Infekcja brontok

pawelwoj3 · 5 Kwiecień 2012 12:37

Witam,

Na komputerze znajomej zadomowił się brontoczek. Mógłby ktoś podpowiedzieć jak go usunąć?

Załączam log z OTL:

http://wklej.to/XPMLw

Z góry dziękuję za pomoc i pozdrawiam.

Z autostartu zobaczyłem że nazywa się tok-cirrhatus i bron-spizaetus

Acorus · 5 Kwiecień 2012 12:50

Odinstaluj MediaBar,Babylon Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL MOD - [2008/12/11 00:44:04 | 000,040,928 | ---- | M] () – C:\Users\marta\AppData\Local\winlogon.exe MOD - [2008/12/11 00:44:04 | 000,040,928 | ---- | M] () – C:\Users\marta\AppData\Local\services.exe MOD - [2008/12/11 00:44:04 | 000,040,928 | ---- | M] () – C:\Users\marta\AppData\Local\lsass.exe IE - HKLM…\SearchScopes{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: “URL” = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} IE - HKCU…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=8e4ef2b500000000000090e6ba783658 IE - HKCU…\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^A65&apn_dtid=^YYYYYY^YY^PL&apn_uid=d1a3c538-45ac-4211-9c4f-51c772a78701&apn_sauid=CF0B5B8B-4A51-4E3C-8A1A-9D6FA92F252A IE - HKCU…\SearchScopes{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: “URL” = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} FF - prefs.js…browser.search.order.1: “Ask.com” FF - prefs.js…browser.startup.homepage: “http://www.ask.com/?l=dis&o=APN10138&gct=hp” FF - prefs.js…extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.14.1.20007 FF - prefs.js…keyword.URL: “http://search.babylon.com/?AF=100482&babsrc=adbartrp&mntrId=8e4ef2b500000000000090e6ba783658&q=” FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Ask.com” O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files (x86)\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll () O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.) O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM…\Run: [bron-Spizaetus] C:\Windows\ShellNew\bronstab.exe () O4 - HKLM…\Run: [DataCardMonitor] C:\Program Files (x86)\blueconnect\DataCardMonitor.exe File not found O4 - HKCU…\Run: [Tok-Cirrhatus] C:\Users\marta\AppData\Local\smss.exe () O4 - Startup: C:\Users\marta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () O20 - HKLM Winlogon: Shell - (“C:\Windows\eksplorasi.pif”) - C:\Windows\eksplorasi.pif () [2012/04/05 14:28:48 | 000,000,000 | —D | C] – C:\Users\marta\AppData\Local\Bron.tok-8-5 [2012/04/05 14:32:14 | 000,012,393 | ---- | M] () – C:\Users\marta\AppData\Local\Bron.tok.A8.em.bin [2012/04/05 14:32:07 | 000,012,393 | ---- | M] () – C:\Users\marta\AppData\Local\Update.8.Bron.Tok.bin [2010/10/09 18:18:14 | 000,040,928 | ---- | C] () – C:\Users\marta\AppData\Local\winlogon.exe [2010/10/09 18:18:14 | 000,040,928 | ---- | C] () – C:\Users\marta\AppData\Local\smss.exe [2010/10/09 18:18:14 | 000,040,928 | ---- | C] () – C:\Users\marta\AppData\Local\services.exe [2010/10/09 18:18:14 | 000,040,928 | ---- | C] () – C:\Users\marta\AppData\Local\lsass.exe [2010/10/09 18:18:14 | 000,040,928 | ---- | C] () – C:\Users\marta\AppData\Local\inetinfo.exe [2010/10/09 18:18:14 | 000,040,928 | ---- | C] () – C:\Users\marta\AppData\Local\csrss.exe [2010/10/07 16:24:25 | 000,003,584 | ---- | C] () – C:\Users\marta\AppData\Roaming\smss.exe :Commands [emptytemp]

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

pawelwoj3 · 5 Kwiecień 2012 13:52

witam, dzięki za szybką odpowiedź, skrypt wykonany : LOG -http://wklej.to/fydO0

Skan nowy- http://wklej.to/8HjvK

Acorus · 5 Kwiecień 2012 14:03

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL [2012/01/15 20:46:19 | 000,000,000 | —D | M] (Babylon) – C:\Users\marta\AppData\Roaming\mozilla\Firefox\Profiles\ngn6l363.default\extensions\ffxtlbr@babylon.com [2012/01/23 15:30:08 | 000,002,411 | ---- | M] () – C:\Users\marta\AppData\Roaming\Mozilla\Firefox\Profiles\ngn6l363.default\searchplugins\askcom.xml [2010/09/14 14:41:12 | 000,002,506 | ---- | M] () – C:\Users\marta\AppData\Roaming\Mozilla\Firefox\Profiles\ngn6l363.default\searchplugins\BearShareWebSearch.xml [2012/01/15 20:46:12 | 000,002,310 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2010/09/14 14:41:12 | 000,002,506 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. :Files C:\Users\marta\AppData\Local\Temp*.html :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu.

http://www.searchengines.pl/Czyszczenie … 41981.html

Przeskanuj progr.Malwarebytes Anti-Malware

http://www.malwarebytes.org/products/malwarebytes_free

Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW

Zainstaluj aktualizacje do programow wskazanych przez: http://screen317.spywareinfoforum.org/SecurityCheck.exe jako out of date.