brontok.a 10

[Gacuul]

Witam 
Mam problem gdyż na moim stacjonarnym i przenośnym komputerze zaczęły wyskakiwać zielone strony brontoka. Dawno temu już ten problem miałem i jakoś się z nim uporałem, pamiętam tyle że używałem ComboFixa. Teraz mam troszkę potrzebnym mi rzeczy na moich komputerach i formatowanie mi się nie uśmiecha. Czy jest to możliwe, że mój smartfon też jest zarażony ? Dzisiaj zaczął mi szwankować fb app na nim.

Logi dla stacjonarnego i laptopa są w załącznikach.

Z góry dziękuję za pomoc.

OTL.Txt laptop.txt

Extras.Txt - Laptop.txt

Extras - Stacjonarny.Txt

OTL - Stacjonarny.Txt

[picasso]

Dawno temu już ten problem miałem i jakoś się z nim uporałem, pamiętam tyle że używałem ComboFixa.

Nie jest wykluczone, że wtedy infekcja nie została dobrze wyczyszczona. ComboFix usuwa tylko startową część Brontok. Jeśli nie robiłeś wtedy pełnego skanu antywirusowego, to mogły na dysku pozostać pliki Brontok, które teraz omyłkowo uruchomiono i nastąpiła reinfekcja.

 

 

Czy jest to możliwe, że mój smartfon też jest zarażony ? Dzisiaj zaczął mi szwankować fb app na nim.

Nie wiem.

 

 

Laptop:

 

Log z OTL jest źle skonfigurowany, opcję "Rejestr" ustawiłeś na "Wszystko", a ma być "Użyj filtrowania". Tu widać tylko odpadki Brontok oraz adware. Doczyść:

 

1. Odinstaluj w poprawny sposób adware:

- Przez Panel sterowania: Ask Toolbar, Ask Toolbar Updater, FoxTab Music Converter, HyperCam Toolbar, pdfforge Toolbar v7.2, Winamp Toolbar.

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Kacper\AppData\Local\*Bron*
C:\Users\Kacper\AppData\Local\*.exe
C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml
 
:OTL
IE - HKU\S-1-5-21-452875887-317145487-3222741655-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
IE - HKU\S-1-5-21-452875887-317145487-3222741655-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=MYC-ST&o=102869&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=5J&apn_dtid=YYYYYYYYPL&apn_uid=4140352c-3410-4b00-8832-0c237edfd09d&apn_sauid=7B26199A-ED1E-4CBA-89E2-79D01C0D0A22
O4 - HKLM..\Run: [] File not found
O7 - HKU\S-1-5-21-452875887-317145487-3222741655-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-452875887-317145487-3222741655-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-21-452875887-317145487-3222741655-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCMD = 0
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe -- (Autodesk Licensing Service)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

Stacjonarny:

 

Stosowałeś jakiś skrypt OTL = co to było? Tu Brontok jest czynny, adware też obecne. Wykonaj następujące działania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL


O3 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O3 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1002\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\sempalong.exe ()

O4 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1000..\Run: [Tok-Cirrhatus] C:\Users\Kacper\AppData\Local\smss.exe ()

O4 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1002..\Run: [Tok-Cirrhatus] C:\Users\Kacper\AppData\Local\smss.exe ()

O4 - Startup: C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()

O7 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1

O7 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O20 - HKLM Winlogon: Shell - ("C:\Windows\eksplorasi.exe") - C:\Windows\eksplorasi.exe ()
 

:Files

C:\Users\Kacper\AppData\Local\*Bron*

C:\Users\Kacper\AppData\Local\*.exe

C:\Users\Kacper\AppData\Roaming\OpenCandy

netsh advfirewall reset /C
 

:Commands

[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. Zresetuj plik HOSTS do postaci domyślnej narzędziem Fix-it: KB972034.

 

3. Przez Panel sterowania odinstaluj adware Protected Search 1.1 oraz McAfee Security Scan Plus (sponsor paczek Adobe).

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\Main]

"Default_Search_URL"=-

"Search Bar"=-

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Default_Page_URL"=-

"Start Page"="about:blank"
 

[HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\Main]

"Default_Search_URL"=-

"Search Bar"=-

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Default_Page_URL"=-

"Start Page"="about:blank"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Search Bar"=-

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Default_Page_URL"=-

"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\AboutURLs]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\Search]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\SearchURI]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\SearchUrl]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\AboutURLs]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\Search]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\SearchURI]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\SearchUrl]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl]
 

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 

[HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]

@="Bing"

"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"

"DisplayName"="@ieframe.dll,-12512"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + FRST (ale podaj mi tylko plik Addition.txt). Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner.

 

 

 

 

.

[Gacuul]

Dziękuje za pomoc. 

Miałem problem z utworzeniem nowego hosta. Nowy plik powstawał w formacie txt więc skopiowałem inny plik z folderu etc, usunąłem jego zawartość i wkleiłem to co było podane na stronie windowsa.

Innych problemów nie było

AdwCleanerS1 - laptop.txt

AdwCleanerS1 - stacjonarny.txt

OLT - stacjonarny usuwanie.txt

OTL - stacjonarny.Txt

OTL.Txt - laptop.txt

[picasso]

Dałeś mi nie ten plik FRST co należy (usuwam):

 

FRST (ale podaj mi tylko plik Addition.txt)

A co do:

 

Miałem problem z utworzeniem nowego hosta. Nowy plik powstawał w formacie txt więc skopiowałem inny plik z folderu etc, usunąłem jego zawartość i wkleiłem to co było podane na stronie windowsa.

Wskazywałam narzędzie Fix-it. Samoistnie utworzyłoby domyślny plik.

 

 

 

.

[Gacuul]

Przepraszam, troszkę tych plików było i mogłem się pogubić. W linku znajduję się prawidłowy plik.

Addition - stacjonarny.txt

[picasso]

Wszystko wykonane na obu komputerach. Przejdź do wykończeń:

 

 

Laptop

 

1. Mini korekty rejestru. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEl skasuj wyliczone poniżej foldery.

 

C:\Users\Kacper\Desktop\Stare dane programu Firefox

C:\Users\Kacper\Doctor Web

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełny skan dysków za pomocą Kaspersky Virus Removal Tool. Domyślnie program robi ekspresowe szukanie, w konfiguracji to zmień. Jeśli coś wykryje, przeklej wyniki do oceny.

 

 

Stacjonarny

 

1. Porządki po narzędziach: przez SHIFT+DEL usuń folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Podobnie: pełny skan w Kaspersky Virus Removal Tool.

 

 

 

 

.

[Gacuul]

Wykonałem prawie wszystko oprócz skanowania Kasperskim. Problem jest taki. Gdy otwieram jest napisane, że wersja jest sprzed 2 lat i nie jest już wspierana. Po mimo tego powinienem go użyć ? Odpisuję dopiero teraz gdyż miałem przeprowadzkę.

[picasso]

Gdy otwieram jest napisane, że wersja jest sprzed 2 lat i nie jest już wspierana. Po mimo tego powinienem go użyć ? Odpisuję dopiero teraz gdyż miałem przeprowadzkę.

Jeśli to pobrane "Version 11 (11.0.0.1245)", to tak: zignorować ten komunikat i zrobić skan.

 

 

 

.

[Gacuul]

Wykonałem skan na laptopie ale żadnego raportu ze skanu nie mogłem znaleźć, na stacjonarnym skan jeszcze się nie wykonał - trwa dość długo. Kaspersky wszystkiego nie mógł usunąć z tego co pamiętam. 

Uważam, że coś musi być nie tak z Kasperskym bo na laptopie skan wykonał się w około 30 minut przy ponad 25 gb na dysku C, a na stacjonarnym trwa już 2 godziny z szacowanym czasem około dnia przy 17 gb na dysku C.

[picasso]

Wykonałem skan na laptopie ale żadnego raportu ze skanu nie mogłem znaleźć, na stacjonarnym skan jeszcze się nie wykonał - trwa dość długo. Kaspersky wszystkiego nie mógł usunąć z tego co pamiętam.

Czy Kaspersky został zamknięty po przeprowadzonym skanie? W opcjach skanera nie widzisz żadnych adnotacji o wykrytych zagrożeniach?

 

 

Uważam, że coś musi być nie tak z Kasperskym bo na laptopie skan wykonał się w około 30 minut przy ponad 25 gb na dysku C, a na stacjonarnym trwa już 2 godziny z szacowanym czasem około dnia przy 17 gb na dysku C.

Jest wiele czynników wpływających na długość skanu, nie tylko wielkość dysku:

- Szybkość sprzętowa dysku / ogólna komputera

- Ilość obiektów (mniejszy dysk nie jest tautologiczny z mniejszą liczbą plików/folderów)

- Rodzaj obiektów (archiwa, o ile nie zabezpieczone hasłem, są skanowane wewnątrz)

 

 

 

.

[Gacuul]

Czy Kaspersky został zamknięty po przeprowadzonym skanie? W opcjach skanera nie widzisz żadnych adnotacji o wykrytych zagrożeniach?

Oba komputery się zrestartowały po wykonanych skanach ale nic się nie pojawiło. Nie mogę też odnaleźć samego Kasperskiego, nie wyszukuje go w wyszukiwarce start. Na 100% nie usuwałem go.

[picasso]

Ta wersja Kasperskiego zachowuje się w następujący sposób: zamknięcie okna skanera równa się jego deinstalacji... Tak więc, to że nie możesz go znaleźć, jest wytłumaczalne. I w związku z tym ja nie mogę ocenić co Kaspersky robił, brak danych.

 

 

 

.

[Gacuul]

Udało mi się uzyskać raporty na obu komputerach. Niestety są zbyt duże aby je dać do załącznika, a przy próbie wrzucenia na wklej.org przeglądarka się zawiesza.

 

Kaspersky-Stacjonarny:

 

2013-07-03 13:17:10    Detected: Email-Worm.Win32.Brontok.q    C:\Documents and Settings\Kacper\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com

2013-07-03 13:17:32    Detected: Email-Worm.Win32.Brontok.q    C:\Documents and Settings\Kacper\Dane aplikacji\Microsoft\Windows\Templates\Brengkolang.com

2013-07-03 13:18:28    Detected: Email-Worm.Win32.Brontok.q    C:\Documents and Settings\Kacper\Documents\My Games\WarThunder\Saves\Saves.exe

2013-07-03 13:20:11    Deleted: Email-Worm.Win32.Brontok.q    C:\Documents and Settings\Kacper\Documents\My Games\WarThunder\Saves\Saves.exe

2013-07-03 13:19:45    Deleted: Email-Worm.Win32.Brontok.q    C:\Documents and Settings\Kacper\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com

2013-07-03 13:19:46    Backed up    C:\Documents and Settings\Kacper\Dane aplikacji\Microsoft\Windows\Templates\Brengkolang.com

2013-07-03 13:19:46    Cannot be deleted: Email-Worm.Win32.Brontok.q    C:\Documents and Settings\Kacper\Dane aplikacji\Microsoft\Windows\Templates\Brengkolang.com    Object not found

2013-07-03 13:28:16    Detected: HEUR:Trojan.Win32.Generic    C:\Documents and Settings\Kacper\Downloads\search_index_plasticity.zip/search_index_plasticity.exe

2013-07-03 13:45:53    Deleted: HEUR:Trojan.Win32.Generic    C:\Documents and Settings\Kacper\Downloads\search_index_plasticity.zip/search_index_plasticity.exe

2013-07-03 14:07:46    Detected: Email-Worm.Win32.Brontok.q    C:\Windows\SysWOW64\Kacper's Setting.scr

2013-07-03 14:19:32    Deleted: Email-Worm.Win32.Brontok.q    C:\Windows\SysWOW64\Kacper's Setting.scr

 

Kaspersky-Laptop:

 

2013-07-03 15:15:52    Detected: Email-Worm.Win32.Brontok.q    E:\Projekty\BO\Druk\inne\inne.exe

2013-07-03 15:30:55    Deleted: Email-Worm.Win32.Brontok.q    E:\Projekty\BO\Druk\inne\inne.exe

[picasso]

Te logi są zbyt ogromne, mają mnóstwo bezużytecznych danych (spis wszystkich skanowanych plików), a ich otworzenie skatowało pamięć mojego biednego komputera (ponad 100MB w Notatniku otworzyć...). Mnie interesują tylko wyniki typu "Detected". Wycięłam stosowne dane i umieściłam w Twoim poście. Ze spisu wynika, że obiekty Brontok zostały pomyślnie skasowane.

 

Na zakończenie, na obu komputerach:

 

1. Prewencyjnie zmień hasła logowania w serwisach / pocztowe.

 

2. Porównaj co wymaga aktualizacji: KLIK.

 

 

.