shark Opublikowano 25 Października 2012 Zgłoś Udostępnij Opublikowano 25 Października 2012 (edytowane) Witam Mam problem z wirusem o nazwie Brontok.A . Zrobilem scan panda online ktora znalazla mi takiego wirusa probiowalem go recznie usunac ale on sie "odradza" wklejam scany OLT i GMER Prosił bym o pomoc Ps: Platforma: windows XP PRO SP3 @Picasso Zrobione (scan puszczony z pominieciem MS) Extras.Txt gmer.txt OTL.Txt Edytowane 26 Października 2012 przez shark Odnośnik do komentarza
picasso Opublikowano 26 Października 2012 Zgłoś Udostępnij Opublikowano 26 Października 2012 Log z OTL zbyt obszerny, zaznacz w nim opcję Pomiń pliki Microsoftu, podmień log główny w pierwszym poście, na PW zawiadom o edycji posta. EDIT: Logi podmienione. Przechodzimy do czyszczenia: 1. Przejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [bron-Spizaetus] C:\WINDOWS\ShellNew\RakyatKelaparan.exe () O4 - HKLM..\Run: [NWEReboot] File not found O4 - HKLM..\Run: [spoolv] "C:\Windows\spoolv\spoolv.exe" File not found O4 - HKCU..\Run: [Tok-Cirrhatus] File not found O4 - HKCU..\Run: [Tok-Cirrhatus-2256] C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\br5535on.exe () O4 - Startup: C:\Documents and Settings\Rafal\Menu Start\Programy\Autostart\Empty.pif () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\KesenjanganSosial.exe") - C:\WINDOWS\KesenjanganSosial.exe () FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=a33a8d6e-760e-11e1-8b9d-000b6a8ae885&q=" IE - HKCU\..\SearchScopes\{036A9F2D-7421-4495-918E-126F8BBD7883}: "URL" = "http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC" IE - HKCU\..\SearchScopes\{5FADAA45-C5FB-4F5C-B8D7-F2E1B510C7CA}: "URL" = "http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC" :Files C:\WINDOWS\System32\cmd-brontok.exe C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\*.exe C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\Rafal\Dane aplikacji\mozilla\firefox\profiles\odfp9sel.default\searchplugins\startsear.xml :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras), jak poprzednio Pomiń pliki Microsoftu. . Odnośnik do komentarza
shark Opublikowano 26 Października 2012 Autor Zgłoś Udostępnij Opublikowano 26 Października 2012 Zrobione jak kazano o to OTL 1. OTL w trybie awaryjnym+skrypt 2. podmianka HOSTS z linku 3. Nowy OTL OTL.Txt Odnośnik do komentarza
picasso Opublikowano 26 Października 2012 Zgłoś Udostępnij Opublikowano 26 Października 2012 Niestety bez zmian... Co się działo podczas wykonywania skryptu? Ponów wszystkie działania. Odnośnik do komentarza
shark Opublikowano 26 Października 2012 Autor Zgłoś Udostępnij Opublikowano 26 Października 2012 Niestety chyba nadal jest tak samo czyli bez zmian... załączam nowy OTL Zrobilem 2 raz tak samo jak wczesniej 1 uruchomilem w trybie awaryjnym 2. uruchomilem OTL i wkleilem kod/skrypt do programu opis działania: Po kliknieciu "wykonaj skrypt" program zaczoł działac tzn na dole programu pokazywaly sie nazwy (te co byly w skrypcie) czasem pokazal sie pasek "progresu" a w miedzyczasie "znikł pulpit". Po skonczeniu , chyba skonczeniu zrestartowal sie system. Po restarcie systemu odpalilem program do naprarwy hosts. Koncowy efekt widoczny jest w logach. ps: mam wyłączone przywracanie systemu na dysku - czy to cos przeszkadza w poprawnym wykonywaniu ? OTL.Txt Odnośnik do komentarza
picasso Opublikowano 26 Października 2012 Zgłoś Udostępnij Opublikowano 26 Października 2012 Sięgnij po cięższe działa, czyli uruchom ComboFix (dedykuje Brontok) i przedstaw wynikowy raport. Odnośnik do komentarza
shark Opublikowano 26 Października 2012 Autor Zgłoś Udostępnij Opublikowano 26 Października 2012 Niestety ComboFix w pierwszej próbie pobierania spowodował samoistny restart komputera/opogramowania kolejne proby spowodowały ze wkoncu udało sie pobrac i nawet uruchomic program. Niestety podczas trorzenia "backup" znow zrobil sie restart komputera, dalej probowalem zrobic go(uruchomic combofix) w trybi awaryjnym niestety z takim samym skutkiem (restart podczas tworzenia backupa). Wklejam kolejny log z OTL po tych probach. Spróbowałem kolejny raz odpalic OTL tym razem sciagnolem przez 2 komp i wkleilem do tego kompa zarazonego ten program(OTL) i jeszcze raz sprobowalem zrobic skrypt ale niestety znow byl restart tym razem z bluescrenem na linku jest jego tresc http://img716.images...2/dsc06502l.jpg ps: uruchomienie programu "killbox" powoduje restart komputera, wiec sadze ze ten skubany wirus niezle juz zamieszał w systemie/rejestrze OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Października 2012 Zgłoś Udostępnij Opublikowano 27 Października 2012 Spróbowałem kolejny raz odpalic OTL tym razem sciagnolem przez 2 komp i wkleilem do tego kompa zarazonego ten program(OTL) i jeszcze raz sprobowalem zrobic skrypt ale niestety znow byl restart tym razem z bluescrenem na linku jest jego tresc Bez sensu. Problemem nie jest kopia OTL tylko to co robi z nim Brontok. ps: uruchomienie programu "killbox" powoduje restart komputera, wiec sadze ze ten skubany wirus niezle juz zamieszał w systemie/rejestrze Daruj sobie tego przestarzałego KillBoxa, skoro znacznie silniejszy ComboFix nie daje rady. A autoreset to cecha Brontok. Reaguje na określone tytuły okien (m.in. związane ze skanerami) i przy ich rozpoznaniu robi autoreset, by zapobiec używaniu aplikacji. Spróbujmy z innej strony: 1. Otwórz Notatnik i wklej w nim: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d explorer.exe /f reg add HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /v AlternateShell /t REG_SZ /d cmd.exe /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Bron-Spizaetus /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tok-Cirrhatus /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tok-Cirrhatus-2256 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoFolderOptions /f reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v DisableRegistryTools /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: C:\WINDOWS\KesenjanganSosial.exe C:\WINDOWS\System32\cmd-brontok.exe C:\WINDOWS\ShellNew\RakyatKelaparan.exe "C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\winlogon.exe" "C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\smss.exe" "C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\services.exe" "C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\lsass.exe" "C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\inetinfo.exe" "C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\csrss.exe" "C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\br5535on.exe" "C:\Documents and Settings\Rafal\Menu Start\Programy\Autostart\Empty.pif" DeleteFolder: "C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok" "C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Bron.tok-16-26" "C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Wykonaj poprzednio zalecony reset pliku HOSTS. 4. Zrób nowy log z OTL z opcji Skanuj (zaznaczone "Pomiń pliki Microsoftu"). . Odnośnik do komentarza
shark Opublikowano 27 Października 2012 Autor Zgłoś Udostępnij Opublikowano 27 Października 2012 Hej. Zrobione Po tym jak progam blank uruchomil komp jeszczeraz wyskoczyl mi blad braku pliku "rakytakelapran.exe" ale przy 2 restartcie kompa - po tym jak musialem uruchomic go zeby zakonczyc naprawe hosts juz nie wyskoczyl. Daje nowy log. Jesli chodzi o kilboxa to wiem ze to stare urzadzenie ale chcialem sprawdzic czy wirus sie broni przed takimi progamami... OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Października 2012 Zgłoś Udostępnij Opublikowano 27 Października 2012 Brontok pomyślnie usunięty, jeden odpadkowy folder został na dysku, ale to już szczegół. Zostały poprawki, też pod kątem przeglądarki Firefox upstrzonej resztkami adware vShare/LiveVDO. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=a33a8d6e-760e-11e1-8b9d-000b6a8ae885&q=" IE - HKCU\..\SearchScopes\{036A9F2D-7421-4495-918E-126F8BBD7883}: "URL" = "http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC" IE - HKCU\..\SearchScopes\{5FADAA45-C5FB-4F5C-B8D7-F2E1B510C7CA}: "URL" = "http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC" :Files C:\Documents and Settings\Rafal\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\Rafal\Dane aplikacji\Mozilla\Firefox\Profiles\odfp9sel.default\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}.xpi :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Do oceny wystarczy tylko log z wynikami usuwania OTL. Nowy skan zbędny. Po tym jak progam blank uruchomil komp jeszczeraz wyskoczyl mi blad braku pliku "rakytakelapran.exe" ale przy 2 restartcie kompa - po tym jak musialem uruchomic go zeby zakonczyc naprawe hosts juz nie wyskoczyl. Tak, ponieważ BlitzBlank wykonał usuwanie plików wcześniej niż FIX.BAT z niego wywołany. FIX.BAT zrobił korektę bazującą na imporcie do rejestru ciut później, dlatego dopiero kolejny restart już nie zwrócił błędów. Jesli chodzi o kilboxa to wiem ze to stare urzadzenie ale chcialem sprawdzic czy wirus sie broni przed takimi progamami... Wiedząc już, że ComboFix (KillBox może mu podskoczyć) nie jest w stanie, można było się spodziewać, że nici z interesu. Tym bardziej, że bardzo stary (to program sprzed 6 lat!), a stary oznacza = konkretna infekcja dobrze wie o narzędziu. Im nowsze narzędzie, im silniejsze, tym większa szansa, że się nie da. . Odnośnik do komentarza
shark Opublikowano 27 Października 2012 Autor Zgłoś Udostępnij Opublikowano 27 Października 2012 Oto log koncowy. Pieknie dziekuje za pomoc w pozbyciu sie intruza 10272012_131920a.txt Odnośnik do komentarza
picasso Opublikowano 27 Października 2012 Zgłoś Udostępnij Opublikowano 27 Października 2012 To jeszcze nie koniec. Brontok produkuje też głównie w Moich dokumentach dodatkowe pliki od nazwy katalogu nadrzędnego, tego zwykle w logach nie widać, a może być, pod tym kątem będzie dodatkowy skan. Kolejne działania: 1. Odinstaluj w prawidłowy sposób ComboFix. Start > Uruchom > wklej komendę: "C:\Documents and Settings\Rafal\Pulpit\ComboFix.exe" /uninstall Gdy ukończy, w OTL uruchom Sprzątanie, a resztę narzędzi już ręcznie dokasuj. 2. Wykonaj pełne skanowanie w Kaspersky Virus Removal Tool. Przedstaw wyniki typu "Detected" (inne typy mnie nie interesują), o ile coś w ogóle zostanie znalezione. . Odnośnik do komentarza
shark Opublikowano 27 Października 2012 Autor Zgłoś Udostępnij Opublikowano 27 Października 2012 Status: Deleted (events: 2) 2012-10-27 15:12:30 Deleted virus Email-Worm.Win32.Brontok.q c:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\br7911on.exe High 2012-10-27 15:14:49 Deleted virus Email-Worm.Win32.Brontok.q c:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif High Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Brontok został wykryty na drugim koncie Administrator. Skoro to na pewno tylko tyle, to odinstaluj skaner Kasperskiego (następuje to przez zamknięcie okna) i przechodzimy do finału: 1. Aktualizacje Adobe i Firefox: KLIK. W logu widać wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)"Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl)"SkanerOnline" = Skaner on-line mks_vir ----> to próchno odinstaluj 2. Uzupełnienie oprogramowania zabezpieczającego. Brak tu jakiegokolwiek rozwiązania. Przykładowe darmowe propozycje: Zapora: PrivateFirewall, Online Armor Free, COMODO Firewall Antywirus: Avast, AVG, Panda Cloud Antivirus Pakiet: COMODO Internet Security . Odnośnik do komentarza
shark Opublikowano 31 Października 2012 Autor Zgłoś Udostępnij Opublikowano 31 Października 2012 Witam sory ze tak dlugo nie pisalem ale praca :/ DZiekuje za pomoc zrobilem jak kazalas tzn zainstalowalem sobie pakiet comodo i przy skanowananiu znalaz mi pare wirusa Oczywiscie odrazu zaznaczylem do usuniecia i po pozniejszym skanowananiu nic nie znalazlo yyy.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2012 Zgłoś Udostępnij Opublikowano 31 Października 2012 (edytowane) Czy Ty na pewno w poprzednim podejściu ze skanerem Kaspersky Virus Removal Tool robiłeś kompletny skan? COMODO wykrył resztki Brontoka, które powinien był również wykryć Kaspersky ... Teraz po usuwaniu należy jeszcze raz wyczyścić foldery Przywracania systemu, bo widać w skanie, że mechanizm sejwował pliki Brontok do kopii (wszystko z System Volume Information): KLIK. Edytowane 30 Listopada 2012 przez picasso 30.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi