróci.

Sądząc po tych logach, to to wcale nie jest problem "wirusowy", ale mimo to zrób jeszcze wymagane logi z FRST.

@Picasso od kilku dni jest nieobecna, i nie wiem, za ile dni wróci.

Wlogu jest zaplanowane Zadanie, ale jakoś nie dostrzegam pozostałej części tej infekcji.

Na razie usuniemy tylko to Zadanie:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2013-10-10 06:34:31 | 000,000,310 | ---- | M] () -- C:\Windows\tasks\Yawamyq.job

O3 - HKLM\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No CLSID value found.

O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)

O16:64bit: - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)

O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Reg Error: Key error.)

O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Reg Error: Key error.)

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} http://download.eset.com/special/eos/OnlineScanner.cab (Reg Error: Key error.)

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Zrób też wymagane logi z FRST,  bo @Picasso, jak już wróci, na pewno będzie je chciała zobaczyć

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
@Alternate Data Stream - 24 bytes -> C:\Windows:DE7CA630653230F0
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\EagleNT.sys -- (EagleNT)
FF - HKLM\Software\MozillaPlugins\@tools.bdupdater.com/BonanzaDealsLive Update;version=3: C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.bdupdater.com/BonanzaDealsLive Update;version=9: C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll File not found
O2 - BHO: (Lyrmix) - {804efe7d-a8d7-4351-a6df-014d1ed7c6fc} - C:\Program Files\Lyrmix\133.dll File not found
O2 - BHO: (4sharedExt) - {95525BD9-6136-4A26-8263-9CEE295D442D} - C:\Program Files\4Shared Toolbar\4sharedExt32.dll (New IT Solutions Ltd)
O3 - HKLM\..\Toolbar: (4shared Toolbar) - {95080B13-AA71-4EE8-B951-7E98221E1ED5} - C:\Program Files\4Shared Toolbar\4sharedbar32.dll (New IT Solutions Ltd)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\..\Toolbar\WebBrowser: (no name) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - No CLSID value found.
O4 - HKLM..\Run: [AnyProtect] C:\Program Files\AnyProtectEx\AnyProtect.exe File not found
O4 - HKLM..\Run: [AnyProtect Tray] C:\Program Files\AnyProtectEx\AnyProtectTray.exe /scanner File not found
O4 - HKLM..\Run: [ConvertAd] C:\Users\szczepan\AppData\Local\ConvertAd\ConvertAd.exe File not found
O4 - Startup: C:\Users\szczepan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TorpedoCopy.lnk =  File not found
O20 - AppInit_DLLs: (c:\progra~2\bitguard\261694~1.246\{c16c1~2\bitguard.dll) -  File not found
[2013/10/09 17:17:46 | 000,000,000 | ---D | C] -- C:\Users\szczepan\AppData\Roaming\0C1I1L1R1J0M1P0I1G
[2013/10/09 17:16:07 | 000,000,000 | ---D | C] -- C:\Users\szczepan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BonanzaDeals
[2013/10/09 17:16:07 | 000,000,000 | ---D | C] -- C:\Program Files\BonanzaDeals
[2013/10/09 21:22:01 | 000,000,918 | ---- | M] () -- C:\windows\tasks\BonanzaDealsLiveUpdateTaskMachineUA.job

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[-HKEY_USERS\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\SearchScopes\{12995981-2FD6-4BEE-9FB0-B1674E8E5E7E}]

:Commands
[emptytemp]

Zrób nowy log z FRST.

Te już oceni @Picasso, jak wróci (nie wiem, za ile dni, czy tygodni).

co konkretnie?

Adw-Cleaner powinien je wszystkie usunąć

@Picasso od kilku dni jest nieobecna - musisz poczekać.

W międzyczasie:

1) Odinstaluj StartNow Toolbar

2) Odinstaluj Softonic-Polska Toolbar

3) Odinstaluj "DSite" = Update for Mipony Download Manager

4) Odinstaluj Claro LTD toolbar  on IE

5) Odinstaluj Babylon toolbar on IE

6) Odinstaluj "{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}" = BitGuard

7) Użyj Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=118323

Najnowsza wersja Adw-Cleaner'a nie ma polskiej wersji, i działa trochę inaczej: najpierw kliknij na SCAN, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk CLEAN, to kliknij na niego. Daj z tego raport.

8) Potem zrób nowe logi z FRST i OTL, by @Picasso mogła zobaczyć aktualną sytuację po tych zabiegach.
 

Możesz zerknąć czy log OTL zaktualizowany w pierwszym poscie cos zmienia?

nie, ten log także jest zrobiony na ustawieniu "Wszyscy Użytkownicy", a powinien być na jednym konkretnym użytkowniku.

Poza tym jeśli robisz nowy log, to dawaj go albo do nowego postu, albo dawaj jako drugi, bo przecież @Picasso będzie chciała widzieć, co było w pierwszym logu.

@Picasso jest nieobecna, wiec musisz poczekać, ale w międzyczasie możesz zrobić log z USBFix  z opcji LISTING https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=74

Z logów nie wynika, by infekcja pendrivowa była aktywna, ale może tylko dlatego, że w chwili robienia logów pendrive nie były podpięte.

Lepiej się upewnić.

Reklamiarz został odinstalowany.

@Picasso jest nieobecna, więc musisz poczekać.

Ale to, co widzę w logach, nie zgadza się z tym "odinstalowaniem" Wprawdzie "eSafe" nie ma już na liście Twoich programów, ale w logach są jego resztki:

[2013-10-08 18:54:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\eSafe

SRV - [2013-10-02 15:00:56 | 000,825,920 | ---- | M] (Wsys Co., Ltd.) [Auto | Running] -- C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe -- (WsysSvc)

Adw-Cleaner może usunie też:

IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}

IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=SAMSUNGXHM320II_S230J56SC01821&ts=1379585702&type=default&q={searchTerms}

IE - HKU\S-1-5-21-839522115-746137067-1801674531-1003\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}

IE - HKU\S-1-5-21-839522115-746137067-1801674531-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=SAMSUNGXHM320II_S230J56SC01821&ts=1379585702&type=default&q={searchTerms}

[2013-09-19 12:15:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\pdejko\Ustawienia lokalne\Dane aplikacji\Lollipop

[2013-09-19 12:15:05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\pdejko\Ustawienia lokalne\Dane aplikacji\DProtect

Scan Mode: All users

@Picasso od kilku dni jest nieobecna.

W tych logach nie widzę tej infekcji, ale może tylko dlatego, że skan nie był robiony na rzekomo zainfekowanym koncie?

Spróbuj zrobić logi na koncie zarażonego Użytkownika.

@piotrml:

Chyba niezbyt dokładnie przeczytałeś, co napisał autor tematu:

Odinstalowanie za pomocą BitDefender_Uninstall_Tool nie przynosi rezultatu.

w systemie działał rootkit ZeroAccess.

albo dalej działa, tyle tylko, ze to jest ta najnowsza wersja, którą (na razie) wykrywa tylko RogueKiller.

?

Dziwna z Ciebie osoba - inne osoby, które także nie doczekały się tu żadnej odpowiedzi, już dawno sformatowały dysk.

Sama będziesz mogła policzyć, ile to osób: po prostu policzysz, w ilu tematach, po kilku tygodniach w końcu odpowie @Picasso, ale na jej odpowiedź już autor tematu nie odpowie.

Każdy ma prawo do odpoczynku od Forum, ale, wg mnie, powinien być wtedy ktoś z prawem do odpowiadania.

Picasso jednak uważa, że lepiej by autor tematu sformatował dysk, niż gdyby miał jakąś niewielką szansę na pomoc innej osoby.

No cóż, to jej Forum.

Jest szansa na usunięcie tej infekcji.

Problem jest tylko taki, że od 27 lipca @Picasso jest nieobecna, aż do ok. 11 sierpnia, @Landuss czasem zagląda tu, ale nie pomaga, a nikt więcej nie ma prawa tu pomagać.. Tak więc masz do wyboru:

1) sformatować dysk

2) poczekać do 11 sierpnia,(czyli łącznie 12 dni od 31 lipca!)

3) poszukać innego forum, gdzie pomoc otrzymasz prawie natychmiast.

to tylko:

[2013-07-24 13:54:55 | 000,000,806 | ---- | M] () -- C:\Documents and Settings\Dewelop\Menu Start\Programy\Autostart\regmonstd.lnk

plik do usunięcia

SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\ALLUSE~1\DANEAP~1\fvJcrgR.exe -- (winmgmt)

naprawa tego klucza w Rejestrze

O4 - HKU\S-1-5-21-2000478354-602162358-1417001333-1003..\Run: [Iszyokaxz] C:\Documents and Settings\Dewelop\Dane aplikacji\Toev\utqil.exe (Twain Working Group)

plik, folder, i wartość klucza do usunięcia.

C:\Documents and Settings\Dewelop\Dane aplikacji\Iqku

to też wygląda podejrzanie

Masz też infekcję pendrivową (potrzebne będzie użycie USBFix)

Masz też sponsorskie śmieci (potrzebne będzie odinstalowanie ich/użycie Adw-Cleaner)

Jak widzisz, na każdym innym forum znajdzie się szybko ktoś, kto Ci pomoże.

Wybieraj, ja Ci nie pomogę w wyborze, musisz sam wybrać..

prosiłbym o w możliwie szybką interwencję, ponieważ w tym tygodniu komputer jest mi potrzebny do pracy

To niemożliwe, bo >https://www.fixitpc.pl/topic/19096-a-picasso-na-wakacjach/?do=findComment&comment=126838

Wg mnie - w logach nie ma niczego podejrzanego, ale tu są wyznaczone osoby do pomagania, więc moja opinia się nie liczy.