Brontok, obciążenie kompa 100%,

[olczak]

Witam

 

Prosze o pomoc. Komputer spowolnił bardzo. Podłączyłem dysk do innego kompa i wykryło mi masę plików zarażonych wirusem Brontok. Skanowałem Avirą. W załączniku log ze skanowania. NIe kasowałem nic bo miałem już raz taki przypadek do potem były jakieś problemy z systemem, że nie było ikon itp.

 

To jest stary komp - laptop używany do programowania maszyn. I nawet na tym 128MB ram chodził jako tako ale jak się władował ten wirus to go obciąża na 100% chyba i nic nie da się zrobić. To jest jakiś proces co się nazywa svcshoter.exe

 

Oto logi:

OTL.Txt

Extras.Txt

gmer.txt

AVSCAN-20120821-233253-9A819873.txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - [2006-09-26 11:41:50 | 000,044,544 | -HS- | M] () [Auto | Running] -- C:\WINDOWS\system32\net32a.exe -- (net32a)
SRV - [2006-09-26 11:40:41 | 000,084,480 | RHS- | M] () [Auto | Running] -- C:\WINDOWS\system32\dllcache\svcshoter.exe -- (Microsoft Star Window Service)
DRV - [2012-02-17 16:09:12 | 000,005,152 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\io.sys -- (io.sys)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\STV680.sys -- (STV680)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\fixustor.sys -- (fixustor)
DRV - File not found [Kernel | System | Stopped] --  -- (cdrbsvsd)
O3 - HKLM\..\Toolbar: (no name) - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - No CLSID value found.
O4 - HKLM..\Run: [bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe ()
O4 - HKLM..\Run: [NWEReboot]  File not found
O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe" File not found
O4 - HKU\S-1-5-21-1645522239-688789844-1708537768-1003..\Run: [Tok-Cirrhatus] C:\Documents and Settings\TAP-POL\Ustawienia lokalne\Dane aplikacji\smss.exe ()
O4 - Startup: C:\Documents and Settings\TAP-POL\Menu Start\Programy\Autostart\Empty.pif ()
O7 - HKU\S-1-5-21-1645522239-688789844-1708537768-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-1645522239-688789844-1708537768-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\eksplorasi.exe") - C:\WINDOWS\eksplorasi.exe ()
 
:Files
C:\Documents and Settings\TAP-POL\Ustawienia lokalne\Dane aplikacji\*.exe
C:\Documents and Settings\TAP-POL\Ustawienia lokalne\Dane aplikacji\Bron*
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. To co wykrył skaner antywirusowy Avira do usunięcia.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i GMER. Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[olczak]

Wykonane. Z tym, że musiałem najpierw pousuwać Avirą a potem zrobić skpypt z OTL jak próbowałem robić najpierw srypt to podczas wykonywania miałem niebieski ekran nawet jak próbowałem z trybu awaryjnego. Dopiero jak najpierw wyczyściłem dysk Avirą na innym kompie i potem zrobiłem skrypt to się wykonał ok. Zdaję sobie sprawę z tego, że pewnie niektóre wpisy w skrypcie były już niepotrzebne ale wygląda na to że jest już ok.

 

Oto logi:

OTL.Txt

gmer.txt

08242012_172249.txt

[picasso]

Aktualny log z OTL nie pokazuje już żadnych wpisów infekcji. Kolejne działania do przeprowadzenia:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek zrób ponownie pełne skanowanie Avira i przedstaw czy nic już nie jest widziane.

 

 

 

.

[olczak]

OTL sprzątnięty, przywracanie systemu opróżnione, Avira czysto.

 

Wygląda na to, że wszystko jest ok.

 

Jeśli mogę jeszcze prosić o doradzenie jaki skaner na żądanie byłby dobry do tego kompa. Bo na 128MB RAM nie ma szans raczej na żaden rezydentny skaner. Może dokupię 256MB dodatkowo bo i tak w tym laptopie maksymalnie może być 2x256. Ale żeby przeskanować wszystkie pendrivy i dyskietki co były do niego podłączane i wkładane zanim pamięci będzie więcej. I czym zabezpieczyć przed infekcjami z USB?

 

ps. Skąd ten Brontok mógł się wziąć? Czy on się przenosi przez dyskietki i pendrivy?

[picasso]

Teraz możesz przejść do ważnych aktualizacji: KLIK. A dzieje się tu źle, system ma krytyczny poziom aktualizacji (!):

 

Windows XP Professional Edition Dodatek Service Pack. 1 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2800.1106)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{90280415-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional z programem FrontPage
"{AC76BA86-7AD7-1045-7B44-A70000000000}" = Adobe Reader 7.0 - Polish
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX

 

 

Jeśli mogę jeszcze prosić o doradzenie jaki skaner na żądanie byłby dobry do tego kompa. Bo na 128MB RAM nie ma szans raczej na żaden rezydentny skaner.

 

Posiadasz już Avirę. W komponentach można odinstalować całkowicie osłonę czasu rzeczywistego. Avira będzie wtedy działać właśnie jako skaner na żądanie.

 

 

ps. Skąd ten Brontok mógł się wziąć? Czy on się przenosi przez dyskietki i pendrivy?

 

Potencjalne drogi nabycia: zainfekowany nośnik USB, współdzielone dyski sieciowe, zarażony / sfałszowany załącznik w e-mail.

 

 

 

.

[olczak]

Czy aktualizację muszę robić po kolei czyli najpierw SP2 i następnie SP3? Czy mogę od razu dać SP3? Czy po aktualizacji system może spowolnić lub mogą nie działać jakieś programy? Mam dużo programów do sterowania maszynami CNC i byłoby to nieporządane.

 

Avirę mam na innym komputerze i skanowałem ten zarażony dysk po podpięciu go przez przelotkę USB. Na tym komputerze nie ma żadnego skanera jak dotąd. Zależałoby mi na takim co można aktualizować za pomocą podania pliku z bazami bo póki co nie mam możliwości podpięcia do tego komputera internetu.

 

Jak zabezpieczyć się przed przenoszeniem się wirusów przez USB?

[picasso]

Czy aktualizację muszę robić po kolei czyli najpierw SP2 i następnie SP3? Czy mogę od razu dać SP3? Czy po aktualizacji system może spowolnić lub mogą nie działać jakieś programy? Mam dużo programów do sterowania maszynami CNC i byłoby to nieporządane.

 

Na Windows XP SP1 od razu da się nałożyć SP3, a po nim oczekuje kupa innych nowszych aktualizacji. SP3 jest bardzo stary (wydany w 2008). do wglądu materiał: Windows XP Service Pack 2/3 Problem Solver. W kwestii zgodności tych konkretnych Twoich aplikacji, to trudno mi zapewnić Cię.

 

 

Avirę mam na innym komputerze i skanowałem ten zarażony dysk po podpięciu go przez przelotkę USB. Na tym komputerze nie ma żadnego skanera jak dotąd. Zależałoby mi na takim co można aktualizować za pomocą podania pliku z bazami bo póki co nie mam możliwości podpięcia do tego komputera internetu.

 

1. Jak mówię: Avira spełnia warunki. Podczas instalacji da się ominąć rezydenta, by uczynić ją skanerem na żądanie. Definicje można podać z plików VDF: KLIK.

 

2. Dodatkowo podrzucam skanery miniaturowe, które można okresowo łączyć z używaniem Avira: Emsisoft Emergency Kit, Comodo Cleaning Essentials, HitmanPro (komercyjny, darmowe usuwanie przez 30 dni), Kaspersky Virus Removal Tool, Dr. Web CureIt. Kaspersky + CureIt mają przeznaczenie jednorazowe, ważność baz wygasa i by mieć aktualne definicje należy w kółko pobierać te aplikacje.

 

 

Jak zabezpieczyć się przed przenoszeniem się wirusów przez USB?

 

Odnośniki: KLIK. W Twoim przypadku: aktualizacje Windows (łata na infekcje LNK w składzie) + Panda USB Vaccine.

 

 

.