Zainfekowany komputer, min. Tok-Cirrhatus, Empty

Dla specjalistów Bezpieczeństwo
#1

Witam! W niepożądany sposób do komputera dostały się wirusy. Komputer sam się wyłącza, zacina oraz podczas próby pobierania jakichkolwiek plików następuje natychmiastowe ponowne uruchomienie komputera. Umieszczam potrzebne informacje. Proszę o pomoc! :slight_smile:

 

FRST -  http://www.wklej.org/id/1661996/

 

Addition -  http://www.wklej.org/id/1661995/

#2

Odinstaluj Softonic Assistant.Otwórz notatnik systemowy i wklej:

CloseProcesses:
Task: {00D02B95-2B07-4F83-9056-D6B10E8E6859} - \SPBIW_UpdateTask_Time_323138323833323434302d3437415a556c2a3223346c41 No Task File ==== ATTENTION
Task: {65C04551-23D8-480E-B879-398ECF9F1129} - System32\Tasks\{F5A648BE-A6A4-417F-A0AA-9B6FACA3FB11} = pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe"
Task: {CA76DD40-09AA-4286-A630-AA96995748F6} - \YTAUpdate No Task File ==== ATTENTION
HKU\S-1-5-21-878693825-2946228053-2006134468-1000\...\Run: [SoftonicAssistant] = C:\Users\Admin\AppData\Local\SoftonicAssistant\SoftonicAssistant.exe [1829832 2014-11-11] ()
HKU\S-1-5-21-878693825-2946228053-2006134468-1000\...\Run: [Tok-Cirrhatus] = C:\Users\Admin\AppData\Local\smss.exe [42687 2012-01-19] ()
HKU\S-1-5-21-878693825-2946228053-2006134468-1000\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-878693825-2946228053-2006134468-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [SoftonicAssistant] = C:\Users\Admin\AppData\Local\SoftonicAssistant\SoftonicAssistant.exe [1829832 2014-11-11] ()
HKU\S-1-5-21-878693825-2946228053-2006134468-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [Tok-Cirrhatus] = C:\Users\Admin\AppData\Local\smss.exe [42687 2012-01-19] ()
HKU\S-1-5-21-878693825-2946228053-2006134468-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Policies\system: [DisableRegistryTools] 1
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
OPR Extension: (Sense) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\dfohdbmjdkfijghgklbickfnaepghgba [2014-07-25]
OPR Extension: (iWebar) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\kmleogbcafbghbdjnfllogganaoipmjh [2014-07-25]
OPR Extension: (PHD-V1.4) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\lclfgoiloocdgalcloalohidgnfcbpin [2014-07-25]
OPR Extension: (HD+v2.1) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\mnonkalmdjjnelekfdaldkknjkedgamf [2014-08-26]
2015-03-14 11:46 - 2015-03-14 11:46 - 00031843 _____ () C:\Users\Admin\AppData\Local\Update.12.Bron.Tok.bin
2015-03-14 00:00 - 2015-03-14 00:00 - 00000000 ____ D () C:\Users\Admin\AppData\Local\Bron.tok-12-14
2015-03-13 19:28 - 2015-03-13 19:28 - 00086302 _____ () C:\Users\Admin\AppData\Local\Bron.tok.A12.em.bin
2015-03-13 08:21 - 2015-03-13 08:21 - 00000000 ____ D () C:\Users\Admin\AppData\Local\Bron.tok-12-13
2015-03-12 12:21 - 2015-03-12 12:21 - 00003138 _____ () C:\Windows\System32\Tasks\{D63269D2-E94E-437D-BC74-4C078DBC4B3F}
2015-03-12 11:51 - 2015-03-12 12:12 - 00000000 ____ D () C:\Users\Admin\AppData\Local\Loc.Mail.Bron.Tok
2015-03-12 11:51 - 2015-03-12 11:51 - 00000051 _____ () C:\Users\Admin\AppData\Local\Kosong.Bron.Tok.txt
2015-03-12 11:51 - 2015-03-12 11:51 - 00000000 ____ D () C:\Users\Admin\AppData\Local\Ok-SendMail-Bron-tok
2015-03-12 11:45 - 2015-03-12 11:45 - 00000000 ____ D () C:\Users\Admin\AppData\Local\Bron.tok-12-12
2012-04-12 19:18 - 2012-01-19 12:22 - 0042687 _____ () C:\Users\Admin\AppData\Local\csrss.exe
2012-04-12 19:18 - 2012-01-19 12:22 - 0042687 _____ () C:\Users\Admin\AppData\Local\inetinfo.exe
2012-04-12 19:18 - 2012-01-19 12:22 - 0042687 _____ () C:\Users\Admin\AppData\Local\lsass.exe
2012-04-12 19:18 - 2012-01-19 12:22 - 0042687 _____ () C:\Users\Admin\AppData\Local\services.exe
2012-04-12 19:18 - 2012-01-19 12:22 - 0042687 ____ N () C:\Users\Admin\AppData\Local\winlogon.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.0.4.1028.exe

#3

Zrobione :stuck_out_tongue:

 

FRST - http://www.wklej.org/id/1664329/

#4

Otwórz notatnik systemowy i wklej:

HKLM-x32\...\Run: [GrooveMonitor] = D:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-26] (Microsoft Corporation)
2015-02-20 19:33 - 2015-02-20 19:33 - 00003142 _____ () C:\Windows\System32\Tasks\{0B4EA237-0F9C-4F0A-B640-93EC996D9A5F}
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

#5

Zrobione. Ponownie pokazać nowy log z FRST? :wink:

#6

A po co? Skasuj folder C:\FRST

#7

Okey. Problem rozwiązany. Dziękuję :slight_smile: