Brontok a [16] - usunięcie go całkowicie

Areczek1510 · 15 Styczeń 2013 18:29

Witam. Mam tego wirusa (zaraża WSZYSTKO) więc zamieszczam log z OTL (jeśli coś będzie potrzeba piszcie). Dodam że podczas pobierania restartuje kompa, podczas używania ścina go, a w grze w którą gram (CoD2 MP) przy prekości netu do 10MB (mam 8,1) ścina z 333fps do nawet 1-5.

OTL:

http://www.wklejto.pl/145793

OTL Extras

http://www.wklejto.pl/145794

Atis · 15 Styczeń 2013 19:31

Odinstaluj Optimizer Pro i BrowseToSave

Wirus Jeefo infekuje wszystkie pliki wykonywalne.

Pobierz Dr.Web CureIt i przeskanuj wszystkie dyski: Klik

Do okna Własne opcje skanowania / skrypt wklej:

:OTL SRV - [2001-08-24 19:00:00 | 000,036,352 | --S- | M] (Microsoft Corporation) [Auto | Running] – C:\WINDOWS\svchost.exe – (PowerManager) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva401.sys – (XDva401) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\PCAMPR5.SYS – (PCAMPR5) O4 - HKLM…\Run: [bron-Spizaetus] C:\WINDOWS\ShellNew\RakyatKelaparan.exe () O4 - HKU.DEFAULT…\Run: [Tok-Cirrhatus] File not found O4 - HKU.DEFAULT…\Run: [Tok-Cirrhatus-1860] C:\Documents and Settings\NetworkService\Local Settings\Application Data\br4743on.exe () O4 - HKU\S-1-5-18…\Run: [Tok-Cirrhatus] File not found O4 - HKU\S-1-5-18…\Run: [Tok-Cirrhatus-1860] C:\Documents and Settings\NetworkService\Local Settings\Application Data\br4743on.exe () O4 - HKU\S-1-5-21-1659004503-790525478-839522115-1003…\Run: [Tok-Cirrhatus] File not found O4 - HKU\S-1-5-21-1659004503-790525478-839522115-1003…\Run: [Tok-Cirrhatus-936] C:\Documents and Settings\Ax\Local Settings\Application Data\br2895on.exe () O4 - Startup: C:\Documents and Settings\Ax\Start Menu\Programs\Startup\Empty.pif () O4 - Startup: C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup\Empty.pif () O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-21-1659004503-790525478-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-1659004503-790525478-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - AppInit_DLLs: (c:\progra~1\browse~1\sprote~1.dll) - c:\Program Files\BrowseToSave\sprotector.dll () O20 - HKLM Winlogon: Shell - (“C:\WINDOWS\KesenjanganSosial.exe”) - C:\WINDOWS\KesenjanganSosial.exe () O31 - SafeBoot: AlternateShell - cmd-brontok.exe :Files C:\Documents and Settings\NetworkService\Local Settings\Application Data*Bron* C:\Documents and Settings\Ax\Local Settings\Application Data*Bron* C:\WINDOWS\tasks\At*.job C:\Documents and Settings\NetworkService\Local Settings\Application Data*.exe C:\Documents and Settings\Ax\Local Settings\Application Data*.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] “AlternateShell”=“cmd.exe” :Commands [resethosts] [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Areczek1510 · 15 Styczeń 2013 20:30

Dziś zeskanowałem tylko część tym programem bo zejdzie ~3h… jutro komplet zrobię, do tego otl wykonam skrypt ale nowe logi już jutro. Dziękuję za zainteresowanie:)

Logi OTL po wykonaniu skryptu który podałeś… Jeśli wszystko zrobiłem OK (wyskoczyło że tworzy, po chwili killing proces i restartneło) tak miało być?

http://www.wklejto.pl/145831

Atis · 15 Styczeń 2013 21:30

Nic nie zostało usunięte.

Wykonaj skrypt w trybie awaryjnym.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

https://support.kaspersky.com/pl/faq?SS … 3238595#q1

Dodatkowo możesz przeskanować Kaspersky Virus Removal Tool 2011

W zakładce Scan scope zaznacz wszystkie dyski:

Jak zmienić obszar automatycznego skanowania w Kaspersky Virus Removal Tool 2011?

Areczek1510 · 16 Styczeń 2013 12:07

wykonanie skryptu crashuje:/ mam non stop restart… a 1 pogram który poleciłeś chwile przed końcem resetnął… jakieś pomysły?

Atis · 16 Styczeń 2013 15:21

Masz wirusa który infekuje pliki wykonywalne.

Skanujesz do wyleczenia wszystkich plików lub formatujesz dysk.

Pobierz i uruchom The Avenger

Uruchom system w awaryjnym bez obsługi sieci.

Do okna programu wklej:

Files to delete: C:\Documents and Settings\NetworkService\Local Settings\Application Data\winlogon.exe C:\Documents and Settings\Ax\Local Settings\Application Data\winlogon.exe C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe C:\Documents and Settings\Ax\Local Settings\Application Data\smss.exe C:\Documents and Settings\NetworkService\Local Settings\Application Data\services.exe C:\Documents and Settings\Ax\Local Settings\Application Data\services.exe C:\Documents and Settings\NetworkService\Local Settings\Application Data\lsass.exe C:\Documents and Settings\Ax\Local Settings\Application Data\lsass.exe C:\Documents and Settings\NetworkService\Local Settings\Application Data\inetinfo.exe C:\Documents and Settings\Ax\Local Settings\Application Data\inetinfo.exe C:\Documents and Settings\NetworkService\Local Settings\Application Data\csrss.exe C:\Documents and Settings\Ax\Local Settings\Application Data\csrss.exe C:\WINDOWS\System32\cmd-brontok.exe C:\Documents and Settings\NetworkService\Local Settings\Application Data\br4743on.exe C:\Documents and Settings\Ax\Local Settings\Application Data\br4743on.exe C:\Documents and Settings\Ax\Local Settings\Application Data\br2895on.exe C:\WINDOWS\svchost.exe C:\WINDOWS\ShellNew\RakyatKelaparan.exe C:\Documents and Settings\Ax\Start Menu\Programs\Startup\Empty.pif C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup\Empty.pif C:\WINDOWS\KesenjanganSosial.exe C:\WINDOWS\System32\cmd-brontok.exe Drivers to delete: PowerManager

Kliknij w Execute i zatwierdź restart.

Pokaż raport z usuwania i nowy log z OTL.