Wirus BRONTOK.A[10] i inne

dappp · 25 Październik 2015 23:13

Ostatnio ciągle wyskakuje mi jakieś okienko w chromie o nazwie BRONTOK.A[10], w dodatku bardzo mi laptop zwolnił i nie wiem czy to też może być wina szkodliwego oprogramowania, ale czasem laptop sam się resetuje.

LOGI:

Atis · 26 Październik 2015 07:48

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKU\S-1-5-21-190521576-334126255-3123255622-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Dawid\AppData\Local\smss.exe [42687 2009-12-30] ()
HKU\S-1-5-21-190521576-334126255-3123255622-1000\...\Run: [{39479A44-CD99-48F7-94B7-AD6ABDC771AB}] => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [473600 2009-07-14] (Microsoft Corporation)
HKU\S-1-5-21-190521576-334126255-3123255622-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msujluqqf.exe <===== UWAGA
Startup: C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif [2009-12-30] ()
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=sy&ts=1432805069&z=4e427726e16d37e60e07c22g2z4cdo8b6e3waeem1w&from=cmi&uid=ST1000LM024XHN-M101MBB_S30YJ9GF329744
CHR StartupUrls: Default -> "hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=10429C4E36BD840D&affID=119357&tt=240913_246&tsp=5017","","hxxp://www.istartsurf.com/?type=hp&ts=1432804403&z=2472abab345e76b6a2731b2g9z8c1obbcecz5z8ebt&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9GF329744","hxxp://www.istartsurf.com/?type=hppp&ts=1432804426&z=15830ebc220f6e0fb42bbf3gbz4c1o7bfe7zcz9c4g&from=smt&uid=ST1000LM024XHN-M101MBB_S30YJ9GF329744","hxxp://www.oursurfing.com/?type=hp&ts=1432805009&z=cef1792a8c9c9af182c0a6bgez7c2o9b8e7waebg4w&from=cmi&uid=ST1000LM024XHN-M101MBB_S30YJ9GF329744","hxxp://www.google.com/"
2015-10-19 23:00 - 2015-10-19 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-20
2015-10-18 23:00 - 2015-10-18 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-19
2015-10-17 23:00 - 2015-10-17 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-18
2015-10-16 23:00 - 2015-10-16 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-17
2015-10-15 23:00 - 2015-10-15 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-16
2015-10-15 09:26 - 2015-10-15 09:26 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-15
2015-10-13 23:00 - 2015-10-13 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-14
2015-10-12 23:00 - 2015-10-12 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-13
2015-10-12 17:02 - 2015-10-26 00:04 - 00000000 ____ D C:\AdwCleaner
2015-10-11 23:00 - 2015-10-11 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-12
2015-10-11 02:05 - 2015-10-11 02:05 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-11
2015-10-09 23:00 - 2015-10-09 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-10
2015-10-09 16:40 - 2015-10-09 16:40 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-9
2015-10-07 23:00 - 2015-10-07 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-8
2015-10-06 23:00 - 2015-10-06 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-7
2015-10-06 12:33 - 2015-10-06 12:33 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-6
2015-10-05 10:07 - 2015-10-05 10:07 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-5
2015-10-02 23:00 - 2015-10-02 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-3
2015-10-01 23:00 - 2015-10-01 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-2
2015-10-01 06:58 - 2015-10-01 06:58 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-1
2015-09-29 23:00 - 2015-09-29 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-30
2015-09-28 23:00 - 2015-09-28 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-29
2015-09-27 23:00 - 2015-09-27 23:00 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-28
2015-09-27 12:31 - 2015-09-27 12:31 - 00000000 ____ D C:\Users\Dawid\AppData\Local\Bron.tok-12-27
C:\Users\Dawid\AppData\Local\*.exe
C:\ProgramData\*.exe
Task: {CA88CFBB-278A-4139-A868-698A43C648D9} - System32\Tasks\VPNReactor => C:\Program Files (x86)\VPNReactor\VPNReactor.exe
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

Dysk przeskanuj Malwarebytes Anti-Malware

dappp · 26 Październik 2015 13:29

Fixlog: http://www.wklej.org/id/1825928/

Pobrałem, zainstalowałem, odznaczyłem okres testowy Malwarebytes, ale nie chce mi się uruchomić niestety. Nie wyskakuje żaden błąd, po prostu nic się nie uruchamia.

Atis · 27 Październik 2015 07:05

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
CHR HomePage: Default - hxxp://www.oursurfing.com/?type=syts=1432805069z=4e427726e16d37e60e07c22g2z4cdo8b6e3waeem1wfrom=cmiuid=ST1000LM024XHN-M101MBB_S30YJ9GF329744
CHR StartupUrls: Default - "hxxp://www.searchgol.com/?babsrc=HP_ssmntrId=10429C4E36BD840DaffID=119357tt=240913_246tsp=5017","","hxxp://www.istartsurf.com/?type=hpts=1432804403z=2472abab345e76b6a2731b2g9z8c1obbcecz5z8ebtfrom=smtuid=ST1000LM024XHN-M101MBB_S30YJ9GF329744","hxxp://www.istartsurf.com/?type=hpppts=1432804426z=15830ebc220f6e0fb42bbf3gbz4c1o7bfe7zcz9c4gfrom=smtuid=ST1000LM024XHN-M101MBB_S30YJ9GF329744","hxxp://www.oursurfing.com/?type=hpts=1432805009z=cef1792a8c9c9af182c0a6bgez7c2o9b8e7waebg4wfrom=cmiuid=ST1000LM024XHN-M101MBB_S30YJ9GF329744","hxxp://www.google.com/"
R2 VSSS; C:\Users\Dawid\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [102530944 2015-06-24] (Microsoft Corporation) [Brak podpisu cyfrowego] ==== UWAGA
S3 cpuz138; \??\C:\Users\Dawid\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X]
C:\Users\Dawid\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
C:\Users\Dawid\AppData\Local\Loc.Mail.Bron.Tok
C:\Program Files\kprocesshacker.sys
C:\Users\Dawid\AppData\Local\Kosong.Bron.Tok.txt
C:\Program Files\*.exe
DeleteQuarantine:
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

dappp · 27 Październik 2015 19:44

frst http://www.wklej.org/id/1827306/

fixlog http://www.wklej.org/id/1827307/

Atis · 28 Październik 2015 07:50

Usuń adres oursurfing i istartsurf: Otwórz konkretny zestaw stron

C:\Users\Dawid\AppData\Local\Bron.tok-12-4
DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST