Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Bron Spizaetus oraz Tok Cirrhatus, padniety explorer, zablokowany regedit

markov

Przez markov
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Anonim8

Anonim8

Opublikowano
Opublikowano

Wejdź w tryb awaryjny. Wcześniej zapisz sobie skrypt w notatniku.

 

Uruchom OTL i w oknie Własne opcje skanowania /skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\sempalong.exe ()
O4 - HKU\S-1-5-21-428915618-56224564-708241891-1000..\Run: [Tok-Cirrhatus] C:\Users\Rzerzuch\AppData\Local\smss.exe ()
O4 - Startup: C:\Users\Rzerzuch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
O20 - HKLM Winlogon: Shell - ("C:\Windows\eksplorasi.exe") - C:\Windows\eksplorasi.exe ()

:Files
C:\Users\Rzerzuch\AppData\Local\Bron.tok-12-15
C:\Users\Rzerzuch\AppData\Local\Bron.tok-12-12
C:\Users\Rzerzuch\AppData\Local\Bron.tok-12-10
C:\Users\Rzerzuch\AppData\Local\Loc.Mail.Bron.Tok
C:\Users\Rzerzuch\AppData\Local\Ok-SendMail-Bron-tok
C:\Users\Rzerzuch\AppData\Local\Bron.tok-12-8
C:\Users\Rzerzuch\AppData\Local\Bron.tok.A12.em.bin
C:\Users\Rzerzuch\AppData\Local\winlogon.exe
C:\Users\Rzerzuch\AppData\Local\services.exe
C:\Users\Rzerzuch\AppData\Local\lsass.exe
C:\Users\Rzerzuch\AppData\Local\inetinfo.exe

 

:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt.

 

Po usuwaniu zrób nowy skan OTL i przedstaw raport.

Odnośnik do komentarza
Anonim8

Anonim8

Opublikowano
Opublikowano

Usuwanie nie poszło do końca

 

Uruchom OTL i w oknie własne opcje skanowania skrypt wklej:

 

:Files
C:\Users\Rzerzuch\AppData\Local\Bron.tok-12-16
C:\Windows\erdnt
C:\32788R22FWJFW
C:\Users\Rzerzuch\AppData\Local\Bron.tok-12-15
C:\Users\Rzerzuch\AppData\Local\Bron.tok-12-12
C:\Users\Rzerzuch\AppData\Local\Bron.tok-12-10
C:\Users\Rzerzuch\AppData\Local\Loc.Mail.Bron.Tok
C:\Users\Rzerzuch\AppData\Local\Ok-SendMail-Bron-tok
C:\Users\Rzerzuch\AppData\Local\Bron.tok-12-8
C:\Users\Rzerzuch\AppData\Local\*.exe

:Commands
[reboot]

 

Kliknij w Wykonaj skrypt

 

 

Po usuwaniu zrób nowy skan OTL i przedstaw raport. Extras nie potrzebny.

Odnośnik do komentarza
Anonim8

Anonim8

Opublikowano
Opublikowano

Mała poprawka . Wklej do OTL skrypt

 

:Files
C:\Users\Rzerzuch\AppData\Local\Bron.tok.A12.em.bin

 

Kliknij w Wykonaj skrypt.

 

2. Zresetuj plik Hosts http://support.microsoft.com/kb/972034

 

3. Uruchom OTL i kliknij Sprzatanie, to usunie kwarantanne.

 

4. Wyczysć foldery Przywracania systemu https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page__p__42415?do=findComment&comment=42415

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Tu należy wykonać jeszcze na koniec pełny skan antywirusowy. Brontok tworzy więcej obiektów niż może to zaprezentować skan OTL, tzn. w ogromnej liczbie katalogów dorabia pliki wykonywalne mające nazwę katalogu. Omyłkowe uruchomienie takiego pliku reinfekuje system. Przykładowy skaner pod uwagę: Kaspersky Virus Removal Tool. Należy w nim w konfiguracji zaznaczyć pełny skan dysku, w przeciwnym wypadku odbędzie się tylko ekspresowy (ominięcie określonych lokalizacji).
 
PS. markov, coś tu inaczej robiłeś niż w temacie widać. Nie zgadzają się wyniki. W pierwszym logu były polityki blokujące opcje (NoFolderOptions + DisableRegistryTools), w skrypcie tego nie zadano, a w wynikowym logu OTL ich brak. To nie mogło samodzielnie zniknąć. Poza tym, pierwszy wynik skryptu ma wszystko "not found" i nie zgadza się z wersją podaną w poście (brak przetworzeniua sekcji :Files). Mi tu wygląda na to, że robiłeś coś równolegle.
 
 
.

Odnośnik do komentarza
  • 4 tygodnie później...
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Skoro wróciła, coś zostało uprzednio niedoczyszczone. Ten skan antywirusowy na końcu był podany nie bez przyczyny.

 

1. Wejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\sempalong.exe ()
O4 - HKU\S-1-5-21-428915618-56224564-708241891-1000..\Run: [Tok-Cirrhatus] C:\Users\Rzerzuch\AppData\Local\smss.exe ()
O4 - Startup: C:\Users\Rzerzuch\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
O7 - HKU\S-1-5-21-428915618-56224564-708241891-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-428915618-56224564-708241891-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - ("C:\Windows\eksplorasi.exe") - C:\Windows\eksplorasi.exe ()
 
:Files
C:\Users\Rzerzuch\AppData\Local\*Bron*
C:\Users\Rzerzuch\AppData\Local\*.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Zresetuj plik HOSTS do postaci domyślnej za pomocą narzędzia Fix-it: KB972034.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. Poza tym, na dysku E jest ukryty plik E:\autorun.inf. Otwórz go w Notatniku i przeklej tu jego zawartość.

 

 

 

.

Edytowane przez picasso
12.06.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...