Gwiazdoor Opublikowano 29 Listopada 2013 Zgłoś Udostępnij Opublikowano 29 Listopada 2013 Na początku witam użytkowników tego forum, zwłaszcza tych którzy zainteresowali się moim problemem. Zauważyłem że na tym forum są kompetentne odpowiedzi które pomagają innym o chciałbym sam zasięgnąć takiej pomocy. Tak jak w temacie, te dwa procesy mnie prześladują i chciałbym się tego pozbyć. Chciałbym wrzucić log z OLT ale jak chce pobrać ten plik z google to od razu zamyka mi komputer... Co w takiej sytuacji ? Nie mam pomysłu jak ugryźć te procesy, kasowanie z auto-staru się nie sprawdza. EDIT: LOG z OTL - udało się jednak. http://wklej.org/id/1192084/ Odnośnik do komentarza
muzyk75 Opublikowano 29 Listopada 2013 Zgłoś Udostępnij Opublikowano 29 Listopada 2013 Próbowałeś innych przeglądarek ? kasowanie z auto-staru się nie sprawdza. Przy wyłączeniu w autostarcie też nie możesz pobrać OTL . Czy to dotyczy tylko OTL, a co z FRST. Przejdź na tryb awaryjny z dostępem do sieci śieci ( podczas uruchamiania komputera, gdy pokaże się logo producenta naciśnij kilkukrotnie F8 ) Odnośnik do komentarza
Gwiazdoor Opublikowano 29 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2013 Wrzuciłem na Pendrive z innego kompa i leci skan - zaraz wrzucę. Oczywiście Pendrive wyczyszczony i nie wkładam go z zarażonego laptopa do komputera. EDIT: Tutaj LOG z OTL http://wklej.org/id/1192084/ Odnośnik do komentarza
muzyk75 Opublikowano 29 Listopada 2013 Zgłoś Udostępnij Opublikowano 29 Listopada 2013 Uruchom OTL --> "Własne opcje skanowania / skrypt" i wklej: :OTL O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\sempalong.exe ()O4 - HKU\S-1-5-21-3860880664-153159536-4232509640-1000..\Run: [Tok-Cirrhatus] C:\Users\andrzej\AppData\Local\smss.exe ()O4 - Startup: C:\Users\andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()O7 - HKU\S-1-5-21-3860880664-153159536-4232509640-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1O7 - HKU\S-1-5-21-3860880664-153159536-4232509640-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1O20 - HKLM Winlogon: Shell - ("C:\Windows\eksplorasi.exe") - C:\Windows\eksplorasi.exe ()O33 - MountPoints2\{5bd63ff9-478e-11e2-9855-446d57062de6}\Shell - "" = AutoRunO33 - MountPoints2\{5bd63ff9-478e-11e2-9855-446d57062de6}\Shell\AutoRun\command - "" = G:\AutoRun.exeO33 - MountPoints2\{5bd64018-478e-11e2-9855-446d57062de6}\Shell - "" = AutoRunO33 - MountPoints2\{5bd64018-478e-11e2-9855-446d57062de6}\Shell\AutoRun\command - "" = H:\AutoRun.exeO33 - MountPoints2\{68ac5739-a450-11e2-b735-00a0c6000000}\Shell - "" = AutoRunO33 - MountPoints2\{68ac5739-a450-11e2-b735-00a0c6000000}\Shell\AutoRun\command - "" = G:\Startme.exeO33 - MountPoints2\G\Shell - "" = AutoRunO33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\AutoRun.exeO33 - MountPoints2\H\Shell - "" = AutoRunO33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\AutoRun.exeC:\Users\andrzej\AppData\Local\Loc.Mail.Bron.TokC:\Users\andrzej\AppData\Local\Bron.tok-12-29C:\Users\andrzej\AppData\Local\Bron.tok.A12.em.binC:\Users\andrzej\AppData\Local\Update.12.Bron.Tok.bin :Commands[emptytemp] Kliknij "Wykonaj skrypt" Wykonaj nowe logi z OTL i FRST ( każdy generuje po 2 logi ) Odnośnik do komentarza
Gwiazdoor Opublikowano 29 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2013 OTL - http://wklej.org/id/1192150/ OTL 2 - http://wklej.org/id/1192153/ FRST - http://wklej.org/id/1192158/ FRST 2 - http://wklej.org/id/1192159/ Odnośnik do komentarza
jessica Opublikowano 29 Listopada 2013 Zgłoś Udostępnij Opublikowano 29 Listopada 2013 Widzę, że i tak czekasz tu całymi godzinami na odpowiedź @muzyk75, więc radzę w tym czasie przeskanować komputer przy pomocy MBAM - bo i tak w końcu będziesz musiał go użyć. Na końcu kliknij na Usuń zaznaczone.Podaj z tego raport. Infekcja oczywiście jest nadal widoczna w logach. Jeśli zdecydujesz się użyć MBAM, to potem trzeba by było zrobić nowe logi, bo dotychczasowe staną się nieaktualne. jessi Odnośnik do komentarza
Gwiazdoor Opublikowano 29 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2013 Już pobieram i wykonam zadanie i zaraz wkleję raport i nowe logi. Dziękuję również za zainteresowanie, nie ukrywam że zależy mi troszkę na czasie by laptopa przywrócić do normalności bo nawet bateria przez to gorzej trzyma... Odnośnik do komentarza
muzyk75 Opublikowano 29 Listopada 2013 Zgłoś Udostępnij Opublikowano 29 Listopada 2013 Uruchom OTL --> "Własne opcje skanowania / skrypt" i wklej: :OTLO3 - HKU\S-1-5-21-3860880664-153159536-4232509640-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.C:\Users\andrzej\AppData\Local\iPQC:\Users\andrzej\AppData\Local\Loc.Mail.Bron.TokC:\Users\andrzej\AppData\Local\Ok-SendMail-Bron-tokC:\Users\andrzej\AppData\Local\Bron.tok-12-29C:\Users\andrzej\AppData\Local\Bron.tok.A12.em.bin:Commands[emptytemp] Kliknij "Wykonaj skrypt" Otwórz notatnik i wklej: C:\Users\andrzej\AppData\Local\Kosong.Bron.Tok.txt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Usuń to: C:\Users\andrzej\Downloads\VuuPC_Setup.exe i VuuPC_Setup (1).exe Zanim zrobisz skan MBAM pobierz i wykonaj: Pobierz RogueKiller by Tigzy: "Dział pomocy doraźnej"-->"Dezynfekcja: zbiór narzędzi usuwających"-->"Pobierz" . Po uruchomieniu kliknij "skanuj" , po zakończeniu skanu "usuń" -->następnie "Napraw Hosts" Tak jak napisała Jessi załącz nowe logi z OTL i FRST. Odnośnik do komentarza
Gwiazdoor Opublikowano 29 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2013 Uffff w końcu to ogarnąłem... Podziwiam was naprawdę. Przepraszam że tak długo ale troszkę czasu to zajmuje... FRST - http://wklej.org/id/1192382/ FRST 2 - http://wklej.org/id/1192384/ OTL - http://wklej.org/id/1192385/ OTL 2 - http://wklej.org/id/1192386/ MBAM - http://wklej.org/id/1192389/ Odnośnik do komentarza
muzyk75 Opublikowano 29 Listopada 2013 Zgłoś Udostępnij Opublikowano 29 Listopada 2013 Wygląda tak jakby nic nie zostało usunięte. Pokaż log który został wygenerowany po wykonaniu skryptu OTL i FRST. Odnośnik do komentarza
Gwiazdoor Opublikowano 29 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 29 Listopada 2013 Z OTL jest podany po wykonaniu skryptu. z FRST - http://wklej.org/id/1192410/ Dodam że przed przeczytaniem tamtego wcześniejszego posta wykonałem już skan MBAM i usunąłem wszystko co mi pokazał. Potem wykonałem kroki które kolega podał włącznie z wykonaniem jeszcze raz na końcu MBAM. Tutaj wcześniejszy skan MBAM - http://wklej.org/id/1192415/ No i niestety to ustrojstwo Tok-Cirrhatus nadal jest w autostarcie ;( Zrobił reinstal systemu ale mam ważne dane na których mi zależy a mam tylko jedną partycję. Jak tylko to naprawię podzielę dysk na dwie. Odnośnik do komentarza
muzyk75 Opublikowano 29 Listopada 2013 Zgłoś Udostępnij Opublikowano 29 Listopada 2013 Uruchom w Trybie awaryjnym z obsługą Wiersza poleceń (nie ładuje się powłoka graficzna do której jest dopisany Brontok). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL:FilesC:\Users\andrzej\AppData\Local\Loc.Mail.Bron.TokC:\Users\andrzej\AppData\Local\Ok-SendMail-Bron-tokC:\Users\andrzej\AppData\Local\Bron.tok-12-29C:\Users\andrzej\AppData\Local\Bron.tok.A12.em.binC:\Users\andrzej\AppData\Local\Update.12.Bron.Tok.binC:\Users\andrzej\AppData\Local\iPQC:\Users\andrzej\AppData\Local\*Bron*C:\Users\andrzej\AppData\Local\*.exe:Commands[emptytemp] Kliknij "Wykonaj skrypt" - reset komputera. Przeskanuj w tym trybie MBAM. Załącz logi z OTL i FRST Odnośnik do komentarza
jessica Opublikowano 30 Listopada 2013 Zgłoś Udostępnij Opublikowano 30 Listopada 2013 Dodam tylko, że przed robieniem logu z OTL podepnij zarażonego pendrive'a, i oprócz normalnych ustawień, dodaj jeszcze jedno:W pole Własne opcje skanowania/Scrypt wklej: type C:\autorun.inf /C type D:\autorun.inf /Ctype E:\autorun.inf /C i dopiero wtedy kliknij Skanuj. jessi Odnośnik do komentarza
Gwiazdoor Opublikowano 30 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2013 MBAM w trybie awaryjnym - http://wklej.org/id/1192535/ OTL po wykonaniu skryptu tryb awaryjny - http://wklej.org/id/1192536/ OTL - W normalnym trybie - http://wklej.org/id/1192540/ FRST w trybie normalnym - http://wklej.org/id/1192541/ FRST 2 w trybie normalnym - http://wklej.org/id/1192542/ Na końcu wykonałem jeszcze zalecenia koleżanki / kolegi wyżej z użyciem skryptu: OTL. http://wklej.org/id/1192735/ Odnośnik do komentarza
muzyk75 Opublikowano 30 Listopada 2013 Zgłoś Udostępnij Opublikowano 30 Listopada 2013 Wykonaj w podanej kolejności: Usuń te foldery ręcznie z dysku: C:\Users\andrzej\AppData\Local\Update.12.Bron.Tok.binC:\Users\andrzej\AppData\Local\Bron.tok-12-30 Opróżnij folder przywracania systemu: KLIK Reset komputera. Wykonaj nowy log z OTL. Odnośnik do komentarza
Gwiazdoor Opublikowano 30 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2013 Wykonane wedle zaleceń: OTL - http://wklej.org/id/1192849/ Odnośnik do komentarza
jessica Opublikowano 30 Listopada 2013 Zgłoś Udostępnij Opublikowano 30 Listopada 2013 Ze skanu z dodatkowym ustawieniem, które zaleciłam, jasno wynika, że pliki "autorun.inf" należą do infekcji BRONTOK!.1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: :OTLO32 - AutoRun File - [2013-11-29 16:26:56 | 000,000,317 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2013-11-29 16:26:56 | 000,000,475 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2013-11-29 16:26:58 | 000,000,261 | RHS- | M] () - E:\autorun.inf -- [ FAT32 ]:Reg[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"=-[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"=-[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"=-[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"=-[HKEY_USERS\S-1-5-21-3860880664-153159536-4232509640-1000\Software\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"=-[-HKEY_USERS\S-1-5-21-3860880664-153159536-4232509640-1000\Software\Microsoft\Internet Explorer\SearchScopes\{8FBB6D14-DF62-4B5D-8B3D-039FDB78B04E}]:Commands[emptytemp] Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem. 2) Zrób log z USBFixKliknij w nim na: LISTING. jessi Odnośnik do komentarza
Gwiazdoor Opublikowano 1 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 1 Grudnia 2013 OTL po wykonaniu skryptu: http://wklej.org/id/1193515/ OTL - http://wklej.org/id/1193524/ USBFix LISTING - http://wklej.org/id/1193527/ Odnośnik do komentarza
jessica Opublikowano 1 Grudnia 2013 Zgłoś Udostępnij Opublikowano 1 Grudnia 2013 Pen "G" jest pusty? USBFix nic na nim nie widzi. Ale na "D" i na "E" są pliki infekcji. Usuniemy je: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: :Filesnetsh advfirewall reset /Cvndh.exe /alldrivesnrdhp.pif /alldrives:Reg[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] /64"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}":Commands[emptytemp] Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowy log z USBFix LISTING. jessi Odnośnik do komentarza
Gwiazdoor Opublikowano 1 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 1 Grudnia 2013 Tak Pendrive G sformatowałem jakiś czas wcześniej, bo był na nim też ten wirus a nie miałem tam nic potrzebnego był on użyty tylko w celu przeniesienia potrzebnych programów z komputera na laptopa. OTL - http://wklej.org/id/1193639/ USBFix - http://wklej.org/id/1193641/ Odnośnik do komentarza
jessica Opublikowano 1 Grudnia 2013 Zgłoś Udostępnij Opublikowano 1 Grudnia 2013 Teraz powinno już być OK. Teraz pozostaje Ci tylko czekać na ostateczną ocenę @Picasso (prawdopodobnie zacznie znów pomagać od poniedziałku, ale nie wiadomo, kiedy zajrzy do Twego tematu - ma zaległe tematy od września!). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. W USBFix kliknij na przycisk UNINSTALL. Rogue Killer - usuń ręcznie. OTL i FRST -na razie niech jeszcze zostaną, może @Picasso jeszcze coś zaleci do nich. jessi Odnośnik do komentarza
Gwiazdoor Opublikowano 1 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 1 Grudnia 2013 Dziękuję bardzo Koledze i Koleżance za pomoc. Mi wygląda wszystko OK, Laptop się nie resetuje nie grzeje się już tak bardzo więc na razie jest dobrze. Będę monitorował sytuację czy ktoś jeszcze coś odpowie w wątku. Mam nadzieje że to ustrojstwo już nie wróci na Laptopa. Jeszcze raz wielkie dzięki i szacunek dla was z umiejętność analizy na odległość i skuteczne działanie. Odnośnik do komentarza
muzyk75 Opublikowano 1 Grudnia 2013 Zgłoś Udostępnij Opublikowano 1 Grudnia 2013 RogueKiller by Tigzy: zresetuj plik hosts --> kliknij "Napraw Hosts" Odnośnik do komentarza
Gwiazdoor Opublikowano 1 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 1 Grudnia 2013 Wykonałem naprawę hosts Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się