RunDLL error - Backgroundcontainer.dll

[SokPomaranczowy]

Objawy zainfekowania:
Komputer zawieszał się na ułamek sekundy. Zwieszał się też dźwięk. Działo się to pod dużym obciążeniem więc nie było bardzo uciążliwe w normalnej pracy. Dla pewności puściłem antywirusy.

Wykonywane działania:
Postanowiłem przeskanować komputer Avastem, Malwarebytes Anti-Malware i AdwCleanerem. Avast nic nie znalazł, Malwarebytes i AdwCleaner tak. Usunąłem to co było zaznaczone w obu programach.
Logi jakie dostałem:
Malwarebytes

[Aby zobaczyć linki, zarejestruj się tutaj]

AdwCleaner

[Aby zobaczyć linki, zarejestruj się tutaj]

Po ponownym uruchomieniu zaczęło się pojawiać takie okienko:

[Aby zobaczyć linki, zarejestruj się tutaj]

Znalazłem w Google taki oto poradnik:

[Aby zobaczyć linki, zarejestruj się tutaj]

Postępowałem zgodnie z instrukcjami jednak nie udało mi się usunąć kluczy:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\random
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\random
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run\random

Usunąłem tylko:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

Ale dostałem wiadomość, że czegoś nie udało się usunąć. Komputer nadal uruchamia się normalnie. Trochę dłużej zajmuje mu załadowanie pulpitu. Przeskanowałem jeszcze raz Malwarebytes i dostałem taki log:

[Aby zobaczyć linki, zarejestruj się tutaj]

Po restarcie okienko RunDLL nadal się pojawia. Dlatego proszę o pomoc w usunięciu problemu.

Logi:
OTL.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Extras.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Usunąłem tylko:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

tzn.co całą zawartość ?

[SokPomaranczowy]

Tak. Dostałem komunikat, że jakiejś części nie udało się usunąć.

[tachion]

OMG przecież ta zawartość jest prawidłowa.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i w oknie wklej:

Kod:

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /s

kliknij looki pokaż raport.

[SokPomaranczowy]

Raport z SystemLookx64:

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Wygląda na ok

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

C:\Users\Dżon\AppData\Local\Temp\AutoRun.exe
C:\Users\Dżon\AppData\Local\Temp\AutoRunGUI.dll
C:\Users\Dżon\AppData\Local\Temp\EAInstall.dll
C:\Users\Dżon\AppData\Local\Temp\eauninstall.exe
C:\Users\Dżon\AppData\Local\Temp\gmvg2m0r.dll
C:\Users\Dżon\AppData\Local\Temp\Gw2.exe
C:\Users\Dżon\AppData\Local\Temp\i4jdel0.exe
C:\Users\Dżon\AppData\Local\Temp\MouseKeyboardCenterx64_1033.exe
C:\Users\Dżon\AppData\Local\Temp\npp.6.4.5.Installer.exe
C:\Users\Dżon\AppData\Local\Temp\npp.6.5.Installer.exe
C:\Users\Dżon\AppData\Local\Temp\nvSCPAPI.dll
C:\Users\Dżon\AppData\Local\Temp\nvSCPAPI64.dll
C:\Users\Dżon\AppData\Local\Temp\nvStereoApiI.dll
C:\Users\Dżon\AppData\Local\Temp\nvStInst.exe
C:\Users\Dżon\AppData\Local\Temp\ose00000.exe
C:\Users\Dżon\AppData\Local\Temp\ose00001.exe
C:\Users\Dżon\AppData\Local\Temp\pyl8834.tmp.exe
C:\Users\Dżon\AppData\Local\Temp\Quarantine.exe
C:\Users\Dżon\AppData\Local\Temp\Shockwave_Installer_FF.exe
C:\Users\Dżon\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Dżon\AppData\Local\Temp\swt-win32-3349.dll
C:\Users\Dżon\AppData\Local\Temp\The Lord of the Rings, The Rise of the Witch-king_uninst.exe
C:\Users\Dżon\AppData\Local\Temp\xmlUpdater.exe
C:\Users\Dżon\AppData\Local\Temp\xuninst.exe
C:\Users\Dżon\AppData\Local\Temp\_is699F.exe
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [x]
S3 tsusbhub; system32\drivers\tsusbhub.sys [x]
S3 VGPU; System32\drivers\rdvgkmd.sys [x]
Task: {62FB5153-4912-4851-9DAF-02142FB99B17} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File
Task: {66E23E38-9761-4FFB-AD27-7D3CF4FC00DD} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File
Task: {EB8DFB3E-03FB-433D-A131-623A813F6BB9} - System32\Tasks\BackgroundContainer Startup Task => Rundll32.exe "C:\Users\Dżon\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun <==== ATTENTION
testsigning: ==> Check for possible unsigned rootkit driver <===== ATTENTION!
nointegritychecks: ==> Integrity Checks is disabled <===== ATTENTION!

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

Odinstaluj:
uTorrentControl_v6 Toolbar for IE

Napisz jakie są reakcje systemu.

[SokPomaranczowy]

Log z FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Odinstalowałem uTorrentControl_v6 Toolbar for IE i zresetowałem Firefoxa.

[tachion]

Czy po uruchomieniu komputera ponowie dalej występują jakieś problemy ?

[SokPomaranczowy]

Nie. Wielkie dzięki za ekspresową pomoc

[tachion]

Ale nie zaszkodzi dodatkowy skan.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom kliknij w Change paramters,zaznacz wszystko klik ok i następnie Start Scan
Po wszystkim przedstaw raport po skanowaniu,jeśli coś wykryje nie podejmuj żadnej akcji.

Ściągnij Malwarebytes Anti-Rootkit

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij next > update > next i scan

Napisz jakie są efekty

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

[SokPomaranczowy]

Raport z Security Check.

[Aby zobaczyć linki, zarejestruj się tutaj]

Z Malwarebytes Anti-Rootkit dostałem coś takiego. Usuwać?

[Aby zobaczyć linki, zarejestruj się tutaj]

TDSSKillera jeszcze nie puściłem bo chce zrobić reboota.

[tachion]

Ciekawe i nie wiem co o tym myśleć czekam na pozostały raport z TDSS,zrób dodatkowy raport w GMER

[Aby zobaczyć linki, zarejestruj się tutaj]

[SokPomaranczowy]

Z TDSSKillera otrzymałem taki raport:

[Aby zobaczyć linki, zarejestruj się tutaj]

plus printscreen okienka:

[Aby zobaczyć linki, zarejestruj się tutaj]

Raport z GMER troche mi zajmie, w każdym tutorialu znajduje się kolejny tutorial a w nim następny
EDIT:
Gubię się gdy przychodzi do usunięcia klucza
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd
w tym tutorialu:

[Aby zobaczyć linki, zarejestruj się tutaj]

żne-oprogramowanie-emulujące-napędy/
Odinstalowałem Daemon Tools Lite, uruchomiłem SPTDinst-x64.exe ale nie wiem jak usunąć ten klucz. Tak normalnie z regedit?

[tachion]

Pliki wykryte przez tdss to nic takiego są po prostu nie podpisane cyfrowo

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

---

Dodano: 01 lut 2014, 17:11

tak a nie idzie dalej z rejestru tego wywalić ?

[SokPomaranczowy]

Po tym jak miałem problemy z Winlogon nie próbowałem, w tym tutorialu skierowali mnie:

[Aby zobaczyć linki, zarejestruj się tutaj]

Ale z tego już niewiele zrozumiałem a trochę się boję na tym rejestrze operować
Regedit zwrócił błąd przy usuwaniu klucza. Został cały folder Cfg.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg

EDIT:
Spróbowałem usunąć resztę tego klucza za pomocą RegASSASSINa ale zwrócił komunikat, że mu się nie udało. Nie wiem co dalej z tym zrobić? Zostawić tak jak jest?

[tachion]

Staraj się strony dawać w spoiler

---

Dodano: 01 lut 2014, 18:18

Musisz to zrobić tak jak tam jest podane czyli zmiana uprawnień,program w tym wypadku RegASSASSIN się nie nada dopóki te uprawniania nie będą zmienione.

[SokPomaranczowy]

[Aby zobaczyć linki, zarejestruj się tutaj]

w kroku:
4. Przechodzimy do zakładki Owner / Właściciel, zaznaczamy nasze konto, na dole ptaszkujemy opcję Zamień właściciela dla podkontenerów i obiektów i zatwierdzamy wszystko:

Dostaję komunikat, że edytor rejestru nie może ustawić właściciela dla wybranego klucza lub niektórych jego podkluczy.

[tachion]

w menu start uruchom > regedit > uruchom jako administrator następnie jak już przejdziesz do tego sptd klik prawym > uprawnienia i na dole zaznacz > zastąp wszystkie uprawnienia obiektów itd. klik zastosuj i tak.
Zaznacz obiekt sptd prawym klawiszem myszy i usuń,zamknij rejestr i restart.

[SokPomaranczowy]

Dodaje dwa logi bo pierwszy wykonałem ale zapomniałem wyłączyć przeglądarkę. Na drugim powinno być mniej programów też.

[Aby zobaczyć linki, zarejestruj się tutaj]

- z włączoną Operą

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Szczerze nic tu nie widzę specjalnego,jutro zajmiemy się resztą.

---

Dodano: 02 lut 2014, 14:58

Czy w GMER zastałeś jakieś komunikaty oznaczone na czerwono ?