Skocz do zawartości

Infekcja Brontok.A[10]


Rekomendowane odpowiedzi

Witam,

 

Mam problem z laptopem już od dłuższego czasu, dotyczy to właśnie infekcji Brontok (zielona strona startowa podczas otwierania przeglądarki). Również od jakiegoś czasu laptop sam się restartuje (jest to bardzo nieregularne, np 3 raz pod rząd a następnie pracuje normalnie przez godzinę). Błąd, który się ukazuje dotyczy pliku csc.exe ale bardzo szybko znika i nie jestem w stanie odczytać reszty komunikatu. Chciałbym się jeszcze upewnić czy czynności dezinfekcyjne nie usuną jakichś nie pożądanych plików ponieważ mam na laptopie bardzo ważne dla mnie zdjęcia, które są mi potrzebne na uczelni. Załączam wymagane logi i dzięki za jakąkolwiek pomoc.

GMER.txt

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Prócz śladów infekcji Brontok jest też multum instalacji adware. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

(Microsoft Corporation) C:\Windows\SysWOW64\schtasks.exe
() C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe
() C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
HKLM-x32\...\Run: [bron-Spizaetus] - C:\Windows\ShellNew\sempalong.exe [42713 2010-12-16] ()
HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [42713 ] () 
AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\loader.dll [1958880 2013-11-18] ()
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => File Not Found
AppInit_DLLs-x32: c:\progra~3\bitguard\271832~1.68\{c16c1~1\bitguard.dll => C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.dll [3618304 2013-11-18] ()
R2 BitGuard; C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [3780064 2013-11-18] ()
S3 ALSysIO; \??\C:\Users\user\AppData\Local\Temp\ALSysIO64.sys [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.holasearch.com/?babsrc=HP_ss&mntrId=7A58CCAF780AE8E1&affID=121962&tsp=4937
HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://search.conduit.com?searchsource=10&ctid=ct2786678
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.holasearch.com/?babsrc=HP_ss&mntrId=7A58CCAF780AE8E1&affID=121962&tsp=4937
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/hitboxskins/{A41B2787-0FB1-4F81-998E-885346E6EFB6}
URLSearchHook: HKLM-x32 - uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.)
URLSearchHook: ATTENTION ==> Default URLSearchHook is missing.
URLSearchHook: HKCU - uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.)
URLSearchHook: HKCU - (No Name) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No File
URLSearchHook: HKCU - ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files (x86)\DealBulldog Toolbar Toolbar\tbhelper.dll ()
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={2034CCF6-3073-4523-9585-C1857512142A}
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={2034CCF6-3073-4523-9585-C1857512142A}
SearchScopes: HKCU - DefaultScope {82A3B5C1-6CC4-4E6A-8FE3-475F17590621} URL = http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=969
SearchScopes: HKCU - ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e}
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&babsrc=SP_ss_Btisdt6&mntrId=7A58CCAF780AE8E1&affID=121962&tsp=4937
SearchScopes: HKCU - {82A3B5C1-6CC4-4E6A-8FE3-475F17590621} URL = http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=969
SearchScopes: HKCU - {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} URL = http://www.bigseekpro.com/search/browser/hitboxskins/{A41B2787-0FB1-4F81-998E-885346E6EFB6}?q={searchTerms}
SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms}
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={2034CCF6-3073-4523-9585-C1857512142A}
BHO-x32: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
BHO-x32: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.)
BHO-x32: holasearch Helper Object - {DFF9B2DA-EF99-4B26-83CB-7058299999D8} - C:\Program Files (x86)\holasearch\holasearch\1.8.16.16\bh\holasearch.dll (holasearch.com)
BHO-x32: Softonic Helper Object - {E87806B5-E908-45FD-AF5E-957D83E58E68} - C:\Program Files (x86)\Softonic\Softonic\1.6.4.3\bh\Softonic.dll (Softonic.com)
BHO-x32: SMTTB2009 Class - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files (x86)\DealBulldog Toolbar Toolbar\tbcore3.dll ()
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
Toolbar: HKLM-x32 - uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.)
Toolbar: HKLM-x32 - Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
Toolbar: HKLM-x32 - Softonic Toolbar - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - C:\Program Files (x86)\Softonic\Softonic\1.6.4.3\SoftonicTlbr.dll (Softonic.com)
Toolbar: HKLM-x32 - DealBulldog Toolbar Toolbar - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files (x86)\DealBulldog Toolbar Toolbar\tbcore3.dll ()
Toolbar: HKLM-x32 - Holasearch Toolbar - {C510DFFB-0AFE-484C-BA40-CED5B74C4EEF} - C:\Program Files (x86)\holasearch\holasearch\1.8.16.16\holasearchTlbr.dll (holasearch.com)
Toolbar: HKCU - No Name - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No File
Toolbar: HKCU - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
CHR HKLM-x32\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\user\AppData\Local\Temp\crxFB05.tmp [2012-05-07]
CHR HKLM-x32\...\Chrome\Extension: [clbfjfbnelcflpgpklppgplejolacbej] - C:\Program Files (x86)\BrowserCompanion\blabbers-ch.crx [2012-05-07]
CHR HKLM-x32\...\Chrome\Extension: [fagpjgjmoaccgkkpjeoinehnoaimnbla] - C:\Users\user\AppData\Roaming\BabSolution\CR\hola.crx [2012-05-07]
CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-11-26]
CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx [2012-11-26]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
Task: {3A32E8BA-0B71-48ED-BB56-46940619D290} - System32\Tasks\EPUpdater => C:\Users\user\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe 
Task: {69A63D26-A5FD-4C2D-917D-31B136A1C1D7} - \AdobeFlashPlayerUpdate 2 No Task File
Task: {8E452DC4-DFF4-4D27-9571-90D5D64E11F7} - System32\Tasks\{7EF298BB-E547-430B-AE9B-8EB80CEE391F} => c:\program files (x86)\opera\opera.exe [2013-01-09] (Opera Software)
Task: {C812267C-13E4-4F36-A7DD-DFE373F72643} - System32\Tasks\{85C5BBB9-063D-4993-A011-BD9F28334E76} => c:\program files (x86)\opera\opera.exe [2013-01-09] (Opera Software)
Task: {D624FF8D-4172-486B-8019-E52519D5BD7F} - \AdobeFlashPlayerUpdate No Task File
Task: {F3EFE6CA-8F6D-48DE-A5B2-2AECDA005759} - System32\Tasks\{E2ED738F-889B-41FD-AAE9-4C0AEB157988} => c:\program files (x86)\opera\opera.exe [2013-01-09] (Opera Software)
C:\Windows\eksplorasi.exe
C:\Windows\ShellNew\sempalong.exe
C:\Users\user\AppData\Local\*.exe
C:\Users\user\AppData\Local\Update.12.Bron.Tok.bin
C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\External Extensions
C:\Users\user\AppData\Roaming\PerformerSoft
C:\Program Files (x86)\DAEMON Tools Toolbar
CMD: for /d %f in (C:\Users\user\AppData\Local\*Bron*) do rd /s /q "%f"
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware:

 

BitGuard, BrowserCompanion, Conduit Engine, DealBulldog Toolbar Toolbar, Deinstalator Strony V9, holasearch toolbar, Internet Explorer Toolbar 4.6 by SweetPacks, McAfee Security Scan Plus, Softonic toolbar on IE, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, uTorrentBar Toolbar.

 

3. Wyczyść Google Chrome:

  • Ustawienia > karta Rozszerzenia > odinstaluj wszystko czego nie znasz lub co pasuje do w/w listy.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomylne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Uruchom narzędzie Fix-it resetujące plik HOSTS: KLIK.

 

7. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Ten log Addition jest ... obcięty (całej góry z zainstalowanymi programami nie ma). Brontok i adware pomyślnie usunięte w zakresie widocznym, infekcje nie są już czynne, lecz tu nie koniec akcji. Zostały poprawki i uzupełnienia (z pośpiechu obcięłam fragment kodu i nie przetworzyło kilku wpisów). Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Program Files (x86)\v9Soft
C:\Users\user\AppData\Local\Google\Chrome\Application\plugins\npMcAfeeSRPlgn.dll
HKU\S-1-5-21-1271186975-1988078534-1357833348-1000\...\Run: [Tok-Cirrhatus] - "C:\Users\user\AppData\Local\smss.exe"
HKU\S-1-5-21-1271186975-1988078534-1357833348-1000\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-1271186975-1988078534-1357833348-1000\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-1271186975-1988078534-1357833348-1000\...\Policies\Explorer: [NoFolderOptions] 1
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Powtórz reset wtyczek Google Chrome przy udziale chrome://plugins.

 

3. Zrób nowy skan FRST z zaznaczonym polem Addition. Dołącz plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Wszystko wykonane zgodnie ze wskazówkami. Niestety dalej gdy włączam Operę widoczna jest infekcja (oraz otwarte jest ok 20 zakładek, jak zacznę je zamykać otwierają się kolejne i tak w kółko). Logi w załącznikach. Posiadam również zainfekowaną kartę SD, z której po infekcji zniknęły zdjęcia. Czy jest szansa na usunięcie infekcji i odzyskanie tych zdjęć ?

Addition.txt

Fixlog.txt

FRST.txt

Odnośnik do komentarza

Skrypt pomyślnie wykonany, ale reset wtyczek Google Chrome nie wygląda na wykonany.

 

 

Niestety dalej gdy włączam Operę widoczna jest infekcja (oraz otwarte jest ok 20 zakładek, jak zacznę je zamykać otwierają się kolejne i tak w kółko).

Wg logów Brontok jest usunięty (infekcja nie jest czynna), na dysku mogą być jeszcze dodatkowe pliki tej infekcji (nie obejmowane zakresem logów) replikujące w nazwach foldery, ale one (o ile są) nie mają związku z efektem. Pod kątem tych plików będzie póżniej skan. To co opisujesz wygląda na przywracanie w kółko poprzedniej sesji Opery. Zacznij od wyczyszczenia sesji i historii Opery, by start Opery odbywał się "na świeżo".

 

 

Posiadam również zainfekowaną kartę SD, z której po infekcji zniknęły zdjęcia. Czy jest szansa na usunięcie infekcji i odzyskanie tych zdjęć ?

Owo "zniknięcie" to może być prosty trik socjotechniczny, czyli ukrycie danych przez atrybuty HS ("ukryty systemowy"), co powoduje, że są widoczne tylko po odznaczeniu opcji Ukryj chronione pliki systemu operacyjnego w Opcjach folderów. A jako że ta opcja jest domyślnie zaznaczona na wszystkich Windows + istnieje druga opcja widokowa "Pokaż ukryte pliki i foldery", użytkownicy zwykle ją pomijają, sądząc że to "Pokaż ukryte pliki i foldery" pokazuje im wszystko, i myślą iż dane "zniknęły" trwale.

I by stwierdzić co jest na urządzeniu, należy podać log USBFix z opcji Listing zrobiony przy podpiętej karcie.

 

 

 

 

.

Odnośnik do komentarza

Wskazówki co do Opery pomogły. Reset wtyczek Google zrobiłem, więc dziwne, że tego nie widać. Log z USBFix załączam w załączniku. Zależało by mi na tym, żeby usunąć infekcję (jeśli taka występuje) również z karty SD i odzyskać usunięte zdjęcia. Bardzo dziękuje i naprawdę jestem wdzięczny za dotychczasową pomoc :)

 

Chciałbym się jeszcze dowiedzieć czy z tą karta SD coś jeszcze można zrobić (tzn czy log pokazuje na niej jakieś infekcje ?) ? oraz czy jak chodzi o laptopa czy to już koniec czy jeszcze jakieś kroki trzeba podjąć ?

UsbFix Listing 1 USER-KOMPUTER.txt

Odnośnik do komentarza

Reset wtyczek Google zrobiłem, więc dziwne, że tego nie widać.

Po resecie wtyczek powinien zniknąć pusty wpis wtyczki McAfee, log nadal go pokazuje:

 

CHR Plugin: (McAfeeScanAndRepair) - C:\Users\user\AppData\Local\Google\Chrome\Application\plugins\npMcAfeeSRPlgn.dll No File

 

 

czy jak chodzi o laptopa czy to już koniec czy jeszcze jakieś kroki trzeba podjąć ?

Tu jeszcze nie koniec działań, ale dalsze kroki podam po diagnostyce urządzenia zewnętrznego:

 

 

Chciałbym się jeszcze dowiedzieć czy z tą karta SD coś jeszcze można zrobić (tzn czy log pokazuje na niej jakieś infekcje ?) ? oraz czy jak chodzi o laptopa czy to już koniec czy jeszcze jakieś kroki trzeba podjąć ?

Infekcji nie widać w rozumieniu plików leżących bezpośrednio na karcie. Nie widać także zaginionych danych, tylko luźne pliki graficzne. Nie wygląda na to, by tu problemem była infekcja, raczej wygląda na uszkodzenie struktury plików, bo na karcie jest folder E:\FOUND.000, czyli folder wadliwych danych odcinanych przez narzędzie checkdisk. W takim przypadku odzysk danych to już programy dedykowane zadaniu. Jeszcze na wszelki wypadek podaj skan na zawartość folderu E:\.Trashes (Kosz karty). Otwórz Notatnik i wklej w nim:

 

Folder: E:\.Trashes

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...