Wirus Brontok! Ciągłe restarty komputera itd. Pomóżcie

system · 18 Sierpień 2009 10:45

Cześć chłopaki. Pomożcie. Ciągle restartuje mi się komputer podczas ściągania plików szczególnie tych z rozszerzeniem .exe Wiem ze mam wirusa jakiegos brontoka. Ponadto mam zablokowane narzedzia-opcje folderów i dużo innych systemowych ustawien. Malo tego kolo zegara mam czerwone kolko z bialym krzyzykiem a w nim informacja ze “your computer is infected” jak klikam w to, to sciaga sie jakis antyvir ktory namawia mnie ciagle na kupno pelnej wersji. Na domiar zlego nagle przestal dzialac combofix oraz hijacthis. (combofix mi pomagał na tydzień). nie wiem co robic zmiana nazwy combofixa nie

pomaga. wklejam log z silent runners.

http://wklej.org/id/136528/

ciemnowidz · 18 Sierpień 2009 10:47

Wklej log z OTL, pobierz GMER ale jeszcze nie uruchamiaj.

Logi wklej na wklej.to a tutaj tylko link do wklejki.

Spróbuj też uruchomić ComboFix w trybie awaryjnym. Pobierz go na nowo i z mień rozszerzenie na .com.

system · 18 Sierpień 2009 11:29

OTL ustawiłam tak jak piszę na forum

oto log http://wklej.org/id/136554/

Proszę pomóżcie

ciemnowidz · 18 Sierpień 2009 11:42

Zobaczymy co się da usunąć za pomocą OTL’a. Wklej w OTL taki tekst

:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - [2008-12-29 15:36:46 | 00,042,065 | ---- | M] () – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\winlogon.exe PRC - [2008-12-29 15:36:46 | 00,042,065 | ---- | M] () – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\services.exe PRC - [2008-12-29 15:36:46 | 00,042,065 | ---- | M] () – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\lsass.exe O4 - HKLM…\Run: [bron-Spizaetus] C:\WINDOWS\ShellNew\bronstab.exe () O4 - HKLM…\Run: [Regedit32] C:\WINDOWS\System32\regedit.exe File not found O4 - HKU.DEFAULT…\Run: [braviax] File not found O4 - HKU\S-1-5-18…\Run: [braviax] File not found O4 - HKU\S-1-5-21-515967899-789336058-725345543-1004…\Run: [Tok-Cirrhatus] C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\smss.exe () O4 - Startup: C:\Documents and Settings\Rafal\Menu Start\Programy\Autostart\Empty.pif () O4 - Startup: C:\Documents and Settings\Rafal\Menu Start\Programy\Autostart\ikowin32.exe (Microsoft Corporation) O7 - HKU\S-1-5-21-515967899-789336058-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - (“C:\WINDOWS\eksplorasi.exe”) - C:\WINDOWS\eksplorasi.exe () :Services figaro :Files C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\winlogon.exe C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\services.exe C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\lsass.exe C:\WINDOWS\System32\dllcache\figaro.sys C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok.A10.em.bin C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\ylodew.ban C:\WINDOWS\System32\ivocamu._sy C:\Documents and Settings\Rafal\Dane aplikacji\vibivunup.lib C:\Documents and Settings\All Users\Dokumenty\gafusof.exe C:\Program Files\Common Files\xavamyluz.dl C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\ygoto.bat C:\Documents and Settings\Rafal\Dane aplikacji\pebalegu.inf C:\Documents and Settings\All Users\Dokumenty\meriwufo.dl C:\Program Files\Common Files\ewolumix.bin C:\WINDOWS\ohej.dll C:\Documents and Settings\All Users\Dane aplikacji\menaso.bin C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\kivejin.db C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\yxucobesu.dl C:\Documents and Settings\All Users\Dokumenty\vucawiq._sy C:\WINDOWS\System32\osoteqagi.com C:\WINDOWS\panu.ban C:\WINDOWS\hisocer.scr C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\pelunaho.dat C:\Program Files\Common Files\yhykid.dat C:\WINDOWS\alyxosaq.lib C:\Program Files\Common Files\iniz.pif C:\Documents and Settings\All Users\Dokumenty\akokuhuga.ban C:\WINDOWS\braviax.exe C:\WINDOWS\System32\cru629.dat C:\WINDOWS\cru629.dat C:\WINDOWS\System32\wisdstr.exe C:\WINDOWS\System32\msword98.exe C:\WINDOWS\System32\braviax.exe C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-18 C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-17 C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-16 C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-15 C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-14 C:\RECYCLER :OTL [2009-08-13 08:38:32 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-13 [2009-08-12 09:39:46 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-12 [2009-08-11 07:41:56 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-11 [2009-08-10 08:24:40 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-10 [2009-08-09 09:56:22 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-9 [2009-08-08 09:38:20 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-8 [2009-08-07 00:00:01 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-7 [2009-08-06 08:11:43 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-6 [2009-08-05 10:07:24 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-5 [2009-08-04 08:13:17 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-4 [2009-08-03 09:08:25 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-3 [2009-08-02 06:24:20 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-2 [2009-08-01 09:05:44 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-1 [2009-07-31 07:08:30 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-31 [2009-07-30 08:02:26 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-30 [2009-07-29 08:20:07 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-29 [2009-07-28 08:44:31 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-28 [2009-07-27 10:25:03 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-27 [2009-07-26 00:00:02 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-26 [2009-07-25 00:00:01 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-25 [2009-07-24 00:00:00 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-24 [2009-07-23 00:00:00 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-23 [2009-07-22 15:39:55 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-22 [2009-07-21 13:44:34 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\FullTiltPoker [2009-07-21 09:40:28 | 00,000,000 | —D | C] – C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-10-21 :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=“explorer.exe” [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [resethosts] [emptytemp] [start explorer] [Reboot]

Kliknij Run Fix. Potem wklej nowy log z OTL. Wejdź w tryb awaryjny i stamtąd spróbuj uruchomić ComboFix.

Pobierz SystemLook i wklej taki tekst tam

Kliknij Look i pokaż log.

Przygotuj też płytę z Windows.

system · 18 Sierpień 2009 12:02

Kliknelam “Run fix” coś tam się z 5 sekund porobiło i komputer sie zrestartował więc nie wiem czy dobrze bo logu nie zdążyło wygenerować musiałam od nowa go sama generować…

oto log z OTL http://wklej.org/id/136571/

oto log z SystemLook http://wklej.org/id/136572/

ok zaraz wejde w awaryjny i zobacze co z tym Combofixem

ciemnowidz · 18 Sierpień 2009 12:18

Jest po staremu. Choć co nieco się usunęło. Jeszcze raz zastosuj ten skrypt, ale wytnij z niego linijki

Potem pokaż log z usuwania i nowy z OTL.

system · 18 Sierpień 2009 12:40

Na początku udało mi się uruchomić combofixa w awaryjnym…

oto log Z Combofixa po skanie http://wklej.org/id/136579/

Niby juz jest wszystko ok… Opcje folderów pojawiły się… Znikneły chamskie ikonki przy zegarze ale dalej nie moge tego sfiskowac OTLem ! Wycielam z niego te dwie linijki i znowu po 5 sekundach restart… W trybie awaryjnym rowniez restart

Oto najnowszy Log z OTL http://wklej.org/id/136594/

Dziekuje za pomoc choc nie chce zeby to wrocilo

ciemnowidz · 18 Sierpień 2009 13:13

OTL’em już nic nie rób. Wklej do notatnika taki tekst

KillAll:: SRPeek:: c:\windows\system32\drivers\ntfs.sys c:\windows\system32\drivers\beep.sys c:\windows\system32\appmgmts.dll FileLook:: c:\windows\system32\drivers\ntfs.sys c:\windows\system32\drivers\beep.sys c:\windows\system32\dllcache\ntfs.sys c:\windows\system32\dllcache\beep.sys File:: c:\documents and settings\All Users\Dane aplikacji\bise.com c:\documents and settings\All Users\Dane aplikacji\bivizu.exe c:\windows\system32\vyvo.pif c:\program files\Common Files\ewolumix.bin c:\windows\ohej.dll c:\windows\system32\osoteqagi.com c:\windows\hisocer.scr c:\program files\Common Files\yhykid.dat c:\program files\Common Files\iniz.pif c:\documents and settings\Rafal\delself.bat c:\windows\system32\msword98.exe c:\documents and settings\Rafal\msword98.exe c:\documents and settings\Rafal\Menu Start\Programy\Autostart\Empty.pif c:\windows\pss\Empty.pif c:\documents and settings\Rafal\Menu Start\Programy\Autostart\ikowin32.exe c:\windows\pss\ikowin32.exe Folder:: c:\program files\PC_Antispyware2010 C:_OTL c:\recycler Registry:: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “PC Antispyware 2010”=- [-HKLM~\startupfolder\C:^Documents and Settings^Rafal^Menu Start^Programy^Autostart^Empty.pif] [-HKLM~\startupfolder\C:^Documents and Settings^Rafal^Menu Start^Programy^Autostart^ikowin32.exe] [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{28B0E5C2-99CB-11CF-AYX5-00401C648513}]

Zapisz jako CFScript.txt. Ten plik przeciągasz na ikonę ComboFix’a. Rozpocznie się usuwanie, wklej powstały log. Potem powtórz operację z SystemLook (wklejasz to samo co poprzednio i dajesz log).

system · 18 Sierpień 2009 16:14

Powstały log z Combofixa: http://wklej.org/id/136678/

Powstały log z SystemLook: http://wklej.org/id/136680/

Dzieki wielkie :* =D>

ciemnowidz · 18 Sierpień 2009 16:38

Jeszcze nie koniec. Wklej do notatnika taki tekst (można to zrobić gmer’em, ale skryptem będzie szybciej)

Powtarzasz operację z CFScript. ComboFix alarmuje o braku jakiegoś pliku i tutaj wyjściem będzie aktualizacja systemu do stanu SP3.