Skocz do zawartości

Dziwny użytkownik w Windows 8.1 o nazwie "vlmbpgrh"


Barman

Rekomendowane odpowiedzi

Witam,

Nie wiem dokładnie od kiedy, ale najprawdopodobniej od niedawna, w systemie pojawił się użytkownik jak w temacie, o nazwie vlmbpgrh.

Zauważyłem go w okienku, które wysuwa się po naciśnięciu w menu start na użytkownika (są tam opcje zmień awatar, zablokuj, wyloguj i pojawiają się tam inni użytkownicy systemu - do zmiany użytkownika). Bardzo często korzystam z opcji ,,zablokuj" więc gdyby ten użytkownik znajdował się wcześniej, to i wcześniej bym go zobaczył, a zobaczyłem go dopiero dzisiaj, więc podejrzewam, że to świeża sprawa.

Nie wiem, czy jest to efekt jakichś infekcji, czy może błędów systemowych. Użytkownik po skasowaniu, pojawia się na nowo po każdym uruchomieniu systemu.

Ostatnio miałem problem z połączeniem się z internetem (system przydzielał ip 169.254.x.x) więc wpisywałem komendy, które można znaleźć w internecie (winsock reset catalog, netsh int ip reset ... itp.), jednak okazało się to daremne, gdyż wina jednak leżała po stronie routera (trzeba było zwiększyć limit połączonych użytkowników). W całej tej ,,operacji naprawiania internetu" skorzystałem jeszcze z komendy sfc /scannow i ona wykryła jakieś błędy ale i napisała, że niektórych nie może naprawić (może to te błędy?).

Z systemem nie dzieje się nic dziwnego oprócz właśnie tego użytkownika vlmbpgrh, chciałbym wiedzieć, co go tworzy przy każdorazowym uruchamianiu systemu (nie powiela, jeśli nie usunę, to zostaje ten jeden, tworzy go na nowo tylko jeśli zostanie usunięty).

Dołączam logi z OTL, FRST oraz log z tego sfc nieszczęsnego. Gmera niestety nie wrzucę, gdyż podczas uruchamiania wywala blue screen WHEA_UNCORRECTABLE_ERROR. Dodam jeszcze, że nie mam żadnego oprogramowania do emulacji napędów.

Log z sfc (CBS) nie zmieścił się do załącznika: http://wklej.org/id/1448048/

Z góry dziękuję i pozdrawiam

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie widzę tu żadnych oznak infekcji. Temat migruję do działu Windows.

 

 

Nie wiem dokładnie od kiedy, ale najprawdopodobniej od niedawna, w systemie pojawił się użytkownik jak w temacie, o nazwie vlmbpgrh.

To konto tworzone przez ESET Smart Security (ochrona Anti-Theft). Więcej o funkcjonalności w tym artykule: KLIK.

 

What is a Phantom Account?

 

The purpose of the Phantom Account is to protect your real user accounts. In ESET Anti-Theft setup, you are prompted to password-protect all your accounts. A Phantom Account requires no password, and therefore is easily accessible for the person with your device.

 

The Phantom Account:

 

is automatically opened when the missing device starts (while your actual accounts are hidden)

collects data on the device location, webcam pictures and screenshots

sends the data to your my.eset.com account

Konto ma losową nazwę, na każdym komputerze inną. Podobny temat z forum: KLIK.

 

 

W całej tej ,,operacji naprawiania internetu" skorzystałem jeszcze z komendy sfc /scannow i ona wykryła jakieś błędy ale i napisała, że niektórych nie może naprawić (może to te błędy?).

(...)

Log z sfc (CBS) nie zmieścił się do załącznika

Log się nie zmieścił, bo go nie przefiltrowałeś. Dostarczyłeś cały CBS.LOG z rozmaitymi akcjami, nie został ograniczony do operacji stricte SFC. Uruchom cmd z prawokliku opcją Uruchom jako Administrator > wklej komendę i ENTER:

 

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

 

Wynikowy log dołącz tutaj.

Odnośnik do komentarza

To na pewno jest konto tworzone przez ESET. Kolejny temat z forum ESET relatywny do "dziwnych" losowych kont: KLIK. Wersja programu u Ciebie zainstalowana:

 

==================== Installed Programs ======================

 

ESET Smart Security (HKLM\...\{B0D9ABD0-A8FD-41CE-85A5-D5AFF3BB3990}) (Version: 7.0.302.26 - ESET, spol s r. o.)

 

Wyniki SFC:

 

2014-08-23 23:53:05, Info CSI 000008fb [sR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.16384, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch

2014-08-23 23:53:05, Info CSI 000008fd [sR] Cannot repair member file [l:36{18}]"Amd64\CNBJ2530.DPB" of prncacla.inf, Version = 6.3.9600.16384, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type = [l:24{12}]"driverUpdate", TypeName neutral, PublicKey neutral in the store, hash mismatch

2014-08-23 23:53:05, Info CSI 000008fe [sR] This component was referenced by [l:186{93}]"Microsoft-Windows-Printer-Drivers-Package~31bf3856ad364e35~amd64~~6.3.9600.16384.INF_prncacla"

 

Temat na forum: KLIK.

Odnośnik do komentarza

Dzięki wielkie za pomoc, jak się okazało, to jakiś błąd w esecie rzeczywiście, gdy wszedłem w ustawienia anti-theft, widniało tam właśnie to konto, a poprzednie utworzone przez tą funkcję było jakgdyby... odłączone od tej funkcji, z funkcji anti-theft usunąłem to ,,konto widmo", następnie usunąłem oewgo ,,Piotra" i już nie miałem żadnych kont po restarcie, następnie w anti-thefcie założyłem nowe ,,konto widmo" z inną już nazwą i zostało utworzone poprawnie, ko kolejnym restarcie już było tylko moje i to, z normalną nazwą, które założyłem, nie mam już jakichś dziwnych kont z dziwnymi nazwami.

Jednak co do sfc... nie rozumiem tego błędu, link zwiedziłem, ale nie rozumiem co się zepsuło, wszystko mi działa w systemie, żadnych problemów nie widzę, no i sposobu naprawienia tego (nie)problemu jest dla mnie mało zrozumiały.

Widzę zapis ,,Microsoft-Windows-Printer-Drivers-Package" jednak drukować mogę bezproblemowo

Odnośnik do komentarza

Zanim przeczytałem twój post, to zastosowałem się do ,,metody 1" z tamtego poradnika i czekam aż DISM.exe /Online /Cleanup-image /Restorehealth skończy swoje działanie, potem ew. zrobię sfcfix jeżeli to nie zadziała, a jak zadziała to napiszę, wiem jak sprawdzić :)

W każdym razie dzięki za pomoc, edytuję ten post później, gdyby wsztstko poszło ok, albo miałbym jakiś dalszy problem z naprawą tego.

//EDIT: Windows Resource Protection did not find any integrity violations.

Wszystko działa, problem uznaję za rozwiązany, dziękuję

Pozdrawiam

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...