BuddaPL Opublikowano 13 Października 2015 Zgłoś Udostępnij Opublikowano 13 Października 2015 Dzień dobry, Mam takiego małego netbooka mojego znajomego mechanika. Jak go nie zrobię, , to nie ustawi mi gazu przed zimą. Oczywiście znajomy grzebał Combofix'em, więc będą jakiś pozostałości. Ja ze swojej strony zapuściłem tylko Hitmana, który znalazł Win32/Brontok. Aktywnego, bo zaraza przenosiła się na pendrivy. Proszę o pomoc, Robert HitmanPro_20151013_1121.txt FRST.txt Addition.txt Shortcut.txt gmer.txt.txt Odnośnik do komentarza
picasso Opublikowano 13 Października 2015 Zgłoś Udostępnij Opublikowano 13 Października 2015 Logi nie wskazują, by obecnie Brontok był czynny. Pozostały po nim tylko odpadki (zmodyfikowany plik HOSTS i drobne pliczki). Działania do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player 18 NPAPI, Adobe Reader X (10.1.0) - Polish oraz zdewastowane przez Hitmana adware WxDownload Expansion, wxDownload Fast 0.6.0. Być może będzie problem z poprawną deinstalacją. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-861567501-1957994488-299502267-1003\...\Policies\system: [DisableCMD] 0 HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-861567501-1957994488-299502267-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-861567501-1957994488-299502267-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: wxDownload Class -> {51CFC9BF-3A3E-E77B-A55D-BFB4758AFAE5} -> C:\Documents and Settings\All Users\Dane aplikacji\wxDownload\50c0a1d27cc2c.ocx => Brak pliku CHR HKLM\...\Chrome\Extension: [aemkkakmfeejnnaebhpckhhgamnpklie] - C:\Documents and Settings\All Users\Dane aplikacji\wxDownload\aemkkakmfeejnnaebhpckhhgamnpklie.crx FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension BootExecute: autocheck autochk * bootdelete S3 catchme; \??\C:\DOCUME~1\User\USTAWI~1\Temp\catchme.sys [X] S0 mv91xx; Brak ImagePath AlternateDataStreams: C:\WINDOWS:ecde8b8c58b22 AlternateDataStreams: C:\WINDOWS\system32:1464242f5a AlternateDataStreams: C:\Program Files\AcGasSynchro II:60609da9 AlternateDataStreams: C:\Program Files\Common Files:51059ffaeb890 AlternateDataStreams: C:\Documents and Settings\All Users:3cd880a87a8 AlternateDataStreams: C:\Documents and Settings\User:570f7ef5 AlternateDataStreams: C:\Documents and Settings\All Users\Application Data:fe93a19e34e9a AlternateDataStreams: C:\Documents and Settings\All Users\ntuser.dat:alt AlternateDataStreams: C:\Documents and Settings\All Users\Pulpit:$SS_DESCRIPTOR_SBXNV9VVGV1BFLB4RPBKJ28JLXSKY6P1F5DVJNPFSVF7VB4VP4GV AlternateDataStreams: C:\Documents and Settings\All Users\Pulpit:$SS_DESCRIPTOR_SBXNV9VVGV1BFPB4R02XVDWJT0RBYTH406X6JTXFSVF7JBCVPJGF AlternateDataStreams: C:\Documents and Settings\All Users\Pulpit:$SS_DESCRIPTOR_SBXNV9VVGV1BFR8YKX4X4MVYKVPTHK04FBRB3TGFSVF7VBCVPJGF C:\Documents and Settings\All Users\Menu Start\Programy\wxDownload C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\ListHost12.txt C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
BuddaPL Opublikowano 13 Października 2015 Autor Zgłoś Udostępnij Opublikowano 13 Października 2015 Logi nie wskazują, by obecnie Brontok był czynny. Pozostały po nim tylko odpadki (zmodyfikowany plik HOSTS i drobne pliczki). Obecnie nie. Hitman go usunął, ale zdążyło mi dziadostwo zarazić pena, na którym podpiąłem Hitmana. Zalecenia wykonane. Był problem z jednym z którychś adwarów, bo brakowało modułu (ale z listy deinstalacji się usunął). Co w zamian Adobe Readera? (nie uśmiecha mnie się instalowanie Adobe Readera DC, nie przepadam za chmurami). Edit: Na dysku jest katalog, po Combofixie, którego nie mogę usunąć (C:\Qooboox) Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 14 Października 2015 Zgłoś Udostępnij Opublikowano 14 Października 2015 Na dysku jest katalog, po Combofixie, którego nie mogę usunąć (C:\Qooboox) Katalog Qoobox jest ograniczony przez uprawnienia (Wszyscy = Odmów). Można ręcznie to zmodyfikować, by umożliwośc odblokowanie katalogu, ale zajmie się nim poniższy Fix FRST. Co w zamian Adobe Readera? (nie uśmiecha mnie się instalowanie Adobe Readera DC, nie przepadam za chmurami). Adobe Reader DC nie jest przeznaczony dla systemu XP. Obsługiwane systemy to Windows 7 i nowsze. Dla XP zostaje tylko stara wersja Adobe Reader XI. Alternatywnie można korzystać z minitury Sumatra PDF. Foxit Reader przestał być lekki i upodobnił się do Adobe Reader, a stosowanie starych wersji naraża na luki. Otwórz Notatnik i wklej w nim: S3 Ser2pl; system32\DRIVERS\ser2pl.sys [X] RemoveDirectory: C:\Documents and Settings\User\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\FRST-OlderVersion RemoveDirectory: C:\Qoobox CMD: del /q C:\tuffjr6s.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt. Odnośnik do komentarza
BuddaPL Opublikowano 14 Października 2015 Autor Zgłoś Udostępnij Opublikowano 14 Października 2015 Dzięki za porady dotyczące pdf readerów. Oto log Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 15 Października 2015 Zgłoś Udostępnij Opublikowano 15 Października 2015 Fixlog pomyślnie wykonany. Skan Hitman był prowadzony i zakładam, że wszystkie szkodliwe falsyfikaty utworzone przez Brontok zostały usunięte. Na zakończenie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
BuddaPL Opublikowano 16 Października 2015 Autor Zgłoś Udostępnij Opublikowano 16 Października 2015 Dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi