Jak usunąć wirusa BRONTOK?

zulus65 · 6 Listopad 2012 10:41

Witam. Mam komputer zainfekowany wirusem brontok. Niestety nie umiem sobie sam poradzić z usunięciem. Będę wdzięczny za pomoc. Załączam logi z OTL

http://www.wklej.org/id/863489/

http://www.wklej.org/id/863491/

Atis · 6 Listopad 2012 10:54

Odinstaluj:

Ask Toolbar

Babylon toolbar on IE

Mario Forever Toolbar

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Delete.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL [2011-12-04 10:48:16 | 000,000,000 | —D | M] (Babylon) – C:\Users\romek\AppData\Roaming\mozilla\Firefox\Profiles\1664j96y.default\extensions\ffxtlbr@babylon.com [2012-05-30 07:51:32 | 000,000,929 | ---- | M] () – C:\Users\romek\AppData\Roaming\mozilla\firefox\profiles\1664j96y.default\searchplugins\conduit.xml [2011-12-04 10:48:09 | 000,002,310 | ---- | M] () – C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM…\Run: [] File not found O4 - HKLM…\Run: [bron-Spizaetus] C:\Windows\ShellNew\RakyatKelaparan.exe () O4 - HKLM…\Run: [sonyAgent] C:\Windows\Temp\temp29.exe () O4 - HKU\S-1-5-21-231074969-2922997148-2736160670-1000…\Run: [Tok-Cirrhatus] File not found O4 - HKU\S-1-5-21-231074969-2922997148-2736160670-1000…\Run: [Tok-Cirrhatus-1431] C:\Users\romek\AppData\Local\br3885on.exe () O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-21-231074969-2922997148-2736160670-1000…\RunOnce: [bE7ADA7549B141920000BE7A1C0349AE] C:\ProgramData\BE7ADA7549B141920000BE7A1C0349AE\BE7ADA7549B141920000BE7A1C0349AE.exe () O4 - Startup: C:\Users\romek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () O7 - HKU\S-1-5-21-231074969-2922997148-2736160670-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-231074969-2922997148-2736160670-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O7 - HKU\S-1-5-21-231074969-2922997148-2736160670-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - (“C:\Windows\KesenjanganSosial.exe”) - C:\Windows\KesenjanganSosial.exe () [2012-11-04 23:45:13 | 000,000,000 | —D | C] – C:\Users\romek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection [2012-11-04 23:45:13 | 000,002,066 | ---- | M] () – C:\Users\romek\Desktop\System Progressive Protection.lnk [2012-10-17 19:18:13 | 000,022,900 | ---- | M] () – C:\Users\romek\AppData\Roaming\wklnhst.dat :Files C:\ProgramData\BE7ADA7549B141920000BE7A1C0349AE C:\Users\romek\AppData\Local\Bron* C:\Users\romek\AppData\Local\Temp*.html C:\Users\romek\AppData\Local*.exe reg delete HKCU\Software\Classes\CLSID{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /c :Commands [resethosts] [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pobierz i uruchom SystemLook_x64

Do okna programu wklej:

Kliknij Look i pokaż raport.

Pobierz i uruchom Farbar Service Scanner

Zaznacz wszystkie pozycje i kliknij Scan.

Pokaż ten raport.

zulus65 · 6 Listopad 2012 13:10

Wykonałem wszystko. Wygląda, że problem ustąpił.

Załączam raporty z OTL, SystemLooka i FSS

OTL raport z usuwania http://www.wklej.org/id/863603/

OTL po usuwaniu http://www.wklej.org/id/863608/

EXTRAS http://www.wklej.org/id/863611/

SystemLook http://www.wklej.org/id/863633/

FSS http://www.wklej.org/id/863634/

Atis · 6 Listopad 2012 14:27

Teraz pozostał trudniejszy do usunięcia trojan ZeroAccess (Sirefef).

Pobierz plik FIX:

http://sendfile.pl/228558/FIX.bat

Kliknij prawym na pliku FIX i wybierz Uruchom jako administrator.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKU\S-1-5-21-231074969-2922997148-2736160670-1000…\SearchScopes{E93654FC-B7D7-4358-89F8-779408487D22}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ444YYPL&apn_uid=E6B47183-65EF-4271-8AE3-BA1CEC259A57&apn_sauid=161FF742-D64E-412E-99D5-016B802C7156& O31 - SafeBoot: AlternateShell - cmd-brontok.exe [2012-11-04 23:39:10 | 000,012,393 | ---- | M] () – C:\Users\romek\AppData\Local\Update.16.Bron.Tok.bin [2012-11-04 23:39:10 | 000,012,393 | ---- | C] () – C:\Users\romek\AppData\Local\Update.16.Bron.Tok.bin [2012-07-04 10:28:08 | 000,044,417 | ---- | C] () – C:\Windows\SysWow64\cmd-brontok.exe [2010-09-16 18:57:26 | 000,000,016 | ---- | C] () – C:\Users\romek\AppData\Roaming\apiqfw.dat [2010-09-16 18:57:15 | 000,000,004 | ---- | C] () – C:\Users\romek\AppData\Roaming\avdrn.dat :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] “AlternateShell”=“cmd.exe” :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.