kreska100 Opublikowano 29 Stycznia 2015 Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 Witam! Na laptopie z win 7 władowała mi się jakaś infekcja z rodziny brontok. Nie mogę wejść w CMD, MS-Config, podmieniać kluczy w rejestrze i muszę odpalać explorera ręcznie poprzez manager zadań ponieważ po uruchomieniu systemu występuję tylko czarny ekran przez zmodyfikowany wpis shell. W związku z tym wykonałem skan OTL-em i napisałem skrypt, ale podczas jego uruchomienia wyskakuje komenda o zamykaniu jakiegoś procesu i komputer albo się restartuje albo wychodzi z konta do okna logowania. Mam zatem prośbę aby ktoś bardziej doświadczony przeanalizował mój log i pomógł mi napisać odpowiedni skrypt do usunięcia tego syfu. Z góry dzięki. FRST.txt gmerraport.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2015 Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 OTL to przestarzały program i nie jest tu brany pod uwagę. Proszę dostosuj się do zasad działu i dostarcz obowiązujące tu logi: KLIK. A tytuł tematu dostosowuję do problemu zasadniczego. EDIT: Logi dodane. Odpowiadasz mi już w nowym poście, nie edytuj pierwszego. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj zbędnik sponsoringowy McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKLM\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\bronstab.exe [42065 2006-06-20] () HKLM\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [x ] () HKU\S-1-5-21-1880997745-2878968255-1170384601-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Kasia\AppData\Local\smss.exe [42065 2006-06-20] () HKU\S-1-5-21-1880997745-2878968255-1170384601-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-1880997745-2878968255-1170384601-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-1880997745-2878968255-1170384601-1000\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\Users\dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () Startup: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\StartUp\Empty.pif () HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Users\dom\AppData\Local\*.bat C:\Users\dom\AppData\Local\*.bin C:\Users\dom\AppData\Local\*.exe C:\Users\dom\AppData\Local\*.txt C:\Users\dom\Documents\Documents.exe C:\Users\Kasia\AppData\Local\*.bat C:\Users\Kasia\AppData\Local\*.bin C:\Users\Kasia\AppData\Local\*.exe C:\Users\Kasia\AppData\Local\*.txt C:\Users\Kasia\Desktop\kasku\programy\*.lnk C:\Users\Kasia\Documents\Documents.exe C:\Windows\eksplorasi.exe C:\Windows\ShellNew\bronstab.exe C:\Windows\system32\dom's Setting.scr C:\Windows\system32\Kasia's Setting.scr CMD: for /d %f in (C:\Users\dom\AppData\Local\*Bron*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Kasia\AppData\Local\*Bron*) do rd /s /q "%f" Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W systemie są dwa konta dom i Kasia. Oba są zainfekowane - wstępnie czyszczone skryptem FRST, ale to nie wystarczy. Wymagane logi z każdego konta z osobna. Logujesz się po kolei na każde poprzez pełny restart systemu (a nie Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały po dwa logi). Dołącz też plik fixlog.txt. Odnośnik do komentarza
kreska100 Opublikowano 29 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 Wyniki usuwania oraz skanowania już po. Addition - Dom.txt Addition - Kasia.txt Fixlog.txt FRST - Dom.txt FRST - Kasia.txt Odnośnik do komentarza
picasso Opublikowano 29 Stycznia 2015 Zgłoś Udostępnij Opublikowano 29 Stycznia 2015 Zmieniłeś kolejność, McAfee był deinstalowany dopiero po przetworzeniu skryptu. Kolejność instrukcji jest ścisła (tu: deinstalacja miała być przed komendą czyszczenia Tempów). Wszystko pomyślnie usunięte, ale to nie koniec działań. Brontok tworzy w ogromnej ilości katalogów falsyfikaty, tzn. pliki EXE o nazwie jak katalog w którym siedzą, a przypadkowe uruchomienie takiego pliku zainfekuje ponownie system. Logi już tu nie pomogą, bo są zbyt ograniczone, potrzebny pełny skan za pomocą programu który wykrywa takie pliki. Kolejna porcja działań: 1. Będąc zalogowanym na koncie dom. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1880997745-2878968255-1170384601-1003\...\Run: [Tok-Cirrhatus] => "C:\Users\dom\AppData\Local\smss.exe" RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Temp RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\Windows\system32\%LOCALAPPDATA% Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Dopiero po wykonaniu powyższego działania zainstaluj ponownie Malwarebytes Anti-Malware. Zrób pełny skan (a nie ekspresowy) komputera. MBAM wykrywa fslsyfikaty Brontok pod nazwą kodową Trojan.Dropper. Jeśli program coś znajdzie, dostarcz raport. Odnośnik do komentarza
kreska100 Opublikowano 31 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2015 Raporty po usunięciu i po skanowaniu Malwarebytes. Jest tak jak mówiłeś, szkodnik władował się jeszcze w 14 plików *.exe. Fixlog.txt raport malwarebytes.txt Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2015 Zgłoś Udostępnij Opublikowano 31 Stycznia 2015 Coś mało wyników, zwykle przy infekcji Brontok jest masowa inwazja takich plików. Czy to na pewno był pełny skan? PS. Ad "mówiłeś" = jestem kobietą. Odnośnik do komentarza
kreska100 Opublikowano 31 Stycznia 2015 Autor Zgłoś Udostępnij Opublikowano 31 Stycznia 2015 Hm nie no poleciał pełny skan. I przepraszam za to odgórne określenie nick i avatary mogą jednak mylić Odnośnik do komentarza
picasso Opublikowano 31 Stycznia 2015 Zgłoś Udostępnij Opublikowano 31 Stycznia 2015 OK, skoro to pełny skan, to uznaję że sprawa załatwiona. Rozumiem, że wszystkie wyniki zostały usunięte. Na koniec: Skasuj pobrany FRST. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu i cały system do aktualizacji: KLIK. Stan obecny to goły Windows 7 bez SP1, IE11 i reszty łat: Platform: Microsoft Windows 7 Ultimate (X86) OS Language: Polski (Polska) Internet Explorer Version 8 (Default browser: Chrome) Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się