Brontok

Dla specjalistów Bezpieczeństwo
#1

Mam problem z wirusem brontok.a[16].

Czy mógłby ktoś mi pomóc go usunąć??

Daje logi z OTL:

http://wklej.to/vFVTO

http://wklej.to/aKZ8P

#2

Hej,

#3

Skan z w/w programu:

http://www.wklej.org/id/1862174/

http://www.wklej.org/id/1862175/

http://www.wklej.org/id/1862176/

 

Co dalej?

#4

Wklej do notatnika:

#5

Fixlog:  http://wklej.org/id/1862505/

 

2 skoanowanie:

http://wklej.org/id/1862506/

http://wklej.org/id/1862507/

http://wklej.org/id/1862508/

 

 

 

 

#6

Wyłącz przywracanie systemu na wszystkich dyskach. http://www.sciagnij.pl/programy/1,93141,11973697,Jak_wylaczyc_przywracanie_systemu_w_Windows_XP__Poradnik.html

 

Wklej do notatnika:

CloseProcesses:
HKLM\...\Run: [Bron-Spizaetus] => C:\WINDOWS\ShellNew\RakyatKelaparan.exe [45417 2007-12-31] ()
HKLM\...\Winlogon: [Shell] Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe" [x] ()
HKU\S-1-5-21-1606980848-1972579041-839522115-1003\...\Run: [Tok-Cirrhatus-2586] => C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\br6195on.exe [45417 2007-12-31] ()
HKU\S-1-5-21-1606980848-1972579041-839522115-1003\...\Run: [Tok-Cirrhatus] => 0
HKU\S-1-5-21-1606980848-1972579041-839522115-1003\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-1606980848-1972579041-839522115-1003\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-1606980848-1972579041-839522115-1003\...\Policies\Explorer: [NoFolderOptions] 1
Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif [2007-12-31] ()
Startup: C:\Documents and Settings\Maciek\Menu Start\Programy\Autostart\Empty.pif [2007-12-31] ()
AlternateShell: cmd-brontok.exe
StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.istartsurf.com/?type=sc&ts=1441562313&z=d8dc86481426282887d16cfg9z1z8gfw4q5o1eft9t&from=cornl&uid=WDCXWD2500AAKS-00VYA0_WD-WMARW037499974999
2015-11-30 15:52 - 2015-11-30 15:52 - 00000051 _____ C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt
2015-11-30 15:52 - 2015-11-30 15:52 - 00000000 ____ D C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok
2015-11-30 15:47 - 2015-11-30 15:47 - 00000000 ____ D C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Bron.tok-17-30
2015-11-30 15:46 - 2015-11-30 15:46 - 00000101 _____ C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\BronNetDomList.bat
2015-11-30 15:46 - 2015-11-30 15:46 - 00000000 _____ C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\BronFoldNetDomList.txt
C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\*Bron*
2014-03-21 16:45 - 2007-12-31 23:04 - 0045417 _____ () C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\br6195on.exe
2015-11-30 15:46 - 2015-11-30 15:46 - 0000000 _____ () C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\BronFoldNetDomList.txt
2015-11-30 15:46 - 2015-11-30 15:46 - 0000101 _____ () C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\BronNetDomList.bat
2014-03-21 16:45 - 2007-12-31 23:04 - 0045417 _____ () C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\csrss.exe
2014-03-21 16:45 - 2007-12-31 23:04 - 0045417 _____ () C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
2015-11-30 15:52 - 2015-11-30 15:52 - 0000051 _____ () C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt
2014-03-21 16:45 - 2007-12-31 23:04 - 0045417 _____ () C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\lsass.exe
2014-03-21 16:45 - 2007-12-31 23:04 - 0045417 _____ () C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\services.exe
2014-03-21 16:45 - 2007-12-31 23:04 - 0045417 _____ () C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\smss.exe
2014-03-21 16:45 - 2007-12-31 23:04 - 0045417 _____ () C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\svchost.exe
2014-03-21 16:45 - 2007-12-31 23:04 - 0045417 ____ N () C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\winlogon.exe
C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\*.exe
EmptyTemp:

Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Napraw Raport z usuwania pokaż na forum. Następnie ponownie uruchom FRST klikasz Skanuj pokaż nowy raport FRST.txt na forum

#7

http://wklej.org/id/1862570/

 

http://wklej.org/id/1862572/

http://wklej.org/id/1862573/

http://wklej.org/id/1862574/

#8

Wklej do notatnika:

CloseProcesses:
#9

http://wklej.org/id/1862589/

 

Skan z Malwerebytes: Wykryto TYLKO 158 wirów…

http://wklej.org/id/1862606/

 

#10

Usuń wszystko i wykonaj skanowanie ponownie.

#11

http://wklej.org/id/1862620/

Czysto

#12

Opróżnij kwarantanne Malwarebytes. Uruchom program zakładka Historia

Włącz przywracanie systemu. Sprawdź czy wszystko działa. Uaktualnij IE do wersji 8

#13

Kwarantanna skasowana.

Przywracanie włączone.

IE się właśnie pobiera.

Narazie niby ok, Później jeszcze wejde na gre i zobacze czy nie będą mi spadały FPSy jak to poprzednio było z tym wirem.

PS> w Moich obrazach został plik:

http://screenshootereu.blob.core.windows.net/engine4files/psilnigurwhhezzauknhqbjopwvwulcyhqgordlxuaghqtnoyiiyxfwnjtvrnjaftianskjqzqnpvbyvihxldebbtsfxhtkkaboi

#14

Usuń ręcznie

#15

Ok narazie wszystko działa :slight_smile: Odwdzięczyłem sie lajkami bo nie wiem jak więcej moge :slight_smile:

#16

Po ręcznym usunięciu za jakiś czas ponownie się pojawia…