Kynane Opublikowano 10 Lutego 2014 Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Mam problem z wyżej wymienionymi nieproszonymi gośćmi na moim PC. Posiadam system 64bitowy. Zapewne jak większość ich ofiar dowiedziałem się o ich istnieniu po odwiedzeniu autouruchamiania w msconfig. Problem z nimi jest na tyle uciążliwy, ze zdecydowałem się w końcu prosić o pomoc. Pierwszym przejawem ich obecności było zablokowanie mi dostępu do edytora rejestru pod komunikatem zablokowania go przez administratora sieci. Inne objawy to braki w przesyłaniu danych w sieci czy nawet dostępu do internetu mimo iż inne programy, takowego dostępu wymagające wciąż działają oraz brak odpowiedzi niektórych aplikacji. Dzieje się to w ten sposób, ze np. Korzystając z przeglądarki przestaje ona działać, a zaraz wszystko teoretycznie wraca do normy. To samo dzieje się przy oglądaniu jakiegoś filmu. Choć i to nie zawsze. Próbowałem je usuwać za pomocą ESET online scanner, ale w połowie skanowania cały komputer odmawia współpracy. Jedyne co zrobiłem poza tym to wyłączyłem je w wcześniej wspomnianym autouruchamianiu. Liczę na waszą pomoc. Pozdrawiam. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2014 Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [42687 ] () HKU\S-1-5-21-3316585062-3970624614-868040292-1001\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-3316585062-3970624614-868040292-1001\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-3316585062-3970624614-868040292-1001\...\Policies\Explorer: [NoFolderOptions] 1 CMD: for /d %f in (C:\Users\Mateusz\AppData\Local\*Bron*) do rd /s /q "%f" C:\Windows\eksplorasi.exe C:\Users\Mateusz\AppData\Local\*.exe C:\Users\Mateusz\AppData\Local\*.txt C:\Users\Mateusz\AppData\Local\*Bron* C:\Users\Mateusz\AppData\Roaming\mozilla C:\Users\Mateusz\Downloads\65044c197af55b5f827e7245ea635d42 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig" /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Uruchom narzędzie Fix-it resetujące plik HOSTS do postaci domyślnej: KLIK. 4. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz plik fixlog.txt. . Odnośnik do komentarza
Kynane Opublikowano 10 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2014 Po owych zabiegach nagle obudziła mi się Avira. Logi oczywiście załączone. Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Addition.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2014 Zgłoś Udostępnij Opublikowano 11 Lutego 2014 Nie wszystko usunięte: wpis Shell Brontoka niby przetworzony, a w logu nadal jest, brak również oznak resetu pliku HOSTS (nadal jest w nim sieczka HTML Brontoka). Ponadto, trzeba wyczyścić wyłączone wpisy w msconfig. Ponowne podejście: 1. Ponów reset pliku HOSTS narzędziem Fix-it. Uruchom narzędzie jako Administrator (opcja w menu kontekstowym). 2. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [ ] () C:\Windows\pss\Empty.pif.Startup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Mateusz^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bron-Spizaetus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Zresetuj system. Zrób nowy skan FRST, zaznacz ponownie pole Addition. Dołącz plik fixlog.txt. . Odnośnik do komentarza
Kynane Opublikowano 11 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2014 HOSTS zapewne nie zostało zresetowane przez jedną z funkcji Aviry, która blokuje jakiekolwiek ingerencje w to. Po odznaczeniu haczyka wszystko poszło normalnie, a przynajmniej tak mi się wydaje. Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Addition.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2014 Zgłoś Udostępnij Opublikowano 11 Lutego 2014 HOSTS pomyślnie zresetowany, ale jest problem: ten wpis Shell kierujący do eksplorasi.exe Brontoka nie chce zniknąć. Niby usuwany pomyślnie a logi go pokazują... To wpis pusty, więc nie infekcja go blokuje. Może Avira? Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [ ] () CMD: del /q C:\Windows\system32\Drivers\etc\hosts.old Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj system. Zrób nowy skan FRST (już bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
Kynane Opublikowano 11 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2014 Wszystko wykonane jak wyżej. Doszukałem się jeszcze blokowania zmian w rejestrze wśród funkcji Aviry. To też powinienem wyłączyć? Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 12 Lutego 2014 Zgłoś Udostępnij Opublikowano 12 Lutego 2014 Tym razem wpis pomyślnie usunięty. Kolejna porcja czynności: 1. Przez SHIFT skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełny skan antywirusowy, ponieważ na dysku może być więcej obiektów Brontok w postaci plików replikujących nazwy folderów, w których siedzą np. "Documents.exe" etc. Te pliki muszą zostać wykryte i usunięte, w przeciwnym wypadku ich omyłkowe uruchomienie odpali infekcję Brontok. Zgłoś się z podsumowaniem wyników skanu. . Odnośnik do komentarza
Kynane Opublikowano 13 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2014 Zamieszkam scan Aviry oraz ESETa online. Według obu wskazani delikwenci zostali wyproszeni. ESET.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2014 Zgłoś Udostępnij Opublikowano 15 Lutego 2014 1. Ten wynik ESET to drobnostka, wynik z cache przeglądarki Opera, w nazwie sugerujący adware. Na wszelki wypadek wyczyść kompleksowo cache z poziomu opcji przeglądarki. 2. Na zakończenie zaktualizuj jeszcze Internet Explorer 8 do wersji 11, nawet jeśli z przeglądarki nie korzystasz. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi