Dackus
(Wojtek163 17)
17 Kwiecień 2012 08:35
#1
Witam! Mam problem ze złosliwym robakiem z rodziny brontok, prosilbym o pomoc w usunieciu go. Skan OTl: http://wklej.org/hash/6db037fce27/ , extras:
http://wklej.org/hash/61d177bc168/ . Wyskakuje jakas dziwna stronka, nie moge wejsc w regedit bo jest wyłączona funkcja przez administratora chociaz ja nim jestem. Proszę o Pomoc
Atis
(Atis)
17 Kwiecień 2012 08:47
#2
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/cdcovers/{EC970D84-CA6C-46CA-8B61-489F1D00996C}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2790392
IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/cdcovers/{EC970D84-CA6C-46CA-8B61-489F1D00996C}?q={searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}"
[2011-10-07 23:43:41 | 000,000,863 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\17kqbo0j.default\searchplugins\conduit.xml
[2011-08-02 11:08:53 | 000,002,374 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\17kqbo0j.default\searchplugins\search.xml
[2011-09-10 22:30:29 | 000,001,565 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\17kqbo0j.default\searchplugins\web-search.xml
O4 - HKLM..\Run: [Bron-Spizaetus] C:\Windows\ShellNew\sempalong.exe ()
O4 - HKCU..\Run: [CollaborationHost] C:\Windows\system32\p2phost.exe -s File not found
O4 - HKCU..\Run: [Tok-Cirrhatus] C:\Users\Admin\AppData\Local\smss.exe ()
O4 - Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - ("C:\Windows\eksplorasi.exe") - C:\Windows\eksplorasi.exe ()
[2012-04-17 09:59:46 | 000,012,393 | ---- | M] () -- C:\Users\Admin\AppData\Local\Bron.tok.A12.em.bin
[2012-04-17 09:59:45 | 000,012,393 | ---- | M] () -- C:\Users\Admin\AppData\Local\Update.12.Bron.Tok.bin
:Files
C:\Users\Admin\AppData\Local\*.exe
:Commands
[resethosts]
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Dackus
(Wojtek163 17)
17 Kwiecień 2012 09:56
#3
http://wklej.org/id/733741/ Raport usuwania
– Dodane 17.04.2012 (Wt) 10:59 –
http://wklej.org/id/733742/ Nowy Skan
Atis
(Atis)
17 Kwiecień 2012 10:08
#4
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania.
Aby usunąć wszystkie punkty przywracania:
http://windows.microsoft.com/pl-PL/wind … tore-point
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes-AntiMalware.
Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.
http://www.dobreprogramy.pl/Malwarebyte … 13117.html
Dackus
(Wojtek163 17)
17 Kwiecień 2012 10:37
#5
Dzieki Wielkie, reg edit działa strona nie wyskakuje jak narazie
– Dodane 17.04.2012 (Wt) 12:48 –
W Dokumentaach caly czas robi sie podfolder document i jak w niego klikam to wirus wraca. Usuwam go a on i tak za jakis czas sie tam pojawia
– Dodane 17.04.2012 (Wt) 12:50 –
A w obrazach jest ta stronka brontok ale poki nie wejde w nia to regedit itd dziala. Po usunieciu nadal sie pojawia.
Atis
(Atis)
17 Kwiecień 2012 13:31
#6
To dlatego, że nie masz żadnego programu antywirusowego i nie czytasz odpowiedzi.
Miałeś przeskanować dysk Malwarebytes i aktualizować oprogramowanie.
Wykonaj Pełne skanowanie Malwarebytes i po zakończeniu kliknij Usuń zaznaczone.
Dodatkowo przeskanuj Dr.WEB CureIt
Gdy wykonasz skanowanie to pokaż nowy log z OTL.
Przeczytaj opis i zaznacz Wszyscy użytkownicy:
analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741
Dackus
(Wojtek163 17)
17 Kwiecień 2012 18:39
#7
Juz Jest wszystko w porządku dzieki za pomoc Musialem pousuwac Malwarebytes 14 infekcji i narazie jest wszystko okey. Jakiego antyvirusa bys polecil i firewalla?
– Dodane 17.04.2012 (Wt) 19:43 –
Koncowy OTL :http://wklej.org/id/734121/
Atis
(Atis)
17 Kwiecień 2012 18:58
#8
Gdy instalujesz programy to odznaczaj zbędne dodatki takie jak ASK Toolbar itp.
Zainstaluj darmową Avire lub poczytaj tutaj:
http://www.dobreprogramy.pl/Test-bezpla … 720,1.html
Wklej do OTL i kliknij Wykonaj skrypt:
:OTL
IE - HKCU\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found
IE - HKCU\..\SearchScopes\{C8375B97-214C-4CC7-95BB-46118A1A96CF}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=8024D2E8-ECFF-43D2-BE05-C475EA3262F9&apn_sauid=1EB13E0D-5869-4ED2-9031-C617FBA684B8
FF - prefs.js..browser.search.order.1: "Ask.com"
[2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\17kqbo0j.default\searchplugins\askcom.xml
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found.
[2012-04-17 12:35:17 | 000,000,000 | ---D | C] -- C:\ProgramData\Ask
:Commands
[emptytemp]
Później kliknij Sprzątanie i usuń stare punkty przywracania.
roobal
(roobal)
17 Kwiecień 2012 19:04
#9
Dackus , zgodnie z regulaminem, który zaakceptowałeś podczas rejestracji, proszę dokonać zmiany tytułu na taki, który wstępnie opisze problem, w przeciwnym razie temat wyląduje w koszu.