PATIX14
(PATIX14)
5 Kwiecień 2012 13:53
#1
Witam, mam pytanie jak usunąć wirusa Brontok, ponieważ kiedy tylko chce coś pobrać to laptop się resetuje i włącza się zielona strona z jakimiś napisami. Proszę o pomoc ! ![-o<
Acorus
(Acorus)
5 Kwiecień 2012 13:55
#2
Acorus
(Acorus)
5 Kwiecień 2012 15:35
#4
Odinstaluj IncrediMail MediaBar 2 Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…keyword.URL: “http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120330&user_guid=5F78CFC5EAFA4DEE8E4FFC86BC8B6059&machine_id=f573a05c615fd910945a484121d5bf26&browser=FF&os=win&os_version=5.1-x86-SP3&q= ” FF - prefs.js…sweetim.toolbar.previous.browser.search.defaultenginename: “” FF - prefs.js…sweetim.toolbar.previous.browser.search.defaulturl: “” FF - prefs.js…sweetim.toolbar.previous.browser.search.selectedEngine: “” [2012-04-05 15:48:42 | 000,000,000 | —D | M] (StartNow Toolbar) – C:\Documents and Settings\Natalia\Dane aplikacji\Mozilla\Firefox\Profiles\cauvf3ap.default\extensions{5911488E-9D1E-40ec-8CBB-06B231CC153F} [2012-04-05 15:48:40 | 000,000,000 | —D | M] (IncrediMail MediaBar 2 Community Toolbar) – C:\Documents and Settings\Natalia\Dane aplikacji\Mozilla\Firefox\Profiles\cauvf3ap.default\extensions{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}(2) [2011-10-08 22:25:19 | 000,000,000 | —D | M] (DealPly) – C:\Documents and Settings\Natalia\Dane aplikacji\Mozilla\Firefox\Profiles\cauvf3ap.default\extensions{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2011-10-09 16:55:30 | 000,000,000 | —D | M] (SweetIM Toolbar for Firefox) – C:\Documents and Settings\Natalia\Dane aplikacji\Mozilla\Firefox\Profiles\cauvf3ap.default\extensions{EEE6C361-6118-11DC-9C72-001320C79847} [2011-10-09 16:56:00 | 000,002,573 | ---- | M] () – C:\Documents and Settings\Natalia\Dane aplikacji\Mozilla\Firefox\Profiles\cauvf3ap.default\searchplugins\askcom.xml [2011-10-08 22:25:20 | 000,002,207 | ---- | M] () – C:\Documents and Settings\Natalia\Dane aplikacji\Mozilla\Firefox\Profiles\cauvf3ap.default\searchplugins\MyStart Search.xml [2011-10-09 16:55:36 | 000,003,915 | ---- | M] () – C:\Documents and Settings\Natalia\Dane aplikacji\Mozilla\Firefox\Profiles\cauvf3ap.default\searchplugins\SweetIM Search.xml [2011-10-09 16:55:23 | 000,003,915 | ---- | M] () – C:\Documents and Settings\Natalia\Dane aplikacji\Mozilla\Firefox\Profiles\cauvf3ap.default\searchplugins\sweetim.xml [2012-03-31 00:39:53 | 000,001,390 | ---- | M] () – C:\Documents and Settings\Natalia\Dane aplikacji\Mozilla\Firefox\Profiles\cauvf3ap.default\searchplugins\yahoo-zugo.xml O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O2 - BHO: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\prxtbInc0.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (IncrediMail MediaBar 2 Toolbar) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - C:\Program Files\IncrediMail_MediaBar_2\prxtbInc0.dll (Conduit Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.) O3 - HKCU…\Toolbar\WebBrowser: (IncrediMail MediaBar 2 Toolbar) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - C:\Program Files\IncrediMail_MediaBar_2\prxtbInc0.dll (Conduit Ltd.) O4 - HKLM…\Run: [avast] “C:\Program Files\AVAST Software\Avast\avastUI.exe” /nogui File not found O4 - HKLM…\Run: [egui] “C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe” /hide /waitservice File not found [2012-04-05 15:43:43 | 000,012,393 | ---- | M] () – C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\Bron.tok.A10.em.bin [2011-04-10 21:47:59 | 000,000,000 | —D | M] – C:\Documents and Settings\Natalia\Dane aplikacji\facemoods.com :Commands [emptytemp] [resethosts]
Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
PATIX14
(PATIX14)
5 Kwiecień 2012 17:23
#5
Dziękuję za odpowiedz i proszę o dalsze kroki
raport po restarcie
http://wklej.to/hGbMQ
Acorus
(Acorus)
5 Kwiecień 2012 17:35
#6
Powtórz usuwanie.Nie wkleiłeś :OTL
PATIX14
(PATIX14)
5 Kwiecień 2012 18:05
#7
Ale jak dam z OTL to się wiesza
Acorus
(Acorus)
5 Kwiecień 2012 18:09
#8
Wykonaj to w trybie awaryjnym.
Teraz ponownie uruchom OTL (nie w trybie awaryjnym) klikasz Skanuj pokaż nowy raport na forum
PATIX14
(PATIX14)
6 Kwiecień 2012 18:01
#11
Raport OTL http://wklej.to/dQkSa i co teraz mam zrobić ?? ![-o<
Szczątki po Esecie także usuniemy.
Wejdź w tryb awaryjny windows i wykonaj następujący skrypt. W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL DRV - [2008-07-01 10:04:40 | 000,034,312 | ---- | M] () [Kernel | System | Running] – C:\WINDOWS\system32\drivers\epfwtdir.sys – (epfwtdir) DRV - [2008-07-01 09:57:14 | 000,053,256 | ---- | M] (ESET) [Kernel | System | Running] – C:\WINDOWS\system32\drivers\easdrv.sys – (easdrv) DRV - [2008-07-01 09:56:22 | 000,039,944 | ---- | M] (ESET) [Kernel | Auto | Running] – C:\WINDOWS\system32\drivers\eamon.sys – (eamon) O4 - HKLM…\Run: [bron-Spizaetus] C:\WINDOWS\ShellNew\bronstab.exe () O4 - HKCU…\Run: [Tok-Cirrhatus] C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\smss.exe () O4 - Startup: C:\Documents and Settings\Natalia\Menu Start\Programy\Autostart\Empty.pif () O20 - HKLM Winlogon: Shell - (“C:\WINDOWS\eksplorasi.exe”) -C:\WINDOWS\eksplorasi.exe () [2012-04-06 00:00:00 | 000,000,000 | —D | C] – C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-6 [2012-04-05 21:59:43 | 000,000,000 | —D | C] – C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok [2012-04-05 21:59:12 | 000,000,000 | —D | C] – C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok [2012-04-05 21:53:37 | 000,000,000 | —D | C] – C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-5 [2010-07-18 14:48:38 | 000,042,065 | ---- | C] () – C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\winlogon.exe [2010-07-18 14:48:38 | 000,042,065 | ---- | C] () – C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\smss.exe [2010-07-18 14:48:38 | 000,042,065 | ---- | C] () – C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\services.exe [2010-07-18 14:48:38 | 000,042,065 | ---- | C] () – C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\lsass.exe [2010-07-18 14:48:38 | 000,042,065 | ---- | C] () – C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\inetinfo.exe [2010-07-18 14:48:38 | 000,042,065 | ---- | C] () – C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\csrss.exe :Files C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\Bron.tok.A10.em.bin C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\Update.10.Bron.Tok.bin :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
PATIX14
(PATIX14)
10 Kwiecień 2012 15:06
#13
logi z usuwania
http://wklej.to/Yh5sS
logi z skanowania
http://wklej.to/ndSw1
I mam jeszcze w moich obrazach about.Brontok.A.html i jak się na ten obraz kliknie to wyskakuje ta zielona strona i nie wiem co z tym zrobić. Proszę o dalsze wskazówki i dziękuje za wcześniejsze.
W okno Własne opcje skanowania / skrypt w OTL wklej:
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
PATIX14
(PATIX14)
10 Kwiecień 2012 16:11
#15
logi po usuwaniu http://wklej.to/6NcDJ logi po skanowaniu http://wklej.to/beiRw
W moich obrazach dalej to jest ;-(
Uruchom OTL klikasz Sprzątanie to usunie OTL’a wraz z jego kwarantanną
Wykonaj pełny skan Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html Jak program coś wykryje pokaż raport na forum
PATIX14
(PATIX14)
10 Kwiecień 2012 18:50
#17
Proszę usunąć wszystko co znalazł Malwarebytes
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Usuń ręcznie folder C:\Documents and Settings\mama\Ustawienia lokalne\Dane aplikacji\ 892fd253 będzie ukryty oraz folder C:\WINDOWS\ ufa
Proszę o raport Gmera (wygląda, że jest tutaj rootkit) instrukcja http://www.fixitpc.pl/topic/60-diagnost … u-rootkit/
PATIX14
(PATIX14)
11 Kwiecień 2012 15:34
#19
raport gmera http://wklej.to/3RFiZ , a to w moich obrazach dalej jest
Proszę pobrać i użyć Combofixa zgodnie z instrukcją http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ Zwróć szczególną uwagę na temat Obowiązkowe przygotowania przed uruchomieniem Jak wszystko pójdzie dobrze i narzędzie skończy pracę, powstanie raport, który podasz na forum