Brontok.a

kondziuxx · 31 Październik 2012 15:02

Witam, jestem kolejna osobą z zainfekowanym komputerem brontokiem. Proszę o pomoc jak usunąć to “coś”

tutaj logi:

OTL:

http://wklej.to/J0T2A

Extras:

http://wklej.to/uteMS

Co nalezy wykonac dalej?

Konrad.

Acorus · 31 Październik 2012 15:57

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL MOD - [2012-10-24 04:40:44 | 000,043,403 | ---- | M] () – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\winlogon.exe MOD - [2012-10-24 04:40:44 | 000,043,403 | ---- | M] () – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\services.exe MOD - [2012-10-24 04:40:44 | 000,043,403 | ---- | M] () – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\lsass.exe IE - HKU\S-1-5-21-1085031214-1606980848-1644491937-1003…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) IE - HKU\S-1-5-21-1085031214-1606980848-1644491937-1003…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKU\S-1-5-21-1085031214-1606980848-1644491937-1003…\SearchScopes{D84A5F76-034E-4015-9D63-1C9E5064CACD}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=0395279E-5064-4C34-BD2E-64D8A6DB2684&apn_sauid=9B1C2D84-56D1-441D-A3DB-7B7BA618E4D1 FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Ask.com” FF - prefs.js…browser.search.order.1: “Ask.com” [2012-04-08 11:01:02 | 000,000,000 | —D | M] (Ask Toolbar) – C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\c01zm08f.default\extensions\toolbar@ask.com [2012-01-03 15:27:44 | 000,002,333 | ---- | M] () – C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\c01zm08f.default\searchplugins\askcom.xml O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe (Ask) O4 - HKLM…\Run: [bron-Spizaetus] C:\WINDOWS\ShellNew\RakyatKelaparan.exe () O4 - HKU\S-1-5-21-1085031214-1606980848-1644491937-1003…\Run: [Tok-Cirrhatus] File not found O4 - HKU\S-1-5-21-1085031214-1606980848-1644491937-1003…\Run: [Tok-Cirrhatus-573] C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\smss.exe () O4 - Startup: C:\Documents and Settings\x\Menu Start\Programy\Autostart\Empty.pif () O7 - HKU\S-1-5-21-1085031214-1606980848-1644491937-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Value error.) O20 - HKLM Winlogon: Shell - (“C:\WINDOWS\KesenjanganSosial.exe”) - C:\WINDOWS\KesenjanganSosial.exe () [2012-10-31 00:00:00 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-31 [2012-10-30 10:10:23 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-30 [2012-10-29 05:45:17 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-29 [2012-10-28 06:06:58 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-28 [2012-10-27 07:04:35 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-27 [2012-10-26 06:22:00 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-26 [2012-10-25 05:21:36 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-25 [2012-10-24 04:40:47 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-24 [2012-10-23 13:49:41 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-23 [2012-10-22 07:12:38 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-22 [2012-10-21 10:32:25 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-21 [2012-10-20 05:15:21 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-20 [2012-10-19 03:52:50 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-19 [2012-10-18 04:33:10 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-18 [2012-10-17 04:44:13 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-17 [2012-10-16 05:30:37 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-16 [2012-10-15 01:38:00 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-15 [2012-10-13 23:00:01 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-14 [2012-10-13 05:25:27 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-13 [2012-10-12 05:00:47 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-12 [2012-10-11 04:25:17 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-11 [2012-10-09 23:00:00 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-10 [2012-10-09 04:42:51 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-9 [2012-10-08 05:01:14 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-8 [2012-10-07 07:08:19 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok [2012-10-07 07:07:52 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok [2012-10-07 07:02:19 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-7 [2012-10-31 13:50:08 | 000,000,260 | ---- | M] () – C:\WINDOWS\tasks\WGASetup.job [2012-10-24 04:40:44 | 000,043,403 | -H-- | M] () – C:\WINDOWS\KesenjanganSosial.exe [2012-10-24 04:40:44 | 000,043,403 | ---- | M] () – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\winlogon.exe [2012-10-24 04:40:44 | 000,043,403 | ---- | M] () – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\smss.exe [2012-10-24 04:40:44 | 000,043,403 | ---- | M] () – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\services.exe [2012-10-24 04:40:44 | 000,043,403 | ---- | M] () – C:\Documents and Settings\x\Moje dokumenty\Moje dokumenty.exe [2012-10-24 04:40:44 | 000,043,403 | ---- | M] () – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\lsass.exe [2012-10-24 04:40:44 | 000,043,403 | ---- | M] () – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\inetinfo.exe [2012-10-24 04:40:44 | 000,043,403 | ---- | M] () – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\csrss.exe [2012-10-24 04:40:44 | 000,043,403 | ---- | M] () – C:\WINDOWS\System32\cmd-brontok.exe [2011-12-24 19:10:28 | 000,000,000 | —D | M] – C:\Documents and Settings\x\Dane aplikacji\OpenCandy :Commands [emptytemp]

Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

kondziuxx · 31 Październik 2012 18:50

http://wklej.to/eXVrD OTL ze skanu, a raportu z usuwania nie ma bo po pierwsze komputer mi sie uruchomil ponownie bez zadnych ostrzezen powylaczalo wszystko po kliknieciu “wykonaj skrypt” a po uruchomieniu nie wywalilo nic w postaci przypominajacej raportu - normalnie sie uruchomil.

Acorus · 31 Październik 2012 19:15

Nic się nie wykonało.Spróbuj w trybie awaryjnym.

kondziuxx · 31 Październik 2012 20:53

w trybie awaryjnym robi sie to samo. Mam win xp w kazdym razie. Ma to roznice ktory z 3 dostepnych plikow OTL uruchamiam? Mam .exe. Czy ustawienia do wklejania skryptu powinny byc takie same jak do skanowania?

Acorus · 1 Listopad 2012 08:31

Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”

Pokaż nowe logi z OTL.

kondziuxx · 1 Listopad 2012 12:09

zaktualizowano, przeskanowano, usunieto, ponownie uruchomiono, zrobiono logi OTL:

wklej.to/eQWii

Acorus · 1 Listopad 2012 16:24

Użyj AdwCleaner http://general-changelog-team.fr/fr/dow … adwcleaner z funkcji Delete

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL IE - HKU\S-1-5-21-1085031214-1606980848-1644491937-1003…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) IE - HKU\S-1-5-21-1085031214-1606980848-1644491937-1003…\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: “URL” = http://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC IE - HKU\S-1-5-21-1085031214-1606980848-1644491937-1003…\SearchScopes{D84A5F76-034E-4015-9D63-1C9E5064CACD}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=0395279E-5064-4C34-BD2E-64D8A6DB2684&apn_sauid=9B1C2D84-56D1-441D-A3DB-7B7BA618E4D1 FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Ask.com” FF - prefs.js…browser.search.order.1: “Ask.com” [2012-04-08 11:01:02 | 000,000,000 | —D | M] (Ask Toolbar) – C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\c01zm08f.default\extensions\toolbar@ask.com [2012-01-03 15:27:44 | 000,002,333 | ---- | M] () – C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\c01zm08f.default\searchplugins\askcom.xml O3 - HKU\S-1-5-21-1085031214-1606980848-1644491937-1003…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [] File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Reg Error: Value error.) [2012-11-01 09:36:04 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-1 [2012-10-31 00:00:00 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-31 [2012-10-30 10:10:23 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-30 [2012-10-29 05:45:17 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-29 [2012-10-28 06:06:58 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-28 [2012-10-27 07:04:35 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-27 [2012-10-26 06:22:00 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-26 [2012-10-25 05:21:36 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-25 [2012-10-24 04:40:47 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-24 [2012-10-23 13:49:41 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-23 [2012-10-22 07:12:38 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-22 [2012-10-21 10:32:25 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-21 [2012-10-20 05:15:21 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-20 [2012-10-19 03:52:50 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-19 [2012-10-18 04:33:10 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-18 [2012-10-17 04:44:13 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-17 [2012-10-16 05:30:37 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-16 [2012-10-15 01:38:00 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-15 [2012-10-13 23:00:01 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-14 [2012-10-13 05:25:27 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-13 [2012-10-12 05:00:47 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-12 [2012-10-11 04:25:17 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-11 [2012-10-09 23:00:00 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-10 [2012-10-09 04:42:51 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-9 [2012-10-08 05:01:14 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-8 [2012-10-07 07:08:19 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok [2012-10-07 07:07:52 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok [2012-10-07 07:02:19 | 000,000,000 | —D | C] – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok-15-7 [2012-11-01 13:00:00 | 000,000,226 | ---- | M] () – C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2012-11-01 12:59:18 | 000,000,260 | ---- | M] () – C:\WINDOWS\tasks\WGASetup.job [2012-11-01 12:47:50 | 000,012,393 | ---- | M] () – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Bron.tok.A15.em.bin [2012-04-19 18:57:52 | 000,043,403 | ---- | C] () – C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\inetinfo.exe [2011-12-24 19:10:28 | 000,000,000 | —D | M] – C:\Documents and Settings\x\Dane aplikacji\OpenCandy :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] “AlternateShell”=“cmd.exe” :Commands [emptytemp] [resethosts]

Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

kondziuxx · 2 Listopad 2012 21:17

Raport z usuwania:

http://wklej.to/o3m7Q

nowy skan OTL:

http://wklej.to/6IIST

Acorus · 3 Listopad 2012 09:11

W OTL użyj opcji Sprzątanie.

Wyłącz i włącz przywracanie systemu.

http://www.searchengines.pl/Czyszczenie … 41981.html

Zainstaluj aktualizacje do programow wskazanych przez Security Check

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.