Win32BProtect-D

[robson001]

Witam,

Kilka dni temu przed końcem pracy na komputerze przy włączonym Firefoxie zaczęły mi wyskakiwać reklamy w osobnych oknach. Praktycznie przy otwieraniu nowej strony wyskakiwała reklama. Nie przyglądałem się, odruchowo zamykałem.

 

Od następnego uruchomienia (następnego dnia) zamiast reklam zaczęły pojawiać się komunikaty generowane przez Avasta, że program zablokował niebezpieczną stronę lub plik (wir1.jpg). Po kliknięciu na ikonę o dodatkowych informacjach otwiera się okno (wir2.jpg). Dodatkowo,  komunikaty o blokadzie zaczęły wyskakiwać nawet wtedy, gdy nie została otwierana żadna nowa strona www (być może wcześniejsze reklamy też wyskakiwaly w ten sposób, ale tego nie zarejestrowałem w pamięci).

 

Przeskanowałm najpierw Avastem przy pracy systemu (W7 64b), a następnie zdefiniowałem skanowanie Avasta przy uruchomieniu systemu. Pojawił się komunikat o trojanie Win32:BProtect-D, ale żadna z możliwych do wyboru opcji od 1 do 9 (usuń, kwarantanna, nic nie rób etc.) nie dawała rezultatu. Dopiero wciśnięcie 0 (nic nie rób dla wszystkich – jeśli dobrze pamiętam) spowodowała, że skanowanie się uruchomiło dalej. Zapisałem nazwę Trojana, i po nitce do kłębka doszedłem do Waszej strony, na której już przynajmniej dwukrotnie ten temat został rozwiązany (hxxp://www.fixitpc.pl/topic/21059-win32bprotect-d/ oraz hxxp://www.fixitpc.pl/topic/21203-win32bprotect-d/).

 

W załączeniu wymagane raporty. Dodatkowo diagnostyka GMER (przed skanowaniem nie zaznaczyłem "ptaszka" przy 3rd Party, gdyż na zrzutach w instrukcji nie było pokazanej tej opcji – mam nadzieję, że zrobiłem poprawnie). Proszę o wskazówki jak dla indolenta, nie jestem specem od informatyki.

 

Z góry dziękuję za pomoc.

Addition.txt

Extras.Txt

FRST.txt

Gmer.txt

OTL.Txt

[picasso]

Program FRST skonfigurowany inaczej niż podane, opcje Drivers MD5 + List BCD nie mają być domyślnie zaznaczone.

 

Win32BProtect-D: Avast prawdopodobnie ma zastrzeżenia do ekspansywnego adware Windows Searchqu Toolbar, które wstawiło się w wielu miejscach (planowane stałe uruchomienie oraz przejęcia ustawień przeglądarek). Aczkolwiek jest tu większa ilość wystąpień adware niż tylko ten program, w tym w przeglądarkach zainstalowane różne "wynalazki" np. VIS KLIK. Na potem do czytania będzie ten materiał: KLIK.

 

 

---

Przeprowadź następujące operacje:

 

1. Otwórz Notatnik i wklej w nim:

 

(Bandoo Media, inc) C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe
HKLM-x32\...\Run: [] - [x]
HKLM-x32\...\Run: [DATAMNGR] - C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe [1599888 2011-08-09] (Bandoo Media, inc)
AppInit_DLLs: C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\x64\IEBHO.dll [1792408 2011-08-09] (Bandoo Media, inc)
Task: {6A3F2833-FFD1-4810-AE42-80D05718F2E0} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2011-08-23] ()
SearchScopes: HKLM - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410} URL = http://www.searchqu.com//web?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410} URL = http://www.searchqu.com//web?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410} URL = http://www.searchqu.com//web?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}
SearchScopes: HKLM-x32 - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://startsear.ch/?aff=1&src=sp&cf=d56396d7-357e-11e1-96c9-00241dc57f94&q={searchTerms}
SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410} URL = http://www.searchqu.com//web?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.dalesearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=FC6A00241DC57F94&affID=124446&tsp=5029
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.dalesearch.com/?q={searchTerms}&babsrc=SP_ss&mntrId=FC6A00241DC57F94&affID=124446&tsp=5029
SearchScopes: HKCU - {99AD9CCA-E451-46E2-A641-99FB42411C1A} URL = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=100581
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2410} URL = http://www.searchqu.com//web?src=ieb&appid=0&systemid=410&sr=0&q={searchTerms}
BHO: Loader Class - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\x64\BrowserConnection.dll (Bandoo Media, inc)
BHO-x32: IE5BarLauncherBHO Class - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.)
BHO-x32: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
BHO-x32: Loader Class - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media, inc)
BHO-x32: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
BHO-x32: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Klient\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll No File
Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask)
Toolbar: HKLM-x32 - Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
Toolbar: HKLM-x32 - VShareToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.)
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonChrome.crx [2013-05-14]
CHR HKLM-x32\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files (x86)\vShare.tv plugin\vshareplg.crx [2011-08-31]
FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll (vShare.tv )
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\SearchResults.xml
C:\Program Files (x86)\Babylon
C:\Users\Klient\AppData\Roaming\Babylon
C:\Users\Klient\AppData\Roaming\ProgSense

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj: Ask Toolbar, McAfee Security Scan Plus, vShare.tv plugin 1.3, VIS, Windows Searchqu Toolbar. Usuwanie vShare.tv to nie pomyłka, jest to wątpliwa wtyczka z elementami adware (hijack startsear.ch).

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Wyczyść Google Chrome z adware:

• Ustawienia > karta Rozszerzenia > odinstaluj Babylon, DaleSearch Toolbar, VIS, vshare plugin (niektórych może nie być po w/w głównych deinstalacjach).
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki
• Ustawienia > karta Historia > wyczyść
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Uruchom TFC - Temp Cleaner.

 

7. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[robson001]

Dziękuję.

Zrobiłem zgodnie z listą z następującymi uwagami:

1. Przy pierwszej próbie odpalenia Google Chrome pojawił się brak odpowiedzi. 2ga próba zakończona sukcesem. Odinstalowałem tylko VIS, pozostałych /już/ nie było. W karcie historii zaznaczyłem wszystkie okienka (poza domyślnymi odznaczyłem "ptaszkami" także pozostałe)
   
2. Przy pierwszym starcie TFC pojawił się brak odpowiedzi i pojawiła się informacja, że system Window wyszukuje przyczynę problemu. Być może to był mój błąd, bo nie wyłączyłem Firefoxa. Po ściągnięciu ponownie exe’ka TFC, po instalacji a przed startem programu wyłączyłem już przeglądarkę. Po zakończeniu pracy programu zrobiłem zrzut (dołączony plik jpg). Niestety, ani Firefox, ani IExplorer, ani Opera nie uruchomiły się (w przypadku Firefoxa zrobiłem to zarówno przy istniejącym na pulpicie oknie z programem TFC, jak i po jego wyłączeniu – podjąłem kilka prób odpalenia tej przeglądarki). Wykonałem zamknięcie komputera (z przycisku Start -> Zamknij), po czym pojawił się komunikat o oczekiwaniu na zamknięcie explorer.exe. Po kilku minutach, gdy nic się nie działo, wymusiłem zamknięcie systemu buttonem pod komunikatem. Pojawiła się informacja „Trwa wylogowywanie” z kręcącym się kółkiem – i przez około 15 minut nic się nie działo. W tym czasie dioda HDD błyskała miarowo co ok. 5 sekund, a szum napędu był jednostajny. Po tych 15 minutach wcisnąłem Reset, przy uruchomieniu wybrałem Tryb Awaryjny. Po jego uruchominiu odczekałem 1-2 minuty, po czym wyłączyłem z panelu startowego i tym razem system uruchomił się normalnie. Na pulpicie wyskoczyło kilkanaście półprzezroczystych plików (jak pliki ukryte), głównie jpgi oraz dwa pliki desktop.ini. Przy próbie przerzucenia ich do wspólnego folderu pojawił się komunikat z pytaniem, czy chcę przenieść te pliki systemowe (BTW: mogę je utylizować do kosza?) Przeniosłem i uruchomiłem FRST.
   

W załączeniu wszystkie zebrane pliki/raporty/logi. Mam nadzieję, że teraz FRST będzie ok.

 

Przy okazji jedno istototne pytanie. Zauważyłem, że ipierwszy zestaw plików został pobrany po kilka-kilkanaście razy. Czy komuś mogą być one potrzebne do ingerencji w mój komputer? Zdalnej i niechcianej przeze mnie?

Proszę o odpowiedź przy okazji analizy wyżej załączonych danych.

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

Quarantine.txt

[picasso]

Gdy nikt jeszcze nie odpisał, do poprawiania / uzupełniania posta używaj opcję Edytuj, nie pisz posta pod postem. Wszystko sklejone. Akcje wykonane. Kończymy:

 

1. Przez SHIFT+DEL skasuj FRST i foldery:

 

C:\FRST

C:\Users\Klient\Desktop\Stare dane programu Firefox

C:\Users\Klient\Downloads\FRST-OlderVersion

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. Użycie opcji Sprzątanie ponownie zrekonfiguruje opcje Widoku (patrz niżej).

 

2. Odinstaluj stary Adobe Flash Player 10 ActiveX (to wersja dla Internet Explorer).

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

Po ściągnięciu ponownie exe'ka TFC, po instalacji a przed startem programu wyłączyłem już przeglądarkę. Po zakończeniu pracy programu zrobiłem zrzut (dołączony plik jpg). Niestety, ani Firefox, ani IExplorer, ani Opera nie uruchomiły się (w przypadku Firefoxa zrobiłem to zarówno przy istniejącym na pulpicie oknie z programem TFC, jak i po jego wyłączeniu – podjąłem kilka prób odpalenia tej przeglądarki). Wykonałem zamknięcie komputera (z przycisku Start -> Zamknij), po czym pojawił się komunikat o oczekiwaniu na zamknięcie explorer.exe. Po kilku minutach, gdy nic się nie działo, wymusiłem zamknięcie systemu buttonem pod komunikatem.

Ponowne pobranie TFC nie miało znaczenia, ten sam plik. A przeglądarki nie działałały, bo TFC zabija masowo procesy i część może już nie wstać po zabiciu drzewa, dlatego jest wymagany pełny reset komputera. Reset powinien wykonać automatycznie TFC, tu się to nie stało.

 

 

Na pulpicie wyskoczyło kilkanaście półprzezroczystych plików (jak pliki ukryte), głównie jpgi oraz dwa pliki desktop.ini. Przy próbie przerzucenia ich do wspólnego folderu pojawił się komunikat z pytaniem, czy chcę przenieść te pliki systemowe (BTW: mogę je utylizować do kosza?)

One nie wyskoczyły, one tam były cały czas tylko ich nie widziałeś, a się pokazały bo TFC (podobnie jak i OTL) przestawia opcję ukrytych plików. Ukrytych obiektów (również innych niż wyliczasz) jest o wiele więcej w innych częściach Windows. Użytkownicy zapominają zwykle, że w systemie są aż dwie opcje sterujące ukrytymi: Pokaż ukryte pliki i foldery (przeważnie tą biorą i myślą, że wszystko widzą) + Ukryj chronione pliki systemu operacyjnego (ta opcja jest pomijana i potem zdziwienie, że "pliki zostały utworzone"). W kwestii samych plików:

 

desktop.ini - Nie, nie możesz tych plików usunąć, są potrzebnymi plikami systemowymi. Pełnią specjalną funkcję, czyli nakładają ikonkę dla folderu Pulpit w eksploratorze (jest inna niż dla zwykłego folderu) oraz polonizują nazwę (dlatego widzisz "Pulpit" zamiast "Desktop"). Pliki są dwa, gdyż:

 

 

Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym:

 

C:\Users\Konto użytkownika\Desktop

C:\Users\Public\Desktop

 

Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach.

pliki.jpg - nie wiem co je utworzyło, być może to kopia zapasowa zrobiona przerz jakiś konkretny edytor / przeglądarkę grafiki.

 

 

 

 

Przy okazji jedno istototne pytanie. Zauważyłem, że ipierwszy zestaw plików został pobrany po kilka-kilkanaście razy. Czy komuś mogą być one potrzebne do ingerencji w mój komputer? Zdalnej i niechcianej przeze mnie?

 

Proszę o odpowiedź przy okazji analizy wyżej załączonych danych.

Pobrań jest dużo i może być więcej, bo:

- Osoba analizująca (w tym przypadku ja) w czasie trwania tematu otwiera je po kilka razy, weryfikując poprawność instrukcji / porównując stan przed czyszczeniem i po / wracając do listy zainstalowanych programów po kilka razy. Conamniej kilka pobrań możesz mi spokojnie przypisać. Ponadto, często linkuję określone logi developerom aplikacji skanujących punktując błędy wyświetlania czy brak skanu czegoś, co bije licznik pobrań jeszcze bardziej.

- Inne osoby mogą pobierać pliki np. by sprawdzić o jaką infekcję chodzi, analizujący na różnych forach często porównują raporty z różnych komputerów. Oczywiście ktoś z ciekawości też mógł otworzyć, ale:

 

Te logi nie przysłużą się do żadnych niepożądanych ingerencji, są tysiące podobnych raportów. Tam nic nie ma takiego, tych informacji nie da się wykorzystać, by "zdalnie" się włamać. Jest to niemożliwe. Wątek był omawiany na forum: KLIK.

 

I nie usuwaj logów z tematu, by temat nie stracił sensu.

 

 

.

[robson001]

Oki,

dziękuję za uwagi, odpowiedzi i pomoc. Zadania wykonane zgodnie z instrukcją (po przejściu do kasowania wspomnianego w pkt. 1ym drugiego folderu pojawiły się następujące informacje: odmowa dostępu do pliku babylon.xml – wcisnąłem kontynuuj; przy następnych komunikatach (załączone zrzuty) wcisnąłem „pomin” – wynikło to z tego, że skoro pierwotnie skasowałem plik C:\FRST, to nie ma się do czego odnosić (chyba że czegoś nie wiem/nie rozumiem?..).

Jeśli wszystkie te działania doprowadziły do usunięcia tytułowego Trojana (czy mogę teraz ponownie przeskanować Avastem bez uruchamiania systemu?) i innych „gratisów”, to serdecznie dziękuję za pomoc. Cenię taką konkretną współpracę.

…chyba że to jeszcze nie koniec, to czekam na dalsze dyspozycje…

[picasso]

Zadania wykonane zgodnie z instrukcją (po przejściu do kasowania wspomnianego w pkt. 1ym drugiego folderu pojawiły się następujące informacje: odmowa dostępu do pliku babylon.xml – wcisnąłem kontynuuj; przy następnych komunikatach (załączone zrzuty) wcisnąłem „pomin” – wynikło to z tego, że skoro pierwotnie skasowałem plik C:\FRST, to nie ma się do czego odnosić (chyba że czegoś nie wiem/nie rozumiem?..).

Czy folder C:\FRST jest nadal na dysku? Jeśli tak, pobierz ponownie FRST, otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. A po tym dokończ ręcznie folder C:\FRST.

 

 

Jeśli wszystkie te działania doprowadziły do usunięcia tytułowego Trojana (czy mogę teraz ponownie przeskanować Avastem bez uruchamiania systemu?) i innych "gratisów", to serdecznie dziękuję za pomoc. Cenię taką konkretną współpracę.

Tu nie został zdefiniowany trojan per se lecz instalacje adware / hijacker (owszem, mogą być pośrednim elementem nabycia jeszcze większej liczby innym niepożądanych rzeczy). Wg raportów (mają ograniczoną jednak widzialność) wszystkie "gratisy" zostały usunięte. Oczywiście możesz zrobić dodatkowe skany Avast, w tym pełny tradycyjny spod uruchomionego systemu.

 

 

.

[robson001]

Nie, nie ma C\:FRST. Ale - jeśli to może mieć znaczenie - skopiowałem exe'ka FRST na dysk D do folderu "instale" (są tu też dwa pliki fixlog i FRST). Jeśłi potrzeba, to je usunę.

[picasso]

FRST i jego logi zlokalizowane na innym dysku skasuj, to już niepotrzebne. FRST i tak należy za każdym razem pobierać na nowo, gdyż program jest zbyt często aktulizowany.

 

 

.

[robson001]

Zrobione.