SoundWave Opublikowano 6 Lutego 2015 Zgłoś Udostępnij Opublikowano 6 Lutego 2015 Cześć! Dostałem lapek w celu dogrania sterowników ale tu jest wirusów pełno. Sam się restartuje jak wchodzę na stronki z oprogramowaniem do zwalczania infekcji, infekuje pendrivy od razu tworząc pliki o nazwie katalogu z rozszerzeniem exe, MBAM wykrywa koło 23 gadów, przeważnie to services.exe lssas.exe i jeszcze parę innych ale też pod koniec się wiesza i nie usuwa tego. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2015 Zgłoś Udostępnij Opublikowano 6 Lutego 2015 Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1031630780-3175621160-1081558820-1000\...\Run: [Tok-Cirrhatus-1431] => C:\Users\max\AppData\Local\br3885on.exe [49152 2008-05-29] () HKU\S-1-5-21-1031630780-3175621160-1081558820-1000\...\Run: [Tok-Cirrhatus] => [X] Startup: C:\Users\max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () Task: {C5486121-A29D-43BA-AEC4-3C7F1F3F62A9} - System32\Tasks\{0081150D-F2CE-4CAB-BFCE-A3206AAAD7E3} => pcalua.exe -a F:\programy\programy.exe -d F:\programy C:\Users\max\AppData\Local\*.bin C:\Users\max\AppData\Local\*.exe C:\Users\max\AppData\Local\*.txt CMD: for /d %f in (C:\Users\max\AppData\Local\*bron*) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj zbędnik Akamai NetSession Interface. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
SoundWave Opublikowano 7 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2015 (edytowane) Jak tu już będzie wszystko OK to proszę o przeniesienie tematu do Hardware bo widzę, że z dyskiem też jest problem. Fixlog.txt FRST.txt Edytowane 9 Lutego 2015 przez SoundWave Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2015 Zgłoś Udostępnij Opublikowano 7 Lutego 2015 Tu dokończymy temat infekcji. W dziale Hardware założysz nowy temat dedykowany wątkom sprzętowym, by nie mieszać tematów. 1. Końcowa poprawka. Do Notatnika wklej: HKU\S-1-5-21-1031630780-3175621160-1081558820-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\max\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Upewnij się za pomocą pełnego skanu MBAM, że nigdzie już nie są wykrywane obiekty Brontok. 4. Na później byłaby pełna aktualizacja Windows, ale to dopiero po ocenie stanu dysku, czy w ogóle jest sens prowadzić jakiekolwiek działania. Odnośnik do komentarza
SoundWave Opublikowano 7 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2015 Wynikowy fix + MBAM znalazł jeden obiekt z opisem Trojan.Dropper w C:\Users\max\Documents\Documents.exe Fixlog2.txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2015 Zgłoś Udostępnij Opublikowano 7 Lutego 2015 Ten "Trojan.Dropper" to właśnie obiekt Brontok, oczywiście do usunięcia. Jeśli to na pewno był skan typu pełnego w MBAM (a nie ekspresowy), to już koniec zmagań z Brontok. Odnośnik do komentarza
SoundWave Opublikowano 9 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2015 Tak, pełny skan nic nie wykrywa już. Dzięki za pomoc :* Odnośnik do komentarza
Rekomendowane odpowiedzi