bprotect.exe - czy to wirus?

[Flogger]

Kasperski wyłapał taki plik i umieścił go w magazynie - nie w kwarantannie.

Nazwa pliku to : Backdoor.Win32.Rbot.kur

Skanowanie MBAM wykazało 6 plikow stanowiących zagrożenie.

Zostały usunięte, co program potwierdził, ale komputer wyłączył się przed wyrażeniem zgody na restart.

Po ponownym uruchomieniu systemu w logach zieje pustką.

Nie potrafię podać nazw usuniętych plików.

Skanownanie DrWebCureIt wykazalo jeszcze dwa pliki. które zostaly usunięte.

I znowu to samo.

Nie ma logow.

 

Objawy infekcji:

- Samoczynne "odpalanie" się IE z raklamami

- Po starcie systemu przez kilka minut nie wyświetlają sie ikony na pulpicie

- System znacznie zwolnił.

- Komputer samoczynnie się wyłącza, co zdarzyło się już kilka razy, ale nie wiem, czy nie jest to problem sprzętowy.

OTL.Txt

Extras.Txt

Log GMER.txt

[papski]

Witam. Taki sam problem dzisiaj miałem tylko u mnie został zainstalowany wraz z daemoon tools lite z dobreprogramy pomimo odznaczenia wszystkiego podczas instalacji... na szczęście robiłem dziś format więc to tylko 2h w tył. Od razu kaspersky po odpaleniu daemoona zawył lecz było już za późno, chrome został zmieniony na "nową" wersję z nową wyszukiwarka i od razu prosił o synchronizację więc wiedziałem co się świeci. IE to samo.

 

@DOWN

Nie robiłem specjalnie formatu bo coś się złapało, robiłem bo zmieniałem sprzęt i jako, że będę 2h w plecy tylko w porównaniu do walki z tym dziadostwem to wybrałem bramkę A.

[diox]

papski, nie wcinaj się w temat, poza tym do takiej drobnostki nie trzeba odrazu reinstalacji dysku.

[picasso]

Flogger

 

W systemie jest zainstalowane adware (DealPly / TUTO4PC i inne w szczątkach), stąd reklamy.

 

1. Przez Panel sterowania odinstaluj adware DealPly, Internet Explorer Toolbar 4.6 by SweetPacks, unnm=Version Checker for Dealply, Web Optimizer. Otwórz Google Chrome i w Rozszerzeniach powtórz deinstalację DealPly, a z listy stron startowych usuń wpisy www.delta-search.com.

 

2. Firefox mocno zaśmiecony, wyczyść za pomocą menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=WDC_WD3200BEVT-60ZCT1_WD-WX10E79LT498LT498&ts=1351444436"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = "http://search.v9.com/web/?q={searchTerms}"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.v9.com/web/?q={searchTerms}"
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=394&systemid=406&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=17&barid={8D76B4A2-A6FF-484B-B566-C5C885C1C13D}"
IE - HKU\S-1-5-21-776561741-220523388-1177238915-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=WDC_WD3200BEVT-60ZCT1_WD-WX10E79LT498LT498&ts=1351444436"
IE - HKU\S-1-5-21-776561741-220523388-1177238915-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-776561741-220523388-1177238915-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=dc47b9f4000000000000001e101f871a"
IE - HKU\S-1-5-21-776561741-220523388-1177238915-1004\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-776561741-220523388-1177238915-1004\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=394&systemid=406&sr=0&q={searchTerms}"
IE - HKU\S-1-5-21-776561741-220523388-1177238915-1004\..\SearchScopes\{AF795FEE-D81F-4CA8-A832-2197690C2A03}: "URL" = "http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC"
IE - HKU\S-1-5-21-776561741-220523388-1177238915-1004\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb165/?search={searchTerms}&loc=IB_DS&a=6R8xfmHUyK&i=26"
IE - HKU\S-1-5-21-776561741-220523388-1177238915-1004\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=17&barid={8D76B4A2-A6FF-484B-B566-C5C885C1C13D}"
O3 - HKLM\..\Toolbar: (no name) - !{3392cfec-56f8-41ee-bdb4-4e301efd2c93} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-776561741-220523388-1177238915-1004\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKLM..\Run: [tuto4pc_pl_5]  File not found
O4 - HKLM..\Run: [upt4pc_pl_5.exe] C:\Documents and Settings\Andrzej\Ustawienia lokalne\Dane aplikacji\tuto4pc_pl_5\upt4pc_pl_5.exe ()
 
:Files
C:\Documents and Settings\Andrzej\Ustawienia lokalne\Dane aplikacji\tuto4pc_pl_5
C:\Program Files\tuto4pc_pl_5
C:\Program Files\SweetIM
C:\Program Files\File Scout
C:\Program Files\Advanced Fix 2012
C:\Program Files\RegistryNuke 2012
C:\Program Files\Mozilla Firefox\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users\Dane aplikacji\Premium
C:\Documents and Settings\Andrzej\Dane aplikacji\Babylon
C:\Documents and Settings\Andrzej\Dane aplikacji\PerformerSoft
C:\Documents and Settings\Andrzej\Dane aplikacji\searchquband
C:\Documents and Settings\Andrzej\Ustawienia lokalne\Dane aplikacji\Ilivid Player
C:\Documents and Settings\All Users\Dokumenty\explorer.exe
C:\Documents and Settings\All Users\Dane aplikacji\McAfee
C:\Documents and Settings\All Users\Dane aplikacji\PC Tools
C:\Documents and Settings\Andrzej\Doctor Web
C:\WINDOWS\System32\roboot.exe
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\dmwu.exe"=-
"C:\WINDOWS\system32\ARFC\wrtc.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Uruchom Junkware Removal Tool. Na Pulpicie powstanie log.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi utworzone przez AdwCleaner i JRT.

 

 

 

.

[Flogger]

Polecenia wykonane.

Mam nadzieję, że prawidłowo.

 

Nowe logi:

OTL.Txt

JRT.txt

AdwCleanerS1.txt

[picasso]

Czy problemy nadal występują? Wg danych wszystko pomyślnie zrobione, tylko poprawki i kończymy:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [File_System | On_Demand | Stopped] -- c:\documents and settings\andrzej\ustawienia lokalne\temp\173AD154C.sys -- (173AD154C)

 

Klik w Wykonaj skrypt.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{05E08CD0-CBE7-4B95-8BBA-C6EE8EE7796A}]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj wyliczone poniżej foldery.

 

C:\Documents and Settings\Andrzej\Pulpit\Stare dane programu Firefox

C:\JRT

C:\WINDOWS\ERUNT

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zaktualizuj Adobe Flash: KLIK. Wg raportu masz aktualnie zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_149.dll ()

 

 

 

 

.

[Flogger]

Wszystkie polecenia wykonane.

Rozumiem, że to koniec kłopotów z moim lapkiem.

Jeśli tak, to Serdecznie Dziekuję za udzieloną pomoc i życze Miłego Dnia.

 

P.S. Picasso, czy Ty czasami śpisz? :-)

[picasso]

Rozumiem, że to koniec kłopotów z moim lapkiem.

 

Czy to oznacza, że nie widzisz już żadnych problemów?

 

 

P.S. Picasso, czy Ty czasami śpisz? :-)

 

Różnie to bywa.

 

 

 

.

[Flogger]

Wszystkie niepokojące objawy zostały usunięte.

Musze troszkę przetestować lapka.

Gdyby coś się działo poproszę o pomoc.

 

Jeszcze raz Dziękuję i Życzę Zdrowych, kolorowych Snów!