Wirus dublujący foldery

[iwoonkaaa]

Witam, mam infekcję której objawiami są:

 

-wirus w każdym folderze w moich dokumentach tworzy podfolder o indetycznej nazwie (skanowanie Malwarebytes wykazało 200 obiektów)

-wirus tworzy też pliki na pendrivie

-wirus blokuje pobieranie jakichkolwiek plików z poziomu przeglądarki (restart kompa przy próbie pobrania)

 

Poproszę o pomoc i pozdrawiam:)

gmer.txt

OTL1.txt

Extras1.txt

[picasso]

System jest zainfekowany robakiem Brontok. Przeprowadź następujące działania:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-2558228922-1657107745-1823895112-1000..\Run: [Tok-Cirrhatus] C:\Users\Iwonka\AppData\Local\smss.exe ()
O4 - HKLM..\Run: [ROC_ROC_NT] C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe ()
IE - HKU\S-1-5-21-2558228922-1657107745-1823895112-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.yhs.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=7848BCAEC5169BD9&affID=121232&tt=040713_ifrmful&tsp=4934
 
:Files
C:\Users\Iwonka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
C:\Users\Iwonka\AppData\Local\*.exe
C:\Users\Iwonka\AppData\Local\*Bron*
C:\Users\Iwonka\AppData\Local\Babylon
C:\Users\Iwonka\AppData\Roaming\Babylon
C:\ProgramData\Babylon
C:\Program Files\AVG Secure Search
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner.

 

 

 

.

[iwoonkaaa]

Hej,

 

wszytsko zrobione. Mam pytanie co do podfolderów króre się utworzyły czy za pomocą Malwarebytes mogę je usunąć (jest ich bardzo dużo)?.

Dziękuję baaardzo za całą pomoc:)

 

p.s

Nie wiem czy to ma znaczenie, ale wykonanie skryptu przez OTL zadziało dopiero gdy uruchomiłam komputer w trybie awaryjnym, wcześniej się restartował.

OTL4.txt

OTL3.txt

AdwCleanerS1.txt

[picasso]

Akcje jakoby wykonane, niestety infekcja nadal obecna.... Kolejne podejście:

 

1. Wejdź w Tryb awaryjny. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Iwonka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
C:\Users\Iwonka\AppData\Local\*.exe
C:\Users\Iwonka\AppData\Local\*Bron*
C:\Users\Iwonka\Documents\Documents.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ROC_ROC_NT"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z wynikami usuwania OTL z punktu 1.

 

 

Mam pytanie co do podfolderów króre się utworzyły czy za pomocą Malwarebytes mogę je usunąć (jest ich bardzo dużo)?

Tak. Skrypt OTL ma za zadanie tylko usunąć widoczną aktywną część infekcji. Repliki w postaci plików naśladujących foldery należy dokasować inną metodą. Usuń to co pokazuje skaner MBAM, ponów nim ponownie skan, by się upewnić, że w drugim przebiegu nic nie zostanie wykryte.

 

 

Nie wiem czy to ma znaczenie, ale wykonanie skryptu przez OTL zadziało dopiero gdy uruchomiłam komputer w trybie awaryjnym, wcześniej się restartował.

Infekcja Brontok zapobiega działaniu programu.

 

 

 

.

[iwoonkaaa]

Hej,

 

dziwna sprawa wykonanie skryptu nie poszło w trybie awaryjnym ale dopiero w normalnym.

 

pozdrawiam

OTL7.Txt

OTL6.txt

[picasso]

To rzeczywiście dziwne. A akcje się powiodły i już nie widzę oznak czynnej infekcji. Kolejne działania:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniższe foldery.

 

C:\Users\Iwonka\Desktop\Stare dane programu Firefox

C:\Users\Iwonka\Desktop\Stare dane programu Firefox-1

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na dysku nie mogą pozostać żadne duplikaty infekcji Brontok. Raporty OTL są zbyt ograniczone, by wykazać obecność tych plików. Dlatego też powtórz pełny skan MBAM, a na wszelki wypadek zrób też pełny skan w Kaspersky Virus Removal Tool (w opcjach należy ustawi skan wszystkich sfer).

 

 

 

.

[iwoonkaaa]

bardzo dziękuję za całą pomoc

[picasso]

Nie podsumowałaś czy skany coś wykryły. Jeśli nic, na zakończenie:

 

1. Prewencyjnie pozmieniaj hasła w serwisach (poczta, banki, serwisy społecznościowe etc.).

 

2. Zaktualizuj system i aplikacje: KLIK.

 

 

.