Brontok

manolooo1993 · 3 Grudzień 2012 14:32

Witam. Od paru dni mam pewien problem, a mianowicie z Brontokiem. Proszę o pomoc

O to raporty:

OTL: http://www.wklej.org/id/886727/

Extras: http://www.wklej.org/id/886731/

Atis · 3 Grudzień 2012 14:38

Odinstaluj:

Incredibar Toolbar on IE and Chrome

QuickStores-Toolbar

StartSearch Toolbar

Browsers Protector

Akamai NetSession Interface Service

Akamai NetSession Interface

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Delete.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL SRV - File not found [Disabled | Stopped] – C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe – (Microsoft Office Groove Audit Service) SRV - File not found [Disabled | Stopped] – C:\Program Files\Google\Update\GoogleUpdate.exe /medsvc – (gupdatem) SRV - File not found [Auto | Stopped] – C:\Program Files\Google\Update\GoogleUpdate.exe /svc – (gupdate) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\wanatw4.sys – (wanatw) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\Sacm2A.sys – (USBCM) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Windows\system32\drivers\UNDPX2A.SYS – (UNDPX2A) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Windows\system32\drivers\EagleXNt.sys – (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Windows\system32\drivers\EagleNT.sys – (EagleNT) O2 - BHO: (wxDfast Class) - {9C0E35F6-B4F7-4E70-8574-AF5C607AB1AB} - C:\ProgramData\wxDfast\bhoclass.dll (Injector) O2 - BHO: (no name) - {9D425283-D487-4337-BAB6-AB8354A81457} - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - {9D425283-D487-4337-BAB6-AB8354A81457} - No CLSID value found. O4 - HKU\S-1-5-21-3341100805-1435625307-29070423-1000…\Run: [ares] “C:\Program Files\Ares\Ares.exe” -h File not found O4 - HKU\S-1-5-21-3341100805-1435625307-29070423-1000…\Run: [Tok-Cirrhatus] “C:\Users\PC\AppData\Local\smss.exe” File not found O4 - Startup: C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\trz201E.tmp ( ) :Files C:\Users\PC\AppData\Local\Bron* C:\found.* wsotfb.exe /alldrives autorun.inf /alldrives C:\Users\PC\AppData\Local*.exe C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup*.tmp :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [resethosts] [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

manolooo1993 · 3 Grudzień 2012 16:08

Podczas wykonywania skryptu komputer nie restartuje się. Cały czas widnieje czysty pulpit, tak jakby nic się nie działo a czekałem dosyć długo.

Atis · 3 Grudzień 2012 16:18

Uruchom system w trybie awaryjnym i wtedy wykonaj skrypt.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

https://support.kaspersky.com/pl/faq?SS … 3238595#q1

manolooo1993 · 3 Grudzień 2012 16:52

skan:

http://www.wklej.org/id/886873/

http://www.wklej.org/id/886893/

Atis · 3 Grudzień 2012 17:16

Wklej i kliknij Wykonaj skrypt:

:OTL IE - HKLM…\SearchScopes{27A57C1C-EE9B-81EC-BDC1-8EA138781FE4}: “URL” = http://startsear.ch/?aff=1&q={searchTerms} IE - HKLM…\SearchScopes{DECFC32C-E8EA-484B-958E-364C266EB6AD}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=93 … 75c0777&q={searchTerms} IE - HKLM…\SearchScopes,DefaultScope = IE - HKU.DEFAULT…\SearchScopes,DefaultScope = IE - HKU\S-1-5-18…\SearchScopes,DefaultScope = IE - HKU\S-1-5-19…\SearchScopes,DefaultScope = IE - HKU\S-1-5-20…\SearchScopes,DefaultScope = IE - HKU\S-1-5-21-3341100805-1435625307-29070423-1000…\SearchScopes,DefaultScope = IE - HKU\S-1-5-21-3341100805-1435625307-29070423-1000…\SearchScopes{27A57C1C-EE9B-81EC-BDC1-8EA138781FE4}: “URL” = http://startsear.ch/?aff=1&q={searchTerms} IE - HKU\S-1-5-21-3341100805-1435625307-29070423-1000…\SearchScopes{C05C6E6E-6C45-4D94-B013-FC4A124BD670}: “URL” = http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6PQqFVtbqX&i=26 IE - HKU\S-1-5-21-3341100805-1435625307-29070423-1000…\SearchScopes{DECFC32C-E8EA-484B-958E-364C266EB6AD}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=93 … 75c0777&q={searchTerms} IE - HKU\S-1-5-21-3341100805-1435625307-29070423-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyOverride” = 127.0.0.1:9421; IE - HKU\S-1-5-21-3341100805-1435625307-29070423-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyServer” = 213.197.182.78:3128 O4 - HKU\S-1-5-21-3341100805-1435625307-29070423-1000…\Run: [Akamai NetSession Interface] “C:\Users\PC\AppData\Local\Akamai\netsession_win.exe” File not found [2012-12-03 17:35:09 | 000,023,552 | ---- | C] () – C:\Windows\System32\olemdb32.dll :Files pokxe.pif /alldrives C:\Users\PC\Documents*.tmp C:\Users\PC\AppData\Local*.tmp

Odinstaluj starą wersję programu JavaFX 2.1.1 i Java 6 Update 31.

Zabezpiecz się przed infekcją z USB (linki bezpośrednie): Panda USB Vaccine

Uruchom program i kliknij Vaccinate.

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

http://windows.microsoft.com/pl-PL/wind … tore-point

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Kaspersky Virus Removal Tool 2011

W zakładce Scan scope zaznacz wszystkie dyski:

Jak zmienić obszar automatycznego skanowania w Kaspersky Virus Removal Tool 2011?

manolooo1993 · 3 Grudzień 2012 19:11

http://www.wklej.org/id/887057/ chyba jest dobrze, ale nie jestem pewny, bo się bardzo nie znam ;p

– Dodane 03.12.2012 (Pn) 20:13 –

Results of screen317’s Security Check version 0.99.56 Windows Vista Service Pack 2 x86 (UAC is disabled!) Internet Explorer 7 Out of date! Antivirus/Firewall Check: avast! Antivirus Antivirus up to date! (On Access scanning disabled!) Anti-malware/Other Utilities Check: Expired Cookies Cleaner v.1.03 Java 7 Update 9 Adobe Flash Player 11.5.502.110 Adobe Reader 9 Adobe Reader out of Date! Mozilla Firefox 16.0.2 Firefox out of Date! Google Chrome 21.0.1180.83 Google Chrome 21.0.1180.89 Google Chrome 22.0.1229.79 Google Chrome 22.0.1229.92 Google Chrome 22.0.1229.94 Google Chrome 23.0.1271.64 Google Chrome 23.0.1271.91 Google Chrome 23.0.1271.95 Process Check: objlist.exe by Laurent Windows Defender MSASCui.exe Windows Defender MSASCui.exe AVAST Software Avast AvastSvc.exe AVAST Software Avast AvastUI.exe System Health check Total Fragmentation on Drive C: % ````````````````````End of Log``````````````````````

Atis · 3 Grudzień 2012 19:14

Wykonaj pozostałe zalecenia.

Przeskanuj dysk, bo Brontok tworzy szkodliwe pliki które są niewidoczne w logu.

Odinstaluj Adobe Reader 9 .

Zainstaluj:

Adobe Reader

Internet Explorer 9

Firefox

manolooo1993 · 3 Grudzień 2012 20:35

Nie wiem czy każdy ale sporo plików .exe wykrywa jako Virus.Win32.Sality.gen.

Atis · 3 Grudzień 2012 20:38

Prawdopodobnie za pomocą pendrive przeniosłeś tego wirusa, więc użyj Panda USB Vaccine.

Skanuj wszystkie partycje i lecz zainfekowane pliki.

SalityKiller lub Klik
Dr.WEB CureIt wykonaj Pełne skanowanie

Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.

manolooo1993 · 4 Grudzień 2012 21:53

Dr.Web znajduje sporo Win32.HLLP.Sector.

Atis · 4 Grudzień 2012 22:12

Sector to jest inna nazwa wirusa Sality który infekuje wszystkie pliki wykonywalne.

manolooo1993 · 4 Grudzień 2012 22:23

A więc te co się da to leczyć, a pozostałe usuwać?

Atis · 4 Grudzień 2012 23:03

Jeżeli nie będzie można wyleczyć to nie masz innego wyjścia.

Oczywiście nie można usunąć ważnych plików systemowych.

Powtarzaj również skanowanie SalityKiller aż nie wykryje żadnych zainfekowanych plików.

manolooo1993 · 8 Grudzień 2012 16:25

Wielkie dzięki za pomoc.! : )