Bron Spizaetus/Tok-Cirrhatus Deinstalacja

[Kynane]

Mam problem z wyżej wymienionymi nieproszonymi gośćmi na moim PC. Posiadam system 64bitowy. Zapewne jak większość ich ofiar dowiedziałem się o ich istnieniu po odwiedzeniu autouruchamiania w msconfig.

 

Problem z nimi jest na tyle uciążliwy, ze zdecydowałem się w końcu prosić o pomoc. Pierwszym przejawem ich obecności było zablokowanie mi dostępu do edytora rejestru pod komunikatem zablokowania go przez administratora sieci. Inne objawy to braki w przesyłaniu danych w sieci czy nawet dostępu do internetu mimo iż inne programy, takowego dostępu wymagające wciąż działają oraz brak odpowiedzi niektórych aplikacji. Dzieje się to w ten sposób, ze np. Korzystając z przeglądarki przestaje ona działać, a zaraz wszystko teoretycznie wraca do normy. To samo dzieje się przy oglądaniu jakiegoś filmu. Choć i to nie zawsze.

 

Próbowałem je usuwać za pomocą ESET online scanner, ale w połowie skanowania cały komputer odmawia współpracy. Jedyne co zrobiłem poza tym to wyłączyłem je w wcześniej wspomnianym autouruchamianiu.

 

Liczę na waszą pomoc.

Pozdrawiam.

OTL.Txt

Extras.Txt

Addition.txt

FRST.txt

[picasso]

Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [42687 ] () 
HKU\S-1-5-21-3316585062-3970624614-868040292-1001\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-3316585062-3970624614-868040292-1001\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-3316585062-3970624614-868040292-1001\...\Policies\Explorer: [NoFolderOptions] 1
CMD: for /d %f in (C:\Users\Mateusz\AppData\Local\*Bron*) do rd /s /q "%f"
C:\Windows\eksplorasi.exe
C:\Users\Mateusz\AppData\Local\*.exe
C:\Users\Mateusz\AppData\Local\*.txt
C:\Users\Mateusz\AppData\Local\*Bron*
C:\Users\Mateusz\AppData\Roaming\mozilla
C:\Users\Mateusz\Downloads\65044c197af55b5f827e7245ea635d42
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg query "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig" /s

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Uruchom narzędzie Fix-it resetujące plik HOSTS do postaci domyślnej: KLIK.

 

4. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz plik fixlog.txt.

 

 

.

[Kynane]

Po owych zabiegach nagle obudziła mi się Avira. Logi oczywiście załączone.

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

Nie wszystko usunięte: wpis Shell Brontoka niby przetworzony, a w logu nadal jest, brak również oznak resetu pliku HOSTS (nadal jest w nim sieczka HTML Brontoka). Ponadto, trzeba wyczyścić wyłączone wpisy w msconfig. Ponowne podejście:

 

1. Ponów reset pliku HOSTS narzędziem Fix-it. Uruchom narzędzie jako Administrator (opcja w menu kontekstowym).

 

2. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [ ] () 
C:\Windows\pss\Empty.pif.Startup
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Mateusz^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bron-Spizaetus" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Zresetuj system. Zrób nowy skan FRST, zaznacz ponownie pole Addition. Dołącz plik fixlog.txt.

 

 

 

.

[Kynane]

HOSTS zapewne nie zostało zresetowane przez jedną z funkcji Aviry, która blokuje jakiekolwiek ingerencje w to. Po odznaczeniu haczyka wszystko poszło normalnie, a przynajmniej tak mi się wydaje.

 

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

HOSTS pomyślnie zresetowany, ale jest problem: ten wpis Shell kierujący do eksplorasi.exe Brontoka nie chce zniknąć. Niby usuwany pomyślnie a logi go pokazują... To wpis pusty, więc nie infekcja go blokuje. Może Avira? Kolejne podejście:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [ ] () 
CMD: del /q C:\Windows\system32\Drivers\etc\hosts.old

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj system. Zrób nowy skan FRST (już bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[Kynane]

Wszystko wykonane jak wyżej. Doszukałem się jeszcze blokowania zmian w rejestrze wśród funkcji Aviry. To też powinienem wyłączyć?

Fixlog.txt

FRST.txt

[picasso]

Tym razem wpis pomyślnie usunięty. Kolejna porcja czynności:

 

1. Przez SHIFT skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełny skan antywirusowy, ponieważ na dysku może być więcej obiektów Brontok w postaci plików replikujących nazwy folderów, w których siedzą np. "Documents.exe" etc. Te pliki muszą zostać wykryte i usunięte, w przeciwnym wypadku ich omyłkowe uruchomienie odpali infekcję Brontok. Zgłoś się z podsumowaniem wyników skanu.

 

 

 

.

[Kynane]

Zamieszkam scan Aviry oraz ESETa online. Według obu wskazani delikwenci zostali wyproszeni.

ESET.txt

[picasso]

1. Ten wynik ESET to drobnostka, wynik z cache przeglądarki Opera, w nazwie sugerujący adware. Na wszelki wypadek wyczyść kompleksowo cache z poziomu opcji przeglądarki.

 

2. Na zakończenie zaktualizuj jeszcze Internet Explorer 8 do wersji 11, nawet jeśli z przeglądarki nie korzystasz.

 

Temat rozwiązany. Zamykam.

 

 

 

.