Wykryty Brontok po infekcji z karty pamięci

[hanna]

Witam,

nie znam dokładnie historii operacji, które przeprowadzali moi rodzice na laptopie. Z tego, co się dowiedziałam, na początku wirus uszkodził zdjęcia (?) na karcie pamięci, potem zostały one odzyskane, ale infekcja przeniosła się na laptopa. Przy skanowaniu antywirusem został wykryty Brontok. Tata mówił, że coś usunął, coś wstawił do kwarantanny, ale jak dokładnie było - nie wiem.

 

Wstawiam logi z FRST i GMER. Mam nadzieję, że wszystko zostało wykonane prawidłowo.

 

Dziękuję,

Hanna

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Na początek uwaga na temat świeżo pobranych plików:

C:\Users\Magda\Downloads\Digital-Image-Recovery(11446)-dp.exe- To nie jest poprawny instalator tylko "Asystent pobierania" dobrychprogramów, którego jedyny cel to instalacja adware: KLIK.

C:\Users\Magda\Downloads\yet_another_cleaner_sk_50537.exe - YAC (Yet Another Cleaner) to niepożądany program, z daleka od niego!

 

 

Z tego, co się dowiedziałam, na początku wirus uszkodził zdjęcia (?) na karcie pamięci, potem zostały one odzyskane, ale infekcja przeniosła się na laptopa.

Czy karta pamięci była formatowana? To może być nadal źródło infekcji.

 

 

Przy skanowaniu antywirusem został wykryty Brontok. Tata mówił, że coś usunął, coś wstawił do kwarantanny, ale jak dokładnie było - nie wiem.

O ile to możliwe, proszę dostarcz raporty z antywirusa gdzie konkretnie został wykryty Brontok. A wg logów ogólnych Brontok tu owszem grasował, zostały po nim jednak tylko szczątkowe wpisy rejestru. Doczyszczanie:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-378606110-1790107904-230257270-1000\...\Run: [Tok-Cirrhatus] => "C:\Users\Magda\AppData\Local\smss.exe"
HKU\S-1-5-21-378606110-1790107904-230257270-1000\...\Policies\system: [DisableCMD] 0
CHR HKU\S-1-5-21-378606110-1790107904-230257270-1000\SOFTWARE\Policies\Google: Policy restriction 
SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
BHO: avast! Online Security -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll No File
BHO: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File
R1 ccnfd_1_10_0_2; system32\drivers\ccnfd_1_10_0_2.sys [X]
Task: {0F1A9848-B09F-43F6-8BDB-FC4E19DF818F} - System32\Tasks\{949B7055-97A4-4D81-8C05-410DA9553BF9} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?source=lightinstaller&page=tsBing
Task: {1A8FACDD-9AC9-4007-AE11-1A181480DB36} - System32\Tasks\{903F5232-358A-4583-9C13-3C94D5792E89} => Chrome.exe http://ui.skype.com/ui/0/6.10.0.104/pl/abandoninstall?page=tsProgressBar
Task: {2151F4DA-8178-46C9-9ED6-E68C7796A319} - System32\Tasks\{BD8484D3-9BED-4E30-9216-F545443980D0} => Chrome.exe http://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?page=tsProgressBar
Task: {39E7ECF7-7446-4439-8385-7ACCCE619CFB} - System32\Tasks\{38B8B6E1-D388-4125-B620-C3470AAD8C40} => Chrome.exe http://ui.skype.com/ui/0/6.22.59.107/pl/abandoninstall?page=tsProgressBar
Task: {414CE146-B9AD-459B-9E96-DA0055F2219F} - System32\Tasks\{FD5807A7-AFB4-4C38-8FC9-AC5A5FF92A91} => Chrome.exe http://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?page=tsProgressBar
Task: {6E2A3144-8B33-4FF3-9037-45FD2DC263C9} - System32\Tasks\{F1B3F2CC-FC93-4B35-9716-561CABF9B64E} => Chrome.exe http://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?source=lightinstaller&page=tsMain
Task: {70B4DF73-74C1-44E0-B768-557D983A2FDF} - System32\Tasks\{2089147D-B5ED-46D7-94BC-1D7996A8448B} => Chrome.exe http://ui.skype.com/ui/0/6.22.59.107/pl/abandoninstall?page=tsProgressBar
Task: {D6E38882-1C2A-4115-9662-FC9A068E65CF} - System32\Tasks\{D341B76C-8832-442B-8495-F4FACB269BE2} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?source=lightinstaller&page=tsBing
Task: {EE045661-885F-4A71-9BB4-B20B95F93E60} - System32\Tasks\{42A80756-A930-4122-B7DF-A1F9DEAED3CC} => Chrome.exe http://ui.skype.com/ui/0/6.22.59.107/pl/abandoninstall?page=tsProgressBar
C:\Users\Magda\Downloads\*(*)-dp*.exe
C:\Users\Magda\Downloads\yet_another_cleaner_*.exe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[hanna]

Czy karta pamięci była formatowana? To może być nadal źródło infekcji.

 

Tak, została sformatowana.

 

O ile to możliwe, proszę dostarcz raporty z antywirusa gdzie konkretnie został wykryty Brontok.

 

Nie mogę ich dostarczyć, bo nie wiem, jak je "wyciągnąć" z programu avast!. Wszystkie zagrożenia znajdowały się na F:\ (karta pamięci), zostały przeniesione do kwarantanny, i to tyle, co jest napisane.

 

Logi dodam wkrótce.

 

fixlog: http://wklej.to/i3naU

nowy log: http://wklej.to/Tag16

 

Nie wiem, jak wstawiać załączniki w odpowiedziach...

[picasso]

Na zakończenie:

 

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

2. Zaktualizuj Internet Explorer 9 do wersji 11.

 

 

Nie mogę ich dostarczyć, bo nie wiem, jak je "wyciągnąć" z programu avast!. Wszystkie zagrożenia znajdowały się na F:\ (karta pamięci), zostały przeniesione do kwarantanny, i to tyle, co jest napisane.

Karta pamięci sformatowana, więc detekcje Avast na nią kierujące nie są już istotne.

 

 

Nie wiem, jak wstawiać załączniki w odpowiedziach...

Na spodzie strony pole szybkiej odpowiedzi > Więcej opcji > jest funkcja dołączania plików. I skąd to pytanie - pierwsze logi były przecież poprawnie doczepione...

 

 

 

 

.