Win32:BProtect-D

[monika277]

Witam,

Od jakiegoś czasu wyświetlają mie się w firefoxie takie strony:

 

hxxp://www.adcash.com/script/pop_packcpm.php?k=52cf9170cdbbf746704.1317718&h=444a2b1fa11fc28b85ff7d37007f737a0d9bad8e&id=0&ban=746704&r=195299&ref=&data=&subid=&new=1

hxxp://rvzr-a.akamaihd.net/sd/apps/pcontainers/custom-dops-window-2.0.0.html?u=http%3A%2F%2Fwww.adcash.com%2Fscript%2Fpackcpm.php%3Fr%3D195299%26pp%3D1&p=BetterSurf&action=redirect.

 

Poza tym nie mam możliwości zalogowania się na chomika. Wczoraj na kurniku.pl dostałam wiadomość, że mam trojana lyrmix. Zrobiłam skan avastem i wykrył Win32:BProtect-D. a teraz pojawiły mi sie jeszcze jakieś dziwne ikony na pulpicie. Proszę o pomoc,

Monika

Extras.Txt

OTL.Txt

FRST.txt

Addition.txt

[picasso]

Proszę podawaj zgodnie z wytycznymi w zasadach linki szkodników / reklam w formie nieklikalnej. Zedytowałam.

 

W systemie jest zainstalowane adware, dwa obiekty w pełni sprawne, a trzeci z kompletu (Mobogenie) w szczątkach. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {B6609A44-1449-4E53-AA48-4D43F14A5491} - System32\Tasks\AmiUpdXp => C:\Users\Monika\AppData\Local\SwvUpdater\Updater.exe [2013-12-11] (Amonetizé Ltd)
Task: C:\windows\Tasks\AmiUpdXp.job => C:\Users\Monika\AppData\Local\SwvUpdater\Updater.exe
HKLM-x32\...\Run: [NWEReboot] - [x]
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKCU\...\Run: [iSUSPM] - "C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe" -scheduler
HKCU\...\Run: [NextLive] - C:\windows\SysWOW64\rundll32.exe "C:\Users\Monika\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://idg.pl/start
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=147
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=147
SearchScopes: HKCU - DefaultScope {969AF36E-0CE4-4F3C-8AA3-EE72556C182A} URL = http://www.idg.pl?q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2E6E8A039ACB1212&affID=119357&tt=160713_91114&tsp=4945
SearchScopes: HKCU - {969AF36E-0CE4-4F3C-8AA3-EE72556C182A} URL = http://www.idg.pl?q={searchTerms}
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
BHO-x32: Webexp Enhanced - {f7444c6b-3578-46e1-abbd-d03999042fe6} - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha6238\ie\WebexpEnhancedV1alpha6238.dll ()
FF HKLM-x32\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha6238.net] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha6238\ff
CHR HKLM-x32\...\Chrome\Extension: [boabmhagdlngcpliiindolpjoljjggla] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha6238\ch\WebexpEnhancedV1alpha6238.crx
C:\Program Files (x86)\Mobogenie
C:\Users\Monika\.android
C:\Users\Monika\daemonprocess.txt
C:\Users\Monika\AppData\Local\cache
C:\Users\Monika\AppData\Local\genienext
C:\Users\Monika\AppData\Local\Mobogenie
C:\Users\Monika\AppData\Roaming\eCyber
C:\Users\Monika\AppData\Roaming\iSafe
C:\Users\Monika\AppData\Roaming\newnext.me
C:\Users\Monika\Documents\Mobogenie

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware Software Version Updater, Webexp Enhanced.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Wyczyść Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj Webexp Enhanced (o ile nie zniknie po w/w deinstalacji).
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki
• Ustawienia > karta Historia > wyczyść
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner.

 

 

 

.

[monika277]

Zrobiłam wszytsko co napisałaś, jednak problem nie zniknął. dodatkowo zaczęły pojawiać się prośby o instalację od dziwnych programów.

FRST.txt

AdwCleanerS1.txt

Fixlog.txt

[picasso]

Monika, nie wiem co pobierałaś, ale po przeprowadzeniu czyszczenia ... system został ponownie zanieczyszczony z jakiegoś pliku setup! Pojawiły się kolejne śmieci typu SquirrelWeb... Zanim przejdziesz dalej proszę przeczytaj ten materiał, by w trakcie kolejnych działań nie doszło do reinfekcji: KLIK.

 

I w tej sytuacji potrzebuję powtórnie zrobiony plik FRST Addition. Uruchom program, zaznacz to pole, dostarcz wynikowy log.

 

 

 

.

[monika277]

Mam nadzieje, że tym razem uda mi się wszystko zrobic poprawnie..

Addition.txt

FRST.txt

[picasso]

1. Przez Panel sterowania odinstaluj: Foxtab, SquirrelWeb, VuuPC Packages, Webexp Enhanced. Wpisy są raczej naruszone. Jeśli będzie jakikolwiek problem z ich deinstalacją, wykorzystaj to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wadliwe wpisy > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

Task: {077BAF54-1453-4BBE-9BF2-F788485FE1F5} - \VuuPCUpdateLogin No Task File
Task: {17CFEACB-52B3-42C3-8300-7CAC6A3D4C15} - \FoxTab No Task File
Task: {39757C85-6E23-4C4D-8153-C3BC7BAFFCA1} - \RegClean Pro_DEFAULT No Task File
Task: {C5A45621-A6AC-4EC0-ABFA-41B0C25A6C40} - \RegClean Pro_UPDATES No Task File
Task: {E0BAC0BB-0A83-413B-8F1B-B27ECDAEEFB9} - \RegClean Pro No Task File
Task: {F18E8E4F-B047-41C3-BCB5-854F29930FEC} - \VuuPCUpdate No Task File
CHR HKLM-x32\...\Chrome\Extension: [gdnafjfahbdfphihncgadbegiaebehio] - C:\Program Files (x86)\SquirrelWeb\gdnafjfahbdfphihncgadbegiaebehio.crx
C:\Program Files (x86)\SquirrelWeb
C:\Program Files (x86)\WebexpEnhancedV1
C:\Users\Monika\.android
C:\Users\Monika\daemonprocess.txt
C:\Users\Monika\AppData\Local\cache
C:\Users\Monika\AppData\Local\genienext
C:\Users\Monika\AppData\Roaming\0C1I1L1R1J0M1P0I1G
C:\Users\Monika\AppData\Roaming\newnext.me
C:\Users\Monika\Desktop\Continue AnyProtect Installation.lnk
C:\Users\Monika\Desktop\My VuuPC.lnk
C:\Users\Monika\Downloads\Setup.exe

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Powtórz resety obu przeglądarek, Firefox i Google Chrome.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST, zaznacz po raz kolejny pole Addition. Dołącz plik fixlog.txt. Wypowiedz się czy nadal są problemy.

 

 

 

 

.

[monika277]

Nie mogę usunąć Foxtab, VuuPC i Webexp. W programie Microsoftu nie ma ich na liście.

[picasso]

W związku z tym ręcznie to usuniemy z listy. Rozumiem, że nie doszłaś jeszcze do punktu numer 2 w poprzedniej instrukcji. W tym punkcie zamiast podanego tam skryptu zastosuj ten:

 

Task: {077BAF54-1453-4BBE-9BF2-F788485FE1F5} - \VuuPCUpdateLogin No Task File
Task: {17CFEACB-52B3-42C3-8300-7CAC6A3D4C15} - \FoxTab No Task File
Task: {39757C85-6E23-4C4D-8153-C3BC7BAFFCA1} - \RegClean Pro_DEFAULT No Task File
Task: {C5A45621-A6AC-4EC0-ABFA-41B0C25A6C40} - \RegClean Pro_UPDATES No Task File
Task: {E0BAC0BB-0A83-413B-8F1B-B27ECDAEEFB9} - \RegClean Pro No Task File
Task: {F18E8E4F-B047-41C3-BCB5-854F29930FEC} - \VuuPCUpdate No Task File
CHR HKLM-x32\...\Chrome\Extension: [gdnafjfahbdfphihncgadbegiaebehio] - C:\Program Files (x86)\SquirrelWeb\gdnafjfahbdfphihncgadbegiaebehio.crx
C:\Program Files (x86)\SquirrelWeb
C:\Program Files (x86)\WebexpEnhancedV1
C:\Users\Monika\.android
C:\Users\Monika\daemonprocess.txt
C:\Users\Monika\AppData\Local\cache
C:\Users\Monika\AppData\Local\genienext
C:\Users\Monika\AppData\Roaming\0C1I1L1R1J0M1P0I1G
C:\Users\Monika\AppData\Roaming\newnext.me
C:\Users\Monika\Desktop\Continue AnyProtect Installation.lnk
C:\Users\Monika\Desktop\My VuuPC.lnk
C:\Users\Monika\Downloads\Setup.exe
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\VuuPC Packages" /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\foxtab /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Webexp Enhanced" /f

 

 

.

[monika277]

Wszystko przebiegło pomyślnie. Ikony z pulpitu nie zniknęły, wiec usunęłam je ręcznie. Na chomika mogę się już logować, wydaje mi się, że te reklamy też przestały się wyświetlać. Wykonać jeszcze skan żeby sprawdzić czy wszystko ok? Bardzo dziękuję za pomoc!

FRST.txt

Addition.txt

Fixlog.txt

[picasso]

O których ikonach na Pulpicie mówisz? Adresowałam tylko to co obejmuje skan FRST (ograniczenie 30-dni). Wszystko wykonane, kończymy:

 

1. Przez SHIFT+DEL skasuj FRST i foldery:

 

C:\FRST

C:\Users\Monika\Desktop\FRST-OlderVersion

C:\Users\Monika\Desktop\Stare dane programu Firefox

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

 

.

[monika277]

Ikony pojawiły się po tym jak zinfekowałam system po jego pierwszym wyczyszczeniu.

[picasso]

Monika, ale ja nie wiem o jakich konkretnie ikonach mówisz (nazwy).