stanley50 Opublikowano 16 Października 2015 Zgłoś Udostępnij Opublikowano 16 Października 2015 Kolega przyniósł mi takiego małego Emachines z Windowsem 7 Starter z narzekaniem że w przeglądarce wyskakuje mu jakas strona i nie może otwierać innych. Zainstalowałem Mbam i skan wskazuje że jest jakiś brontoka, więc pobrałem brontokaremover ale wychodził błąd podczas pobierania baz. Proszę o sprawdzenie i ewentualne leczenie tego ustrojstwa. Gmer przestawał działać przy normalnym uruchomieniu więc zrobiłem skan w trybie awaryjnym. Mam jeszcze pytanie, podpiąłem swojego pena do tego malucha, czy on też może być niepewny? Na razie leży nie używany. Zauważyłem jeszcze że nie działa edycja rejestru i centrum zabezpieczeń. Addition.txt FRST.txt gmer.txt Mbam.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 17 Października 2015 Zgłoś Udostępnij Opublikowano 17 Października 2015 MBAM usunął robaka w części podstawowej, zostały jeszcze korekty (odpadkowe pliki / wpisy rejestru po Brontok oraz inne śmieciarskie / puste wpisy po odinstalowanych programach). Akcje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje: Acrobat.com, Adobe AIR, Adobe Reader 9.1 MUI. - Jest tu też stara nie do końca dobrze odinstalowana wersja avast! Free Antivirus. Zastosuj Avast Uninstall Utility. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. Wpisy są dwa = dwa razy należy uruchomić narzędzie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: SearchScopes: HKU\S-1-5-21-2975930692-3417031848-21304538-1000 -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2975930692-3417031848-21304538-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-2975930692-3417031848-21304538-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKU\S-1-5-21-2975930692-3417031848-21304538-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Toolbar: HKU\S-1-5-21-2975930692-3417031848-21304538-1000 -> Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku HKU\S-1-5-21-2975930692-3417031848-21304538-1000\...\Run: [bzvyvz] => C:\Users\MAREK\AppData\Roaming\Bzvyvz.exe HKU\S-1-5-21-2975930692-3417031848-21304538-1000\...\Run: [Tok-Cirrhatus] => "C:\Users\MAREK\AppData\Local\smss.exe" HKU\S-1-5-21-2975930692-3417031848-21304538-1000\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-2975930692-3417031848-21304538-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-2975930692-3417031848-21304538-1000\...\Policies\Explorer: [NoFolderOptions] 1 Task: {0CC13680-6746-4074-9880-F7B1A0CC801B} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-10-16] (Google Inc.) Task: {13C75CA9-E880-4CF2-ADE1-5D742FE63E3D} - System32\Tasks\{981B9CC7-9FDC-42B1-8559-3C27C9530B64} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=0 Task: {165196C3-EED1-402C-A299-A93DA77D46EB} - System32\Tasks\{FE2C3B55-9F9F-4623-BF35-0B3004A77671} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {1F255ECB-36C2-43B6-8995-8CB669A262D8} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-10-16] (Google Inc.) Task: {2ADD2702-440E-4733-A557-876F8231747F} - System32\Tasks\{23695AF4-4DC2-4F06-A528-B38376AAAEAC} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {2F4510AF-FDD0-44A4-8787-1F2794AEAF1D} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2015-10-16] (Adobe Systems Incorporated) Task: {44E8E910-92E9-4C21-99D8-F5D58835B7A2} - System32\Tasks\{39138FB9-FEF0-4498-9FC6-29531A011124} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {477D5E13-A8F0-41AA-B5A8-828E3726A9C7} - System32\Tasks\{AF38C38B-3B01-4466-A497-B815E5ADBFD6} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=0 Task: {6050C7B9-63D3-47EA-BB74-EBCE79D1473E} - System32\Tasks\{F5881B7C-5ED6-4B7A-8700-A98912D623C6} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {6F2CF711-FB61-432B-9FA6-D4A20D5ABCBC} - System32\Tasks\{75FCEDC3-D45B-4B2D-9838-A38D79CE3187} => Iexplore.exe hxxp://ui.skype.com/ui/0/4.1.0.179.369/pl/abandoninstall?source=lightinstaller&page=tsInstall&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;notincluded Task: {7035641C-36CF-4186-BBD2-9778214A70D3} - System32\Tasks\{EDE3896D-45C5-47B9-AC29-9B14DE8E16F5} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {757F0B79-27E0-47EE-9892-158CF2D4DB0B} - System32\Tasks\{FCC9BAA2-6D64-4349-9548-AA2AE5FB2A23} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {8D569016-AB7C-4CD5-A4BA-24897DD1B0F0} - System32\Tasks\{FEE95B8B-3906-4A04-BAE0-A019FFB2E3A2} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {8F2D27CB-9C41-435F-A8B8-B6C21E15537B} - System32\Tasks\{8C08FD64-797F-4DD8-AC78-7DF8D9BF3728} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {9186B772-F866-4322-A2D4-CAB3AF556184} - System32\Tasks\{27CADEAF-0480-420C-BABB-22101A1E06CC} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=0 Task: {92D88A11-C9BA-44BE-998C-26DEC4BAC360} - System32\Tasks\{843DFC5A-26CD-4BDE-A547-96FE7C8D781E} => Iexplore.exe hxxp://ui.skype.com/ui/0/4.1.0.179.369/pl/abandoninstall?source=lightinstaller&page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;notincluded Task: {A01F8616-8DA3-45DD-A45A-8F5399397B11} - System32\Tasks\{D9C441F1-FCA7-47EB-BFC7-193E305BBBFD} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {AA8CD599-81DC-44AB-9ED8-3FBEFC9106C4} - System32\Tasks\{58192BE9-11AB-4FF3-B84E-F1F340FEA72D} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {B35FD445-B38A-460B-B2D1-232448AD73F0} - System32\Tasks\{DB7DBC60-AFC8-458E-A0DD-D3384EBE8FEF} => Iexplore.exe hxxp://ui.skype.com/ui/0/4.1.0.179.369/pl/abandoninstall?source=lightinstaller&page=tsInstall&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;notincluded Task: {B8AC2B7D-E17A-46E3-9A08-9E06765EB110} - System32\Tasks\{86D0E323-457D-4511-9653-1411BB827EF2} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=12007 Task: {BA9C4C57-A666-4818-A0DB-3743C3DA41CE} - System32\Tasks\{7E59A5E5-13E5-4CF4-9D4F-77E596D17375} => pcalua.exe -a "F:\Męstwo i honor\Męstwo i honor.exe" -d "F:\Męstwo i honor" Task: {BE9EAD8E-2166-4F8A-BEAF-F62177AB8F8A} - System32\Tasks\{A8873E2C-E5DC-4844-9DB8-A8F9BFD97984} => Iexplore.exe hxxp://ui.skype.com/ui/0/4.1.0.179.369/pl/abandoninstall?source=lightinstaller&page=tsProblems&LastError=404&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;notincluded Task: {C55AAC16-5B98-4C87-B8DF-2196A577819B} - System32\Tasks\{448D5A82-8B9B-4C7A-A8DE-0D56984A3FEF} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {C5DD08F8-638D-4EC9-B408-01A199FF8D68} - System32\Tasks\{E5095AB5-F80F-480E-B4B6-8B19DE7C0597} => Iexplore.exe hxxp://ui.skype.com/ui/0/4.1.0.179.369/pl/abandoninstall?source=lightinstaller&page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;notincluded Task: {CB02C3F4-7C74-422A-9407-22A4D407DD71} - System32\Tasks\{C61678FA-699F-45E3-A23D-B7E12F65450D} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {CE0E4BAA-03EB-4D63-B52B-C4BAE1360B7A} - System32\Tasks\{167A6932-4B81-4C44-AE4B-9F4E390C07E0} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=12007 Task: {DE94246A-195C-47BC-BBD4-55E3EAEC5E68} - System32\Tasks\{9C233F42-0218-45CD-B031-56D7CE9FD064} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=2 Task: {E633118C-17E2-4825-AB18-89AF9D3CB8F2} - System32\Tasks\{AB8DD151-AFD1-445C-BB47-8F2F5B543CCF} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=0 Task: {E7141BB8-FC8F-4EE5-AEE1-D330E2843C57} - System32\Tasks\{ECC0620C-E1BA-44A0-A378-4E3BA0E828E7} => Iexplore.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.369&LastError=404 Task: {EF7375BC-0378-4449-B091-801A5B64E7B0} - System32\Tasks\{62BBDF87-E89D-4FB0-A09A-8B359741E6AA} => pcalua.exe -a F:\IKONA\IKONA.exe -d F:\IKONA Task: {F1E5DF3F-8245-4332-A06C-31F27820DEB0} - System32\Tasks\{800B7D9D-DBCB-40E7-8B4A-82C9991D389A} => pcalua.exe -a C:\Users\MAREK\Documents\Documents.exe -d C:\Users\MAREK\Documents Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe C:\Program Files\DAEMON Tools Toolbar C:\Program Files\Google C:\ProgramData\Google C:\ProgramData\Skype C:\ProgramData\Microsoft\Windows\Start Menu\Programs\avast! Free Antivirus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eMachines Documentation C:\Users\MAREK\jaihaep.exe C:\Users\MAREK\AppData\Local\*.exe C:\Users\MAREK\AppData\Local\*Bron* C:\Users\MAREK\AppData\Local\Google C:\Users\MAREK\AppData\Roaming\Skype C:\Users\MAREK\AppData\Roaming\Microsoft\Windows\Templates\bararontok.com C:\Users\MAREK\Documents\Documents.exe, C:\Windows\System32\MAREK's Setting.scr CMD: for /d %f in (C:\Users\MAREK\AppData\Local\*Bron*) do rd /s /q "%f" Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
stanley50 Opublikowano 17 Października 2015 Autor Zgłoś Udostępnij Opublikowano 17 Października 2015 Na razie nic nie wykonałem bo chciałem się upewnić czy MBAM to usunął ponieważ ja nie zastosowałem usuwania tylko jak zakończył wyszukiwanie to zapisałem do pliku txt to co znalazł i nic więcej nie robiłem do tej pory. Odnośnik do komentarza
picasso Opublikowano 17 Października 2015 Zgłoś Udostępnij Opublikowano 17 Października 2015 Oceniam co mówią logi - Brontok nie jest aktywny. Część wpisów z raportu MBAM właśnie była już uwzględniona w skrypcie FRST, część nie, bo log FRST ich nie pokazywał (nie ma ich). Skoro jednak nic nie usuwałeś za pomocą MBAM, to dołożyłam na wszelki wypadek dodatkowe komendy na kilka plików które mogą być poza widocznością raportu FRST. Odnośnik do komentarza
stanley50 Opublikowano 17 Października 2015 Autor Zgłoś Udostępnij Opublikowano 17 Października 2015 Zalecone czynności wykonane, trwało to 3 godzinki bo tak tragicznie wolno wszystko chodziło. Teraz jest dużo lepiej choć programy, np. FRST, Notatnik czy Internet Explorer otwierają się po dłuższej chwili, tak z 10 sek. zanim się uruchomią. Później już działają szybko. Nawet pisząc tego posta miałem przestoje, to co napisałem pojawiało się za chwilę. Internet Explorer chodzi tragicznie wolno, cały czas odzyskuje strony sieci web. Czy inna przeglądarka coś może zmienić, przyspieszyć? Zobaczyłem teraz że ten wynalazek ma tylko 1GB pamięci a w procesach wykorzystanie oscyluje między 89 a 96%, to chyba będzie przyczyną mulenia tego sprzętu. System zamyka się ok 5 minut, tragedia. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2015 Zgłoś Udostępnij Opublikowano 18 Października 2015 Akcje pomyślnie wykonane. Drobne poprawki. Otwórz Notatnik i wklej: HKLM\...\Run: [avast5] => "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui S3 avast! Mail Scanner; "C:\Program Files\Alwil Software\Avast5\AvastSvc.exe" [X] S3 avast! Web Scanner; "C:\Program Files\Alwil Software\Avast5\AvastSvc.exe" [X] S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] C:\Users\MAREK\Documents\Documents.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\AVAST Software RemoveDirectory: C:\Program Files\BRONTOKRemoval Tool RemoveDirectory: C:\Program Files\brontok .a 10removaltool RemoveDirectory: C:\Users\MAREK\Desktop\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Zalecone czynności wykonane, trwało to 3 godzinki bo tak tragicznie wolno wszystko chodziło. Teraz jest dużo lepiej choć programy, np. FRST, Notatnik czy Internet Explorer otwierają się po dłuższej chwili, tak z 10 sek. zanim się uruchomią. Później już działają szybko. Nawet pisząc tego posta miałem przestoje, to co napisałem pojawiało się za chwilę. Internet Explorer chodzi tragicznie wolno, cały czas odzyskuje strony sieci web. Czy inna przeglądarka coś może zmienić, przyspieszyć? Zobaczyłem teraz że ten wynalazek ma tylko 1GB pamięci a w procesach wykorzystanie oscyluje między 89 a 96%, to chyba będzie przyczyną mulenia tego sprzętu. System zamyka się ok 5 minut, tragedia. Opisywane problemy mają inną przyczynę niż infekcja. Rzuca się w oczy: 1. Po pierwsze, przyczyna podstawowa zamuły to ilość wolnego miejsca na dysku. Tu tragedia i prawdopodobnie to jest główny powód zdarzeń: Drive c: (eMachines) (Fixed) (Total:135.94 GB) (Free:2.09 GB) NTFS Należy uwolnić więcej miejsca, 10GB wolnego byłoby bardziej odpowiednią skalą... Odinstaluj nieużywane / zbędne programy firmowe eMachines. Zanalizuj dysk za pomocą SpaceSniffer (z prawokliku "Uruchom jako Administrator") co i skąd można jeszcze usunąć. 2. Drugi aspekt już wskazywany przez Ciebie, mało RAM: ==================== Statystyki pamięci =========================== Procesor: Intel® Atom CPU N450 @ 1.66GHz Procent pamięci w użyciu: 85% Całkowita pamięć fizyczna: 1013.1 MB Dostępna pamięć fizyczna: 150.79 MB Całkowita pamięć wirtualna: 2037.1 MB Dostępna pamięć wirtualna: 1008.18 MB Przy ograniczonej ilości pamięci i niemożności jej rozszerzenia, nasuwa mi się jedynie zbijanie procesów. Odnośnik do komentarza
stanley50 Opublikowano 18 Października 2015 Autor Zgłoś Udostępnij Opublikowano 18 Października 2015 Skrypt wykonany, log dodany. Trochę usunąłem i wyłączyłem doraźnie usługę Windows Update bo nie dało się nic zrobić, ona zabierała ok 400MB pamięci teraz jest o niebo lepiej. Będę mógł popatrzeć co jest do wyłączenia a co do usunięcia. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 18 Października 2015 Zgłoś Udostępnij Opublikowano 18 Października 2015 Fix wykonany pomyślnie. Skan MBAM już był wcześniej prowadzony. Myślę, że możemy finalizować temat: Klasyczna operacja końcowa z użyciem DelFix i czyszczeniem folderów Przywracania systemu: KLIK. Odnośnik do komentarza
stanley50 Opublikowano 18 Października 2015 Autor Zgłoś Udostępnij Opublikowano 18 Października 2015 DelFix wykonany, przywracanie systemu wyczyszczone które dało ok 5GB miejsca na dysku. Dziękuję niezmiernie za poświęcony czas i rozwiązanie problemu. Odnośnik do komentarza
Rekomendowane odpowiedzi