Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Infekcja BRONTOK.

olszyk88

Przez olszyk88
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

olszyk88

olszyk88

Opublikowano
Opublikowano

Witam. Proszę o pomoc, posiadam Windows 7 Professional x64, co jakiś czas otwiera się okno przeglądarki ze strona brontok, dodatkowo nie mogę wejść w edycje rejestru, i zawsze gdy podłączy się jakikolwiek nośnik zewnętrzny czy pen drive czy kartę pamięci tworzy się na nim folder "DATA Nazwa komputera". nie wiem czy to ma wszystko związek akurat z BRONTOKIEM ale to są nieprawidłowości jakie zauważyłem. Gdy próbowałem pobrać narzędzia SPTDinst restartował mi się komputer wiec skorzystałem z drugiego rozwiązania usunięcia napędów wirtualnych.  problemy z wykonaniem logu GMER. podczas dwóch prób dwa razy blue screen. udało się dopiero w trybie awaryjnym.

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

GMER.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

defogger.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Nevan

Nevan

Opublikowano
Opublikowano

W logach faktycznie siedzi Brontok, oprócz tego ślady adware.

 

Do tematu nośników zewnętrznych wrócimy później.

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\sempalong.exe [42654 2014-04-29] ()
C:\Windows\ShellNew\sempalong.exe
HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\BerasJatah.exe" [42654 ] () 
C:\Windows\BerasJatah.exe
HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Run: [Ejvave] => C:\Users\Olszewski\AppData\Roaming\Ejvave.exe [796723 2015-08-30] (IORISOFT)
HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Olszewski\AppData\Local\smss.exe [42654 2014-04-29] ()
HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Policies\Explorer: [NoFolderOptions] 1
Startup: C:\Users\Olszewski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif [2015-04-22] ()
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434734252&z=ab2a7cf3f539f8ec55a7261g8z9c4z9macbz2o6wco&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434734252&z=ab2a7cf3f539f8ec55a7261g8z9c4z9macbz2o6wco&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434734252&z=ab2a7cf3f539f8ec55a7261g8z9c4z9macbz2o6wco&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434734252&z=ab2a7cf3f539f8ec55a7261g8z9c4z9macbz2o6wco&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&q={searchTerms}
SearchScopes: HKU\S-1-5-21-858982418-1674000801-3239494062-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&ts=1434734274&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-858982418-1674000801-3239494062-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&ts=1434734274&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-858982418-1674000801-3239494062-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&ts=1434734274&type=default&q={searchTerms}
2015-08-30 12:07 - 2015-08-30 12:07 - 00000000 ____D C:\Users\Olszewski\AppData\Roaming\DYA_OHVLCOUWMHUOJBBNL
2015-08-30 12:07 - 2015-08-30 12:07 - 00000000 ____D C:\Users\Olszewski\SupTab
2015-08-30 12:07 - 2015-08-30 12:07 - 00000000 ____D C:\ProgramData\DYA_OHVLCOUWMHUOJBBNL
2015-08-30 12:10 - 2015-08-30 12:10 - 0796723 ____H (IORISOFT) C:\Users\Olszewski\AppData\Roaming\Ejvave.exe
C:\Users\Olszewski\AppData\Local\*bron*
C:\Users\Olszewski\AppData\Local\*.exe
C:\Users\Olszewski\AppData\Local\*.txt
AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV
AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV
AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV
AlternateDataStreams: C:\ProgramData\Dane aplikacji:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GameSpy Arcade\GameSpy Arcade.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GameSpy Arcade\Uninstall GameSpy Arcade.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Auto Configure.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\EA Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\EAsy Info.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Medal of Honor Allied Assault.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Read Me.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Register MOHAA.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Renegade Preview.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Safe Mode.lnk
C:\Users\Olszewski\AppData\Local\Microsoft\Windows\GameExplorer\{ADEDB02C-E7CF-4CD8-8297-A7D58470C6A1}
C:\Users\Olszewski\AppData\Local\Microsoft\Windows\GameExplorer\{103819EC-3EF4-432C-991C-6F3284B71B3A}
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj stare wersje Java: Java 7 Update 51 (64-bit); Java 7 Update 51.

 

3. Wyczyść Firefox:

  • Odłącz synchronizację (o ile włączona): KLIK
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania
4. Wyczyść Google Chrome:
  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznaczając również Pliki z 90 dni, wraz z logiem Addition.txt. Dołącz też plik fixlog.txt.
Odnośnik do komentarza
Nevan

Nevan

Opublikowano
Opublikowano

Część wpisów ciągle siedzi.

 

1. Otwórz Notatnik i wklej w nim:

 

CMD: for /d %f in (C:\Users\Olszewski\AppData\Local\*Bron*) do rd /s /q "%f"
C:\Users\Olszewski\AppData\Local\*bron*

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), włączając log Addition. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
Nevan

Nevan

Opublikowano
Opublikowano

Jeszcze sprawy końcowe.

 

1. Nie masz zainstalowanego żadnego antywirusa. Zaopatrz się w jednego. Moja propozycja: Avast

 

2. Twój obecny system to Windows 7 bez SP1, IE11 i reszty aktualizacji:

Platform: Windows 7 Professional (X64) Język: Polski (Polska)

Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

 

Zastosuj Delfix, wyczyść foldery Przywracania systemu i zaktualizuj system: KLIK

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...