Bron Spizaetus Tok-Cirrhatus wirus

[Diverse88]

Witam.
 
Od kilku dni mam problem z laptopem. Komputer nie odpala explorera oraz sam się restartuje. W programach autostartu zauważyłem 2 programy: Bron Spizaetus i Tok-Cirrhatus. Wyczytałem, iż są to wirusy. Proszę o pomoc w ich likwidacji. Pozdrawiam

 

EDIT:

Dorzucam wymagane logi, zauważyłem również, iż czasem komp sam uruchamia się ponownie oraz nie idzie podłączyć przez usb pendrive ani dysku zewnętrznego (Wyskakuje komunikat, że nie idzie zainstalować sterownika). Komputer ma tylko jedną partycje przez co log gmer robił się kilka godzin. Zostawiłem komputer na noc i mam nadzieje, że wszystko się dobrze zapisało.

 

Windows 7 Home Premium 32bit

OTL.Txt

Extras.Txt

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Bron Spizaetus i Tok-Cirrhatus to robak Brontok. Prócz niego siedzi tu też adware. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

(Cherished Technololgy LIMITED) C:\ProgramData\IePluginService\PluginService.exe
(Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe
(Aztec Media Inc) C:\Program Files\Settings Manager\systemk\SystemkService.exe
(Aztec Media Inc) C:\Program Files\Settings Manager\systemk\SystemkService.exe
(Aztec Media Inc) C:\Program Files\Settings Manager\systemk\systemku.exe
() C:\Users\Natalia\AppData\Local\winlogon.exe
() C:\Users\Natalia\AppData\Local\services.exe
() C:\Users\Natalia\AppData\Local\lsass.exe
R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED)
R2 SystemkService; C:\Program Files\Settings Manager\systemk\SystemkService.exe [3543056 2014-05-12] (Aztec Media Inc)
R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [549008 2014-05-12] (Cherished Technololgy LIMITED)
R1 F06DEFF2-5B9C-490D-910F-35D3A91196222; C:\Program Files\Settings Manager\systemk\systemkmgrc1.cfg [31120 2014-05-12] (Aztec Media Inc)
HKLM\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\sempalong.exe [42734 2008-01-02] ()
HKLM\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [x ] ()
HKU\S-1-5-21-3717591281-2072224576-1635484359-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Natalia\AppData\Local\smss.exe [42734 2008-01-02] ()
HKU\S-1-5-21-3717591281-2072224576-1635484359-1000\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-3717591281-2072224576-1635484359-1000\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-3717591281-2072224576-1635484359-1000\...\Policies\Explorer: [NoFolderOptions] 1
IFEO\bitguard.exe: [Debugger] tasklist.exe
IFEO\bprotect.exe: [Debugger] tasklist.exe
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\dprotectsvc.exe: [Debugger] tasklist.exe
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\searchinstaller.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\searchsettings.exe: [Debugger] tasklist.exe
IFEO\searchsettings64.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
IFEO\umbrella.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
IFEO\websteroids.exe: [Debugger] tasklist.exe
IFEO\websteroidsservice.exe: [Debugger] tasklist.exe
Startup: C:\Users\Natalia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
HKLM\...\AppCertDlls: [x64] -> c:\program files\settings manager\systemk\x64\sysapcrt.dll
HKLM\...\AppCertDlls: [x86] -> C:\Program Files\Settings Manager\systemk\sysapcrt.dll [490000 2014-05-12] ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496&q={searchTerms}
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=a&ver=12627&tm=350&src=ds&p={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=175&itype=a&ver=12627&tm=350&src=ds&p={searchTerms}
BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited)
BHO: Linkey - {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} - C:\Program Files\Linkey\IEExtension\iedll.dll (Aztec Media Inc)
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496
ShortcutWithArgument: C:\Users\Natalia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496
ShortcutWithArgument: C:\Users\Natalia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496
ShortcutWithArgument: C:\Users\Natalia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496
ShortcutWithArgument: C:\Users\Natalia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496
ShortcutWithArgument: C:\Users\Natalia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.sweet-page.com/?type=sc&ts=1400414405&from=sof&uid=SAMSUNGXHM321HI_S25WJ9DB112496
CMD: for /d %f in (C:\Users\Natalia\AppData\Local\*bron*) do rd /s /q "%f"
C:\Users\Natalia\AppData\Local\*bron*
C:\Users\Natalia\AppData\Local\*.exe
C:\Users\Natalia\AppData\Local\*.txt
C:\Users\Natalia\Downloads\SoftonicDownloader_dla_spss-16.exe
C:\Windows\eksplorasi.exe
C:\Windows\ShellNew\sempalong.exe
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. System zostanie zresetowany, wejdź w Tyb normalny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zresetuj plik HOSTS posiłkując się narzędziem Fix-it: KLIK.

 

3. Przez Panel sterowania odinstaluj adware Linkey, Settings Manager, sweet-page uninstaller, WPM18.8.0.304.

 

4. Wyczyść Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > Po uruchomieniu > usuń wszstkie adresy tam widziane
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres default-search.net
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Ustawienia > karta Historia > wyczyść
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt i log z AdwCleaner.

 

Odpowiadasz mi oczywiście w nowym poście, nie edytuj już pierwszego.

 

 

 

.

[Diverse88]

Witam.

 

Wszystkie podpunkty wykonane bezproblemowo. Wydaje się, że już wszystko ok. Na pewno odpala się explorer. Wrzucam logi.

 

Dziękuje serdecznie za pomoc.

Addition.txt

Fixlog.txt

FRST.txt

AdwCleanerS1.txt

[picasso]

Został dostarczony niewłaściwy log z AdwCleaner, czyli z kolejnego uruchomienia, które nie pokazuje co usunięto. Podaj plik C:\AdwCleaner\AdwCleaner[s0].txt z pierwszego usuwania.

 

 

 

.

[Diverse88]

Juz poprawiam.

AdwCleanerS0.txt

[picasso]

OK, wszystko wygląda na wykonane. Kolejna porcja czynności:

 

1. Drobna poprawka. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM - DefaultScope value is missing.
C:\Windows\system32\sqlite3.dll
C:\Windows\system32\Drivers\etc\hosts.old
CMD: rd /s /q C:\AdwCleaner

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Uruchom DelFix.

 

4. Robak Brontok mógł utworzyć w określonych folderach pliki o nazwie folderów, których uruchomienie zainfekuje ponownie system. Jako że logi są ograniczone, wymagany pełny skan antywirusowy. Przeprowadź go za pomocą Kaspersky Virus Removal Tool. Jeśli coś wykryje, przedstaw te wyniki.

 

 

.

[Diverse88]

Witam. Wszystko wykonane. Skaner nic nie wykrył.

 

Dziękuję serdecznie za pomoc.

[picasso]

Na zakończenie wyczyść foldery Przywracania systemu: KLIK.

 

Temat rozwiązany. Zamykam.

 

.