Nie mogę usunąć wirusa Brontok a.[10]

Dackus · 17 Kwiecień 2012 08:35

Witam! Mam problem ze złosliwym robakiem z rodziny brontok, prosilbym o pomoc w usunieciu go. Skan OTl: http://wklej.org/hash/6db037fce27/, extras:

http://wklej.org/hash/61d177bc168/ . Wyskakuje jakas dziwna stronka, nie moge wejsc w regedit bo jest wyłączona funkcja przez administratora chociaz ja nim jestem. Proszę o Pomoc

Atis · 17 Kwiecień 2012 08:47

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/cdcovers/{EC970D84-CA6C-46CA-8B61-489F1D00996C}

IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2790392

IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/cdcovers/{EC970D84-CA6C-46CA-8B61-489F1D00996C}?q={searchTerms}

IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2790392&SearchSource=3&q={searchTerms}"

[2011-10-07 23:43:41 | 000,000,863 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\17kqbo0j.default\searchplugins\conduit.xml

[2011-08-02 11:08:53 | 000,002,374 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\17kqbo0j.default\searchplugins\search.xml

[2011-09-10 22:30:29 | 000,001,565 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\17kqbo0j.default\searchplugins\web-search.xml

O4 - HKLM..\Run: [Bron-Spizaetus] C:\Windows\ShellNew\sempalong.exe ()

O4 - HKCU..\Run: [CollaborationHost] C:\Windows\system32\p2phost.exe -s File not found

O4 - HKCU..\Run: [Tok-Cirrhatus] C:\Users\Admin\AppData\Local\smss.exe ()

O4 - Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O20 - HKLM Winlogon: Shell - ("C:\Windows\eksplorasi.exe") - C:\Windows\eksplorasi.exe ()

[2012-04-17 09:59:46 | 000,012,393 | ---- | M] () -- C:\Users\Admin\AppData\Local\Bron.tok.A12.em.bin

[2012-04-17 09:59:45 | 000,012,393 | ---- | M] () -- C:\Users\Admin\AppData\Local\Update.12.Bron.Tok.bin


:Files

C:\Users\Admin\AppData\Local\*.exe


:Commands

[resethosts]

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Dackus · 17 Kwiecień 2012 09:56

http://wklej.org/id/733741/ Raport usuwania

– Dodane 17.04.2012 (Wt) 10:59 –

http://wklej.org/id/733742/ Nowy Skan

Atis · 17 Kwiecień 2012 10:08

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania.

Aby usunąć wszystkie punkty przywracania:

http://windows.microsoft.com/pl-PL/wind … tore-point

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

Dackus · 17 Kwiecień 2012 10:37

Dzieki Wielkie, reg edit działa strona nie wyskakuje jak narazie

– Dodane 17.04.2012 (Wt) 12:48 –

W Dokumentaach caly czas robi sie podfolder document i jak w niego klikam to wirus wraca. Usuwam go a on i tak za jakis czas sie tam pojawia

– Dodane 17.04.2012 (Wt) 12:50 –

A w obrazach jest ta stronka brontok ale poki nie wejde w nia to regedit itd dziala. Po usunieciu nadal sie pojawia.

Atis · 17 Kwiecień 2012 13:31

To dlatego, że nie masz żadnego programu antywirusowego i nie czytasz odpowiedzi.

Miałeś przeskanować dysk Malwarebytes i aktualizować oprogramowanie.

Wykonaj Pełne skanowanie Malwarebytes i po zakończeniu kliknij Usuń zaznaczone.

Dodatkowo przeskanuj Dr.WEB CureIt

Gdy wykonasz skanowanie to pokaż nowy log z OTL.

Przeczytaj opis i zaznacz Wszyscy użytkownicy:

analiza-dezynfekcja-zestaw-nieingerencyjnych-narzedzi-t485632.html#p3059741

Dackus · 17 Kwiecień 2012 18:39

Juz Jest wszystko w porządku dzieki za pomoc Musialem pousuwac Malwarebytes 14 infekcji i narazie jest wszystko okey. Jakiego antyvirusa bys polecil i firewalla?

– Dodane 17.04.2012 (Wt) 19:43 –

Koncowy OTL :http://wklej.org/id/734121/

Atis · 17 Kwiecień 2012 18:58

Gdy instalujesz programy to odznaczaj zbędne dodatki takie jak ASK Toolbar itp.

Zainstaluj darmową Avire lub poczytaj tutaj:

http://www.dobreprogramy.pl/Test-bezpla … 720,1.html

Wklej do OTL i kliknij Wykonaj skrypt:

:OTL

IE - HKCU\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found

IE - HKCU\..\SearchScopes\{C8375B97-214C-4CC7-95BB-46118A1A96CF}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=8024D2E8-ECFF-43D2-BE05-C475EA3262F9&apn_sauid=1EB13E0D-5869-4ED2-9031-C617FBA684B8

FF - prefs.js..browser.search.order.1: "Ask.com"

[2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\17kqbo0j.default\searchplugins\askcom.xml

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found.

[2012-04-17 12:35:17 | 000,000,000 | ---D | C] -- C:\ProgramData\Ask

:Commands

[emptytemp]

Później kliknij Sprzątanie i usuń stare punkty przywracania.

roobal · 17 Kwiecień 2012 19:04

Dackus , zgodnie z regulaminem, który zaakceptowałeś podczas rejestracji, proszę dokonać zmiany tytułu na taki, który wstępnie opisze problem, w przeciwnym razie temat wyląduje w koszu.