vinzz Opublikowano 7 Lutego 2014 Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Witam, Mam problem z laptopem już od dłuższego czasu, dotyczy to właśnie infekcji Brontok (zielona strona startowa podczas otwierania przeglądarki). Również od jakiegoś czasu laptop sam się restartuje (jest to bardzo nieregularne, np 3 raz pod rząd a następnie pracuje normalnie przez godzinę). Błąd, który się ukazuje dotyczy pliku csc.exe ale bardzo szybko znika i nie jestem w stanie odczytać reszty komunikatu. Chciałbym się jeszcze upewnić czy czynności dezinfekcyjne nie usuną jakichś nie pożądanych plików ponieważ mam na laptopie bardzo ważne dla mnie zdjęcia, które są mi potrzebne na uczelni. Załączam wymagane logi i dzięki za jakąkolwiek pomoc. GMER.txt OTL.Txt Extras.Txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2014 Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Prócz śladów infekcji Brontok jest też multum instalacji adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (Microsoft Corporation) C:\Windows\SysWOW64\schtasks.exe () C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe () C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () HKLM-x32\...\Run: [bron-Spizaetus] - C:\Windows\ShellNew\sempalong.exe [42713 2010-12-16] () HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [42713 ] () AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\loader.dll [1958880 2013-11-18] () AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => File Not Found AppInit_DLLs-x32: c:\progra~3\bitguard\271832~1.68\{c16c1~1\bitguard.dll => C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.dll [3618304 2013-11-18] () R2 BitGuard; C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [3780064 2013-11-18] () S3 ALSysIO; \??\C:\Users\user\AppData\Local\Temp\ALSysIO64.sys [X] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.holasearch.com/?babsrc=HP_ss&mntrId=7A58CCAF780AE8E1&affID=121962&tsp=4937 HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://search.conduit.com?searchsource=10&ctid=ct2786678 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.holasearch.com/?babsrc=HP_ss&mntrId=7A58CCAF780AE8E1&affID=121962&tsp=4937 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.bigseekpro.com/hitboxskins/{A41B2787-0FB1-4F81-998E-885346E6EFB6} URLSearchHook: HKLM-x32 - uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.) URLSearchHook: ATTENTION ==> Default URLSearchHook is missing. URLSearchHook: HKCU - uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.) URLSearchHook: HKCU - (No Name) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No File URLSearchHook: HKCU - ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files (x86)\DealBulldog Toolbar Toolbar\tbhelper.dll () StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={2034CCF6-3073-4523-9585-C1857512142A} SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029 SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={2034CCF6-3073-4523-9585-C1857512142A} SearchScopes: HKCU - DefaultScope {82A3B5C1-6CC4-4E6A-8FE3-475F17590621} URL = http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=969 SearchScopes: HKCU - ToolbarSearchProviderProgress {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&babsrc=SP_ss_Btisdt6&mntrId=7A58CCAF780AE8E1&affID=121962&tsp=4937 SearchScopes: HKCU - {82A3B5C1-6CC4-4E6A-8FE3-475F17590621} URL = http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=969 SearchScopes: HKCU - {96bd48dd-741b-41ae-ac4a-aff96ba00f7e} URL = http://www.bigseekpro.com/search/browser/hitboxskins/{A41B2787-0FB1-4F81-998E-885346E6EFB6}?q={searchTerms} SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029 SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={2034CCF6-3073-4523-9585-C1857512142A} BHO-x32: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) BHO-x32: uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.) BHO-x32: holasearch Helper Object - {DFF9B2DA-EF99-4B26-83CB-7058299999D8} - C:\Program Files (x86)\holasearch\holasearch\1.8.16.16\bh\holasearch.dll (holasearch.com) BHO-x32: Softonic Helper Object - {E87806B5-E908-45FD-AF5E-957D83E58E68} - C:\Program Files (x86)\Softonic\Softonic\1.6.4.3\bh\Softonic.dll (Softonic.com) BHO-x32: SMTTB2009 Class - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files (x86)\DealBulldog Toolbar Toolbar\tbcore3.dll () Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File Toolbar: HKLM-x32 - uTorrentBar Toolbar - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\prxtbuTo0.dll (Conduit Ltd.) Toolbar: HKLM-x32 - Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) Toolbar: HKLM-x32 - Softonic Toolbar - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - C:\Program Files (x86)\Softonic\Softonic\1.6.4.3\SoftonicTlbr.dll (Softonic.com) Toolbar: HKLM-x32 - DealBulldog Toolbar Toolbar - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files (x86)\DealBulldog Toolbar Toolbar\tbcore3.dll () Toolbar: HKLM-x32 - Holasearch Toolbar - {C510DFFB-0AFE-484C-BA40-CED5B74C4EEF} - C:\Program Files (x86)\holasearch\holasearch\1.8.16.16\holasearchTlbr.dll (holasearch.com) Toolbar: HKCU - No Name - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No File Toolbar: HKCU - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File CHR HKLM-x32\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\user\AppData\Local\Temp\crxFB05.tmp [2012-05-07] CHR HKLM-x32\...\Chrome\Extension: [clbfjfbnelcflpgpklppgplejolacbej] - C:\Program Files (x86)\BrowserCompanion\blabbers-ch.crx [2012-05-07] CHR HKLM-x32\...\Chrome\Extension: [fagpjgjmoaccgkkpjeoinehnoaimnbla] - C:\Users\user\AppData\Roaming\BabSolution\CR\hola.crx [2012-05-07] CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-11-26] CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx [2012-11-26] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {3A32E8BA-0B71-48ED-BB56-46940619D290} - System32\Tasks\EPUpdater => C:\Users\user\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe Task: {69A63D26-A5FD-4C2D-917D-31B136A1C1D7} - \AdobeFlashPlayerUpdate 2 No Task File Task: {8E452DC4-DFF4-4D27-9571-90D5D64E11F7} - System32\Tasks\{7EF298BB-E547-430B-AE9B-8EB80CEE391F} => c:\program files (x86)\opera\opera.exe [2013-01-09] (Opera Software) Task: {C812267C-13E4-4F36-A7DD-DFE373F72643} - System32\Tasks\{85C5BBB9-063D-4993-A011-BD9F28334E76} => c:\program files (x86)\opera\opera.exe [2013-01-09] (Opera Software) Task: {D624FF8D-4172-486B-8019-E52519D5BD7F} - \AdobeFlashPlayerUpdate No Task File Task: {F3EFE6CA-8F6D-48DE-A5B2-2AECDA005759} - System32\Tasks\{E2ED738F-889B-41FD-AAE9-4C0AEB157988} => c:\program files (x86)\opera\opera.exe [2013-01-09] (Opera Software) C:\Windows\eksplorasi.exe C:\Windows\ShellNew\sempalong.exe C:\Users\user\AppData\Local\*.exe C:\Users\user\AppData\Local\Update.12.Bron.Tok.bin C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\External Extensions C:\Users\user\AppData\Roaming\PerformerSoft C:\Program Files (x86)\DAEMON Tools Toolbar CMD: for /d %f in (C:\Users\user\AppData\Local\*Bron*) do rd /s /q "%f" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: BitGuard, BrowserCompanion, Conduit Engine, DealBulldog Toolbar Toolbar, Deinstalator Strony V9, holasearch toolbar, Internet Explorer Toolbar 4.6 by SweetPacks, McAfee Security Scan Plus, Softonic toolbar on IE, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, uTorrentBar Toolbar. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj wszystko czego nie znasz lub co pasuje do w/w listy. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomylne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Uruchom narzędzie Fix-it resetujące plik HOSTS: KLIK. 7. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
vinzz Opublikowano 7 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Witam, Zastosowałem się do podanych przez Ciebie czynności. Adware chyba udało się wszystkie odinstalować. Załączam wymagane logi (dwa logi z AdwCleaner ponieważ nie wiedziałem, który mam wybrać). Fixlog.txt AdwCleanerR0.txt AdwCleanerS0.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2014 Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Ten log Addition jest ... obcięty (całej góry z zainstalowanymi programami nie ma). Brontok i adware pomyślnie usunięte w zakresie widocznym, infekcje nie są już czynne, lecz tu nie koniec akcji. Zostały poprawki i uzupełnienia (z pośpiechu obcięłam fragment kodu i nie przetworzyło kilku wpisów). Akcja: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\v9Soft C:\Users\user\AppData\Local\Google\Chrome\Application\plugins\npMcAfeeSRPlgn.dll HKU\S-1-5-21-1271186975-1988078534-1357833348-1000\...\Run: [Tok-Cirrhatus] - "C:\Users\user\AppData\Local\smss.exe" HKU\S-1-5-21-1271186975-1988078534-1357833348-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-1271186975-1988078534-1357833348-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-1271186975-1988078534-1357833348-1000\...\Policies\Explorer: [NoFolderOptions] 1 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Powtórz reset wtyczek Google Chrome przy udziale chrome://plugins. 3. Zrób nowy skan FRST z zaznaczonym polem Addition. Dołącz plik fixlog.txt. . Odnośnik do komentarza
vinzz Opublikowano 7 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Wszystko wykonane zgodnie ze wskazówkami. Niestety dalej gdy włączam Operę widoczna jest infekcja (oraz otwarte jest ok 20 zakładek, jak zacznę je zamykać otwierają się kolejne i tak w kółko). Logi w załącznikach. Posiadam również zainfekowaną kartę SD, z której po infekcji zniknęły zdjęcia. Czy jest szansa na usunięcie infekcji i odzyskanie tych zdjęć ? Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2014 Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Skrypt pomyślnie wykonany, ale reset wtyczek Google Chrome nie wygląda na wykonany. Niestety dalej gdy włączam Operę widoczna jest infekcja (oraz otwarte jest ok 20 zakładek, jak zacznę je zamykać otwierają się kolejne i tak w kółko). Wg logów Brontok jest usunięty (infekcja nie jest czynna), na dysku mogą być jeszcze dodatkowe pliki tej infekcji (nie obejmowane zakresem logów) replikujące w nazwach foldery, ale one (o ile są) nie mają związku z efektem. Pod kątem tych plików będzie póżniej skan. To co opisujesz wygląda na przywracanie w kółko poprzedniej sesji Opery. Zacznij od wyczyszczenia sesji i historii Opery, by start Opery odbywał się "na świeżo". Posiadam również zainfekowaną kartę SD, z której po infekcji zniknęły zdjęcia. Czy jest szansa na usunięcie infekcji i odzyskanie tych zdjęć ? Owo "zniknięcie" to może być prosty trik socjotechniczny, czyli ukrycie danych przez atrybuty HS ("ukryty systemowy"), co powoduje, że są widoczne tylko po odznaczeniu opcji Ukryj chronione pliki systemu operacyjnego w Opcjach folderów. A jako że ta opcja jest domyślnie zaznaczona na wszystkich Windows + istnieje druga opcja widokowa "Pokaż ukryte pliki i foldery", użytkownicy zwykle ją pomijają, sądząc że to "Pokaż ukryte pliki i foldery" pokazuje im wszystko, i myślą iż dane "zniknęły" trwale. I by stwierdzić co jest na urządzeniu, należy podać log USBFix z opcji Listing zrobiony przy podpiętej karcie. . Odnośnik do komentarza
vinzz Opublikowano 7 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Wskazówki co do Opery pomogły. Reset wtyczek Google zrobiłem, więc dziwne, że tego nie widać. Log z USBFix załączam w załączniku. Zależało by mi na tym, żeby usunąć infekcję (jeśli taka występuje) również z karty SD i odzyskać usunięte zdjęcia. Bardzo dziękuje i naprawdę jestem wdzięczny za dotychczasową pomoc Chciałbym się jeszcze dowiedzieć czy z tą karta SD coś jeszcze można zrobić (tzn czy log pokazuje na niej jakieś infekcje ?) ? oraz czy jak chodzi o laptopa czy to już koniec czy jeszcze jakieś kroki trzeba podjąć ? UsbFix Listing 1 USER-KOMPUTER.txt Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2014 Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Reset wtyczek Google zrobiłem, więc dziwne, że tego nie widać. Po resecie wtyczek powinien zniknąć pusty wpis wtyczki McAfee, log nadal go pokazuje: CHR Plugin: (McAfeeScanAndRepair) - C:\Users\user\AppData\Local\Google\Chrome\Application\plugins\npMcAfeeSRPlgn.dll No File czy jak chodzi o laptopa czy to już koniec czy jeszcze jakieś kroki trzeba podjąć ? Tu jeszcze nie koniec działań, ale dalsze kroki podam po diagnostyce urządzenia zewnętrznego: Chciałbym się jeszcze dowiedzieć czy z tą karta SD coś jeszcze można zrobić (tzn czy log pokazuje na niej jakieś infekcje ?) ? oraz czy jak chodzi o laptopa czy to już koniec czy jeszcze jakieś kroki trzeba podjąć ? Infekcji nie widać w rozumieniu plików leżących bezpośrednio na karcie. Nie widać także zaginionych danych, tylko luźne pliki graficzne. Nie wygląda na to, by tu problemem była infekcja, raczej wygląda na uszkodzenie struktury plików, bo na karcie jest folder E:\FOUND.000, czyli folder wadliwych danych odcinanych przez narzędzie checkdisk. W takim przypadku odzysk danych to już programy dedykowane zadaniu. Jeszcze na wszelki wypadek podaj skan na zawartość folderu E:\.Trashes (Kosz karty). Otwórz Notatnik i wklej w nim: Folder: E:\.Trashes Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się