Błąd rundll vpbt0.dll podczas startu systemu

[mewash73]

Witam,

 

Podczas startu pojawia się błąd dotyczący pliku vpbt0.dll

Prosze o pomoc w usunięciu

 

z OTL:

 

http://wklej.to/jBETo

 

http://wklej.to/GnoyR

 

dziękuję i pozdrawiam

Miłosz

[htw]

Obowiązkowe logi ogólne + obowiązkowy log pod kątem aktywności rootkit::

FRST - Instrukcja tworzenia raportu
OTL - Instrukcja tworzenia raportu
GMER - Instrukcja tworzenia raportu


Opcjonalny log weryfikacji zabezpieczeń:

SecurityCheck - Instrukcja tworzenia raportu

[jessica]

Zrób też log z USBFix https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=74 z opcji LISTING.

 

A jeśli w żadnym z tych logów nie znajdziesz wpisu dotyczącego "vpbt0.dll", to dodatkowo:

Do  >SystemLook wklej:

 

:regfind
vpbt0.dll

Naciśnij Look i pokaż raport.

 

Oczywiście jeśli w logach znajdziesz jakiś wpis o tym "vpbt0.dll", to zalecenia z SystemLook nie rób.

[mewash73]

wrzucam to co już mi się udało zrobić

 

OLT:

http://wklej.to/YYkqN

http://wklej.to/zGYrm

 

SystemLook

http://wklej.to/x5Lj1

 

USBfix

http://wklej.to/Io9Xp

 

FRST sie robi

 

GMER wywala się - musze uruchomić w awaryjnym

 

[jessica]

Log z USBFix zrobiony bez podpiętego zarażonego "D".

 

SystemLook - nic w Rejestrze nie wykrył związanego z tym "vpbt0.dll", a ja jakoś nie dostrzegam, co może wywoływać ten błąd.

[mewash73]

Nie wiem jak długo robi się raport z FRST. Trwa już 50 minut i cały czas u góry wyświetla się Getting Office Sessiion Error: 9239

Coś nie tak jest czy jeszcze poczekać?

[jessica]

coś jest "nie tak" - to powinno trwać najwyżej kilka minut.

[htw]

A próbowałeś uruchomić jako administrator?może jak nie Gmer to może log z TDSSkileer?

[mewash73]

FRST uruchamian jako administrator. Dochodzi do błędów Office przelatuje od 1 do 9239 i koniec. Czekałem dwie godziny i nic.

Addition zawiera takie coś:

http://wklej.to/xdMJV

[picasso]

Błąd pewnie produkuje skrót w katalogu Autostart, ale OTL czasem nie pobiera w ogóle obiektów w katalogu Startup. To jeden z powodów dla których przestawiam się na FRST. W kwestii raportu FRST:

 

 

Nie wiem jak długo robi się raport z FRST. Trwa już 50 minut i cały czas u góry wyświetla się Getting Office Sessiion Error: 9239

Coś nie tak jest czy jeszcze poczekać?

Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W Dzienniku zdarzeń z prawokliku wyczyść gałąź zdarzeń Office. Po tym ponów skan FRST, zaznacz opcję Addition.

 

 

 

 

.

[mewash73]

Zrobione.

GMER:

http://wklej.to/VUYIj

 

FRST:

http://wklej.to/htNz3

http://wklej.to/Dq8Xu

 

i jeszcze raz doklejam OLT:

http://wklej.to/YYkqN

http://wklej.to/zGYrm

 

 

Błąd pewnie produkuje skrót w katalogu Autostart, ale OTL czasem nie pobiera w ogóle obiektów w katalogu Startup. To jeden z powodów dla których przestawiam się na FRST. W kwestii raportu FRST:

Rzeczywiście w Autostarcie było jakieś g**no i to ono odwoływało się do tego nieszczęsnego dll.

Proszę jeszcze o sprawdzenie tych logów, czy czasem jeszcze czegoś do wywalenia nie mam.

Z góry dziękuję za pomoc.

[picasso]

Rzeczywiście w Autostarcie było jakieś g**no i to ono odwoływało się do tego nieszczęsnego dll.

Tak jak mówiłam: skan OTL niewydolny i nie pokazuje tego co FRST. Rozumiem, że już usunąłeś ten skrót infekcji:

 

Startup: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk

ShortcutTarget: runctf.lnk -> C:\Users\oem\AppData\Local\Temp\wpbt0.dll (No File)

 

Zakładając, że plik runctf.lnk usunięty, zostały poprawki innej natury:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com
SearchScopes: HKCU - DefaultScope {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms}
SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms}
Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
FF Plugin: @pandonetworks.com/PandoWebPlugin - C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\avg-secure-search.xml
BootExecute: autocheck autochk * sdnclean.exe
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S3 TpChoice; system32\DRIVERS\TpChoice.sys [x]
S3 USBAAPL; System32\Drivers\usbaapl.sys [x]
C:\Users\oem\Downloads\Spybot-Search-Destroy(12546).exe
C:\Program Files\Spybot - Search & Destroy 2
C:\ProgramData\Spybot - Search & Destroy
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Secondary Start Pages" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

 

.

[mewash73]

Zrobione.

http://wklej.to/oMAN3

http://wklej.to/2L14M

[picasso]

Zrobione. Kończymy:

 

1. Porządki po narzędziach: odinstaluj UsbFix, przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wtyczki Adobe: KLIK. Wersje widziane w Twoim raporcie:

 

==================== Installed Programs ======================
 

Adobe Flash Player 10 ActiveX (Version: 10.0.42.34) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (Version: 11.8.800.168) ----> wtyczka dla Firefox

Adobe Reader 9.5.5 (Version: 9.5.5)

 

 

.

[mewash73]

OK - dziękuję.

Datek poszedł

Edytowane 14 Października 2013 przez picasso
Dzięki za datek. Temat zamykam. //picasso