win32/bProtector.j - Prośba o pomoc w infekcji lub weryfikacja na jej okoliczność

[czgk]

Witam.

Coś się przypałętało i nasila się... jest to win32/bProtector.j

Zainstalowany jest system Windowes 7 64bit, a mam go od 2 tygodni więc proszę o wyrozumiałość.

Nie znam się za bardzo więc reszta jest w dwóch plikach log i Extras. Proszę o pomoc i dziękuję

Extras.Txt

OTL.Txt

[picasso]

Proszę dostosuj się do zasad działu, tu są także obowiązkowe raporty z FRST. Dodaj.

 

 

 

.

[czgk]

Dziękuję za przypomnienie... proszę poniżej FRST. Pozdrawiam.

FRST.txt

Addition.txt

[picasso]

W systemie jest zainstalowane adware, a ten "win32/bProtector.j" to adware BitGuard ("ochrona" szkodliwych ustawień). Nabyte przez nieuwagę. Do czytania na potem materiał skąd to się bierze i jak tego uniknąć: KLIK.

 

1. Otwórz Notatnik i wklej w nim:

 

(BonanzaDeals) C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe
() C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe
() C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe
() C:\Users\Marek\AppData\Local\tuto4pc_pl_1\supt4pc_pl_1.exe
(McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.8.130\SSScheduler.exe
R2 BitGuard; C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [3780064 2013-11-18] ()
S2 bonanzadealslive; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-11-01] (BonanzaDeals)
S3 bonanzadealslivem; C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-11-01] (BonanzaDeals)
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.130\McCHSvc.exe [288776 2013-09-06] (McAfee, Inc.)
R2 supt4pc_pl_1; C:\Users\Marek\AppData\Local\tuto4pc_pl_1\supt4pc_pl_1.exe [3055976 2012-11-05] ()
S2 Update BatBrowse; "C:\Program Files (x86)\BatBrowse\updateBatBrowse.exe" [x]
S2 Util BatBrowse; "C:\Program Files (x86)\BatBrowse\bin\utilBatBrowse.exe" [x]
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKCU\...\Run: [AshSnap] - C:\Program Files (x86)\Ashampoo\Ashampoo Snap 6\ashsnap.exe
HKCU\...\Run: [RGSC] - C:\Program Files (x86)\Rockstar Games Social Club\RGSCLauncher.exe /silent
HKCU\...\Run: [backgroundContainer] - "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\Marek\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun
HKLM-x32\...\Run: [NeroFilterCheck] - C:\Windows\system32\NeroCheck.exe
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Registration .LNK
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=CA82666D57EEB7A4&affID=119357&tsp=5015
HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://search.conduit.com?searchsource=10&ctid=ct3220468
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page =
URLSearchHook: HKLM-x32 - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTo0.dll (Conduit Ltd.)
URLSearchHook: HKCU - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTo0.dll (Conduit Ltd.)
URLSearchHook: HKCU - (No Name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No File
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=CA82666D57EEB7A4&affID=119357&tsp=5015
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKCU - {AC3F5DDF-BF4E-4967-B2EE-59251E88EDA2} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
SearchScopes: HKCU - {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL =
SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL =
BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121103174247.dll No File
BHO: Skype add-on for Internet Explorer - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll No File
BHO-x32: MSS+ Identifier - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.8.130\McAfeeMSS_IE.dll (McAfee, Inc.)
BHO-x32: uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTo0.dll (Conduit Ltd.)
BHO-x32: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121103174247.dll No File
BHO-x32: Skype Browser Helper - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll No File
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
Toolbar: HKLM-x32 - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files (x86)\uTorrentControl_v2\prxtbuTo0.dll (Conduit Ltd.)
Toolbar: HKCU - No Name - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No File
Toolbar: HKCU - No Name - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No File
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll No File
Handler-x32: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll No File
FF Plugin-x32: @mcafee.com/McAfeeMssPlugin - C:\Program Files\McAfee Security Scan\3.8.130\npMcAfeeMss.dll (McAfee, Inc.)
FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals)
FF Plugin-x32: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files (x86)\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll (BonanzaDeals)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\qone8.xml
FF HKLM-x32\...\Firefox\Extensions: [{D19CA586-DD6C-4a0a-96F8-14644F340D60}] - C:\Program Files (x86)\Common Files\McAfee\SystemCore
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK
Task: {0297BD3A-AFF9-473D-A7EA-C8208826FFA5} - System32\Tasks\{7B5C1D1E-0B1B-4D84-9669-383BA2DA9DDB} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?page=tsProgressBar
Task: {1189978C-C21A-4A62-B4F3-29700C354D1F} - System32\Tasks\{B945EA3D-2A91-4A6D-BCD7-24AD6ABD0D77} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?page=tsProgressBar
Task: {1743898C-5463-4C0E-ADFA-AF0AF803E956} - System32\Tasks\{4F2DE0DB-689A-4969-B8B1-AA5DC78DA581} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?source=lightinstaller&page=tsProgressBar
Task: {2E68D97D-C96D-46D4-A211-C2652F9CDA1D} - System32\Tasks\{415D6440-47DA-4A12-B46C-06CEA1995B61} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?page=tsProgressBar
Task: {3C867F45-3462-4F44-8745-4429E02D2088} - System32\Tasks\{EFB8E1C5-CFBF-4D59-B5B4-30CC12B8A09A} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.3.0.107&LastError=12002
Task: {3D55D1A7-2C2A-4FC4-B823-BF2D7FE043FD} - System32\Tasks\{1119B3B2-C85F-4819-8798-6BF7805604DE} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?page=tsProgressBar
Task: {562D16A7-727A-48FE-B0A6-50C64935A935} - System32\Tasks\{98DDA102-BBAB-4E8A-A878-970321670ED2} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?page=tsProgressBar
Task: {6A169E4C-C18E-4660-A640-14A572298C63} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-01] (BonanzaDeals)
Task: {7167B3FC-9083-4CD4-AF3C-116EAB292A3A} - System32\Tasks\{B1C8D972-5A88-493D-B867-EF7C00ACDABE} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?page=tsInstall
Task: {A5C35279-AAC9-4F19-AE9E-233429EBF80C} - System32\Tasks\BonanzaDealsUpdate => C:\Program
Task: {A8B675E4-C229-4F0B-85F8-7553A2CC6BBF} - System32\Tasks\{CAC3FD2E-D424-486D-A533-0A6045B29D4A} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?page=tsProgressBar
Task: {AF1F6A03-1D55-4A5F-BF0A-F1C80A4D3F87} - System32\Tasks\{4B5D9299-738A-4DE3-932E-BDCE88B3D6A2} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?page=tsProgressBar
Task: {B73910D3-2A23-4AE7-AB73-9755397EC9F5} - System32\Tasks\{BFFF2D71-F074-4932-A2CA-5D0116AEEEF0} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?source=lightinstaller&page=tsProgressBar
Task: {BA0094B4-1237-4408-AF3D-43B4E2F4FC35} - System32\Tasks\{3752C818-BFE2-4734-8D8D-8D040FB0794A} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?page=tsProgressBar
Task: {C7F4305E-8999-473C-9AE2-2322B7947FE3} - System32\Tasks\{73783A4B-E09D-4EFF-92EB-27339BEA6D34} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?page=tsProgressBar
Task: {CA13310E-3B41-40C3-B8E1-6D853515A773} - System32\Tasks\{DA0A83FB-193D-43E3-9C78-0C1A3FF8FC5D} => Firefox.exe http://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?source=lightinstaller&page=tsProgressBar
Task: {DA2FEDFF-0EC5-4A26-9F77-B486A1DCF87D} - System32\Tasks\BackgroundContainer Startup Task => C:\Users\Marek\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll [2013-10-14] (Conduit Ltd.)
Task: {EE28AB3F-FC8A-44BB-AA5E-9E9D761BD7E4} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-11-01] (BonanzaDeals)
Task: {EEBFA431-004B-479E-AE3F-BA5F854FF3EF} - System32\Tasks\{CDD51755-59B3-4B02-A339-0CA57CCB5765} => Firefox.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?page=tsProgressBar
Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe
Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\BonanzaDealsLive\Update\BonanzaDealsLive.exe
C:\Users\wangzhisong
C:\Users\Marek\daemonprocess.txt
C:\Users\Marek\AppData\Local\Mobogenie
C:\Users\Marek\AppData\Local\cache
C:\Users\Marek\AppData\Roaming\Babylon
C:\Users\Marek\Documents\Mobogenie
C:\Program Files (x86)\Mobogenie
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d C:\Windows\system32\nvinitx.dll /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d C:\Windows\SysWOW64\nvinit.dll /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Odinstaluj w poprawny sposób adware:

- Przez Panel sterowania: BatBrowse 1.0.0, BitGuard, Bonanza Deals, McAfee Security Scan Plus, TUTO4PC, uTorrentControl_v2 Toolbar. Dodatkowo, spoza adware Skype Click to Call, bo widać że instalacja Skype jest tu szczątkowa.

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

3. Uruchom AdwCleaner (najnowszą wersję). Zastosuj Szukaj, a po tym Usuń. W folderze C:\AdwCleaner powstaną nowe raporty z usuwania. Ja widzę, że już jakieś podejście z AdwCleaner robiłeś, gdyż jest na dysku jego folder.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST, zaznacz pole Addition, by powstał ponownie drugi log. Dołącz plik fixlog.txt i log z AdwCleaner. Ponadto, w folderze C:\FRST\Quarantine powstanie plik BonanzaDealsUpdate (chodzi mi o dokładnie taką nazwę, a nie inne zawierające w nazwie "BonanzaDeals"), zzipuj go, shostuj gdzieś i podaj link do paczki.

 

 

 

.

[czgk]

Zrobiłem wszystko jak opisałeś

 

Mam nadzieję, że udało mi się wszystko zrobić jak trzeba, wszak jestem laikiem.

Z góry bardzo dziękuję

Addition.txt

AdwCleanerR1.txt

FRST.txt

[picasso]

Ad "opisałeś" = jestem kobietą. Logi miały być doczepione jako załączniki i tam je wstawiam. Tylko plik Bonanzy miał być w paczce ZIP, to mi było potrzebne do zupełnie innego celu. Paczkę pobrałam, link z posta usunęłam.

 

Podany log AdwCleaner (AdwCleaner[R1].txt) jest z szukania a nie usuwania (raport ma formę nazwy AdwCleaner[SX].txt. Czy Ty w ogóle uruchomiłeś w nim usuwanie?

 

 

 

 

.

[czgk]

Najmocniej Cię przepraszam za płeć, za chwilkę sprawdzę.Jestem laikiem więc potrzebuję trochę więcej czasu i prostszych komend ;D

 

Zrobiłem wszystko tak jak pisałaś, dodaję ostatni plik.

AdwCleanerS0.txt

[picasso]

A przepraszam, pomyłka, chodziło mi o plik fixlog.txt.

[czgk]

Proszę bardzo

Fixlog_12-12-2013_23-50-52.txt

[picasso]

OK. Możemy przejść do dalszych czynności:

 

1. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL =
S2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [x]
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
S1 ihtuadfk; \??\C:\Windows\system32\drivers\ihtuadfk.sys [x]
2013-12-12 21:57 - 2013-12-12 21:57 - 00000000 ____D C:\Program Files\Enigma Software Group
2013-12-12 21:56 - 2013-12-12 21:56 - 00728960 _____ (Enigma Software Group USA, LLC.) C:\Users\Marek\Downloads\SpyHunter-Installer.exe
2013-12-13 00:27 - 2012-11-01 18:30 - 00000380 _____ C:\Users\Marek\AppData\Roaming\sp_data.sys

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[czgk]

Proszę

Fixlog.txt

FRST.txt

[picasso]

W logu ciągle jest taki dziwny wpis:

 

SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL = 

 

Wyeksportuj mi to do wglądu. Otwórz Notatnik i wklej w nim:

 

Reg: reg export "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" C:\Users\Marek\Desktop\searchscopes.reg

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Na Pulpicie powstanie plik searchscopes.reg. Shostuj go gdzieś i podaj mi link do pliku. Plik nie może być dołączony tu w załącznikach forum (zabroniony format).

 

 

 

.

[czgk]

http://hostuje.net/file.php?id=bf867e6d1167c4d5f1fdf6102e1fb9f3

[picasso]

Kończymy:

 

1. Skasuj ten dziwny klucz ręcznie. Start > w polu szukania wpisz regedit > z prawokliku usuń:

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\ten krzaczasty wpis

 

2. Przez SHIFT+DEL skasuj wszystkie pobrane wersje FRST oraz foldery:

 

C:\FRST

C:\Users\Marek\Desktop\FRST-OlderVersion

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

.