Bundpil.CS w pamięci operacyjnej - prośba o pomoc


(patrykut) #1

Witam,

 

w dniu dzisiejszym zaskoczył mnie pewien problem który pojawił się na moim komputerze, na którym zainstalowany jest system Windows 7 Ultimate. Wszystko zaczęło się od włożenia pendrive'a, na którym (nie wiem jakim cudem się to stało), po wejściu w jego lokalizację główną zamiast danych widniał kolejny skrót z nazwą pendrive'a, do którego po wejściu pojawiały się wszystkie dane. Zdziwiła mnie ta sytuacja, jednak zignorowałem ją. Po kilku minutach podczas przeglądania Internetu ni stąd ni zowąd wyskoczył jakiś błąd (niestety na chwilę obecną nie mogę sobie przypomnieć co dokładnie było w nim zawarte) związany z plikiem svchost.exe. Klikając w okienku które się pojawiło przycisk ,,Zamknij" komputer uruchomił się ponownie, po czym wszystko było w porządku oprócz usługi Windows Update. Nie widnieje ona na liście w services.msc , przez co nie mogę ani jej uruchomić ani zatrzymać. Chodzi bowiem o to, że po próbie wyszukania aktualizacji pojawia się błąd ( patrz załącznik numer 1 ). W międzyczasie zdążyłem dojść do tego, że za błąd ten odpowiada kod 0x8007005 , który również pojawił się podczas ,,grzebania" i szukania przyczyny problemu na poziomie Windows Update. Próbowałem go rozwiązać na wszystkie trzy czy cztery opisane w Internecie sposoby, jednakże bez skutku. Po tym stwierdziłem, że siedzi za tym robak, który wykrył skaner online ESETa, czyli Bundpil.CS w pamięci operacyjnej.

 

W związku z tym problemem przesyłam poniżej potrzebne logi oraz raport ze skanowania skanerem online firmy ESET:

 

Raport skanowania : http://wklej.org/id/1766646/

FRST.txt : http://wklej.org/id/1766648/

Addition.txt : http://wklej.org/id/1766649/

Shortcut.txt : http://wklej.org/id/1766650/

OTL : http://wklej.org/id/1766664/

 

post-140873-0-93477100-1438434579_thumb.

 

Pozdrawiam i proszę o szybką oraz konkretną pomoc.


(Acorus) #2

Użyj ESET Necurs Remover http://www.virusradar.com/Win32_TrojanDownloader.Necurs.A/description?lng=en

Kieruj się poleceniami programu.Pokaż nowe logi z FRST.


(patrykut) #3

Proszę, oto nowe logi z FRST:

 

 

FRST.txt : http://wklej.org/id/1766685/

Addition.txt : http://wklej.org/id/1766686/

Shortcut.txt : http://wklej.org/id/1766687/


(Acorus) #4

Otwórz notatnik systemowy i wklej:

CloseProcesses:
HKLM\...\Policies\Explorer\Run: [473746780] => C:\ProgramData\mswmnkiv.exe [97107840 2015-06-15] (PatientLink Enterprises)
GroupPolicyScripts: Group Policy detected <======= ATTENTION
GroupPolicyScripts\User: Group Policy detected <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-08-01 12:10 - 2015-08-01 12:10 - 00094672 _____ C:\Windows\system32\Drivers\7881b84ed2e28e9a.sys
C:\Users\Patryk\AppData\Local\Temp*.html
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(patrykut) #5

Zrobione.

 

Oto powstały log z FRST po wykonaniu przedstawionych przez Ciebie czynności: http://wklej.org/id/1766887/

Jeżeli chodzi o skan Dr.WEB CureIt, to po zaznaczeniu wszystkich możliwych składowych do skanowania po jego zakończeniu nic nie wykryto. Na wszelki wypadek przesyłam również raport: http://wklej.org/id/1766908/


(Acorus) #6

Otwórz notatnik systemowy i wklej:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(patrykut) #7

Folder usunięty, oto log powstały po wykonanej operacji: http://wklej.org/id/1767044/

 

Chciałem jeszcze zapytać w jaki sposób mogę zdezynfekować pendrive’a w bezinwazyjny dla systemu operacyjnego sposób. Mam możliwość podpięcia innego dysku z drugim systemem, który pozostał po innym komputerze i jest nieużywany i właściwie mogę na nim zrobić co mi się żywnie podoba. Czy mogę prosić Cię w tym wypadku o jakąś instrukcję (i oczywiście ewentualne dalsze kroki w związku z infekcją w obecnym systemie) dotyczącą usunięcia zagrożenia z tego zarażonego pendrive’a?


(Acorus) #8

Podepnij pendriva.Użyj USBFix z funkcji Usuń(Clean).http://www.en.usbfix.net/download/usbfix/?wpdmdl=75


(patrykut) #9

Zrobione, oto log: http://wklej.org/id/1767048/

 

Czy pendrive oraz system są już czyste, czy jeszcze muszę wykonać jakieś kroki?


(Acorus) #10

W USBFix użyj opcji Uninstall.


(patrykut) #11

Zrobione.