Brontok uniemożliwiający ściągnięcie, instalację FRST

[nocek]

Cześć!

Zwracam się z prośbą o pomoc ponieważ od dłuższego czasu pracuję na komputerze zainfekowanym Brontokiem.A. Dotychczas dawałem radę współżyć, bo oprócz otwierania charaterystycznego zielonego okna w przeglądarce mniej więcej co godzinę, nie zmieniło się nic.

 

Zainstalowałem wcześniej m.in. Panda Antivirus, która była bardziej wkurzająca od samego wirusa.

 

W tym momencie instalacja lub próba ściągnięcia większości programów, najprawdopodobniej wykrywanych przez wirusa jako dla niego niebezpieczne kończy się przymusowym restartem systemu.

 

Podobnie było z FRST teraz czy nawet Dropboxem wcześniej.

 

Czy jest szansa zmapowania problemu obchodząc ten krok?

 

Z góry dzięki,

pozdrawiam!

[Zappa]

logi z trybu awaryjnego, pobierz FRST na innym kompie i wrzuć na pendraka

 

https://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/

[nocek]

Cześć.

Uporałem się. Załączam trzy logi i proszę o pomoc wciąż.

 

Pozdrawiam!

Addition.txt

FRST.txt

Shortcut.txt

[Zappa]

Spróbujmy powalczyć z infekcją

 

1. Otwórz notatnik i wklej

 

CloseProcesses:
HKU\S-1-5-21-3709328401-3719035880-1003004347-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Konrad\AppData\Local\smss.exe [42619 2014-01-12] ()
Startup: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Users\Konrad\AppData\Local\Bron.tok-12-13
C:\Users\Konrad\AppData\Local\Bron.tok-12-12
C:\Users\Konrad\AppData\Local\Bron.tok-12-11
C:\Users\Konrad\AppData\Local\Loc.Mail.Bron.Tok
C:\Users\Konrad\AppData\Local\Bron.tok.A12.em.bin
C:\Users\Konrad\AppData\Local\csrss.exe
C:\Users\Konrad\AppData\Local\inetinfo.exe
C:\Users\Konrad\AppData\Local\Kosong.Bron.Tok.txt
C:\Users\Konrad\AppData\Local\lsass.exe
C:\Users\Konrad\AppData\Local\services.exe
C:\Users\Konrad\AppData\Local\smss.exe
C:\Users\Konrad\AppData\Local\winlogon.exe
C:\Users\Konrad\AppData\Roaming\Panda Security
C:\Program Files\Panda Security
C:\ProgramData\Panda Security
Task: {4240324C-DEB4-44F1-BC17-BBF822ACBFEB} - System32\Tasks\{BDEB99CE-66AF-4138-A7BE-BB7040D87AC7} => pcalua.exe -a C:\Users\Konrad\Desktop\WinWDF\x86\InstNT.exe -d C:\Users\Konrad\Desktop\WinWDF\x86
EmptyTemp:

 

plik zapisz jako fixlist.txt i umieść na Pulpicie. Uruchom FRST i kliknij w Fix.

 

Przedsta raport fixlog.txt, który powstanie po usuwaniu. Zrób nowy skan FRST - opcji Additions i Shortcut nie zaznaczaj.

[nocek]

Zatem fixlog wykonałem. Po kliknięciu potwierdzenia wykonania logu komputer się zresetował; jedyną zmianą w systemie jaką zauwałem po włączeniu jest usunięcie ikon zakładek w zakładek w firefoxie (odnośniki zostały, nie ma grafik) - jeśli to ma jakieś znaczenie.

Fixlog.txt

[Zappa]

Zrób nowy skan FRST - opcji Additions i Shortcut nie zaznaczaj.

 

jedyną zmianą w systemie jaką zauwałem po włączeniu jest usunięcie ikon zakładek w zakładek w firefoxie (odnośniki zostały, nie ma grafik) - jeśli to ma jakieś znaczenie.

To normalne po komendzie EmptyTemp. Graficzki wrócą jak bedziesz wchodził na strony.

[zebord37]

http://utils.kaspersky-labs.com/klwk/klwk.zip możesz spróbować go użyć.

[nocek]

Hej, póki co nie zapeszając funkcjonuje. Udało mi się zainstalować dropbox, wszystko gra. Dzięki wielkie, zadonuję jak się tylko złoży okazja. Pozdrawiam!

[Zappa]

nocek, ja npaisałem wyraźnie żebyś zrobił nowy skan FRST i przedstawił raport.

Dodatkowo pobierz Malwarebytes zainstaluj wersję free, zaktualizuj bazę wirków i zrób pełny skan. Przedstaw raport

https://www.malwarebytes.org/

[zebord37]

https://www.malwarebytes.org/

 

http://downloads.malwarebytes.org/file/mbam/ - wersja free pobierana automatycznie po jedynym kliknięciu

[nocek]

Ok. Już popłynąłem z myślą o czystym komputerze. Załączam raporty z FRST oraz Malwarebytes

raport.txt

FRST.txt

[picasso]

Te wyniki MBAM do usunięcia. Czy na pewno był to skan pełny a nie ekspresowy?

 

 

jedyną zmianą w systemie jaką zauwałem po włączeniu jest usunięcie ikon zakładek w zakładek w firefoxie (odnośniki zostały, nie ma grafik) - jeśli to ma jakieś znaczenie.

Dzieje się tak dlatego, że FRST czyszcząc Historię Firefox usuwa plik places.sqlite, który trzyma w odrębnych tabelach Bookmarki, favikony Bookmarków oraz Historię: KLIK. Jakiś czas temu już zgłosiłam autorowi, że FRST nie powinien usuwać tego pliku, bo usuwa nie tylko ikony zakładek ale i zakładki właściwe, tylko że usterka nie jest notowana, bo Firefox po cichu odbudowuje szkodę z folderu Bookmarks backups.

 

Favikony Firefoxa odbudujesz masowo za pomocą FavIcon Reloader.

[nocek]

Hm... pełne skanowanie. Przeprowadziłem dziś jeszcze raz. Malwarebytes nie podaje sam tytułu pliku txt, więc nazwy plików są moje. Wziąłem z dwóch "różnych miejsc", ale - mogą to być te same raporty. W kwarantannie mam kilkadziesiąt plików z brontokiem. Usunąć?

 

Pozdrawiam.

wyniki.txt

raport.txt

[Zappa]

W kwarantannie mam kilkadziesiąt plików z brontokiem. Usunąć?

Oczywiście, że tak.

[nocek]

Super. Wszystko działa, rozumiem, że to już koniec walki z tym syfem?
Dzięki jeszcze raz.

[picasso]

Jeśli chodzi o usuwanie Favikon, to FRST już nie czyści Historii Firefox. Jeśli chodzi o problem infekcji Brontok, to sprawa zdaje się być rozwiązana. Na koniec:

 

Usuń pobrany FRST z katalogu D:\Zielony\Programy. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj poniżej wyliczone programy: KLIK.

 

Internet Explorer Version 9 (Default browser: FF)
 

==================== Installed Programs ======================
 

Adobe Flash Player 16 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 16.0.0.235 - Adobe Systems Incorporated) ----> wtyczka dla IE

Mozilla Firefox 36.0.4 (x86 pl) (HKLM\...\Mozilla Firefox 36.0.4 (x86 pl)) (Version: 36.0.4 - Mozilla)