Raptor Opublikowano 21 Grudnia 2016 Zgłoś Udostępnij Opublikowano 21 Grudnia 2016 Witam, Proszę o pomoc w usunięciu infekcji mojego leciwego już laptopa wirusem Kosong.Bron.Tok. W załączniku przesyłam logi. Wirus ujawnił swoją obecność tuż po przeinstalowaniu systemu poprzedzonym pełnym formatowaniem partycji C. Po zainstalowaniu systemu, SP3, IE8 i wszystkich sterowników laptop zresetował się przy próbie ściągnięcia dodatku do programu CutePDF służącego do konwersji plików tekstowych do formatu pdf (dodatek z rozszerzeniem exe). Dało mi to troszkę do myślenia, ponieważ podobne problemy miałem początkiem tego roku. Wtedy korzystałem również z pomocy użytkowników tego forum. Najprawdopodobniej wirus nie został skutecznie usunięty lub utworzył jakąś swoją kopię na innej partycji niż systemowa. Czy moglibyście dodatkowo polecić jakiś dobry program antywirusowy, który będzie w stanie skutecznie wykrywać zagrożenia? Pozdrawiam Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 21 Grudnia 2016 Zgłoś Udostępnij Opublikowano 21 Grudnia 2016 Raporty zostały wygenerowane przestarzałą wersją narzędzia Farbar Recovery Scan Tool (Wersja marca br.). Wygeneruj nowe raporty używając najnowszej wersji FRST - KLIK. Odnośnik do komentarza
Raptor Opublikowano 21 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 21 Grudnia 2016 Niestety nie mogłem ściągnąć aktualizacji programu na zainfekowanym laptopie, ponieważ każda próba zapisania pliku kończyła się restartem systemu (restart w momencie gdy wyskakiwało okno z wyborem lokalizacji, w której miał się zapisać plik). Ściągnąłem zatem program na innym komputerze i przeniosłem pendrivem na zainfekowany laptop. W załączniku nowe pliki. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 22 Grudnia 2016 Zgłoś Udostępnij Opublikowano 22 Grudnia 2016 Ściągnąłem zatem program na innym komputerze i przeniosłem pendrivem na zainfekowany laptop. W załączniku nowe pliki. Pendriva nie podpinaj pod żadnym pozorem do innych komputerów, bo je zarazisz. Potem go będziemy leczyć. System jest mocno zainfekowany wirusem Brontok. To są właśnie skutki nie posiadania żadnego oprogramowania antywirusowego, a przecież wystarczył by darmowy Avast... Przejdź do trybu awaryjnego (kliknij F8 przed startem systemu). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe" [x ] () HKLM\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-19\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-19\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-19\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-20\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-20\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Run: [Tok-Cirrhatus-3444] => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe [43319 2014-10-19] () HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Run: [Tok-Cirrhatus] => 0 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-18\...\Policies\Explorer: [NoSMMyPictures] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoSMConfigurePrograms] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoSMHelp] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsMenu] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsHistory] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoStartBanner] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-18\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 HKU\S-1-5-18\...\Policies\Explorer: [NoResolveSearch] 1 Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif [2014-10-19] () AlternateShell: cmd-brontok.exe U4 Alerter; Brak ImagePath S4 IntelIde; Brak ImagePath U4 Messenger; Brak ImagePath S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] U1 WS2IFSL; Brak ImagePath C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\*Bron*.* HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe" 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\csrss.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\inetinfo.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\lsass.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\services.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe 2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 ____N () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\winlogon.exe CMD: dir /a C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Raptor Opublikowano 22 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 22 Grudnia 2016 (edytowane) W trybie awaryjnym nie miałem dostępu do sieci więc plik Fixlist.txt utworzyłem w trybie normalnym. Po jego utworzeniu uruchomiłem laptop w trybie awaryjnym i włączyłem opcję Napraw w FRST.Program uruchomiłem przed 18 i wciąż działa (już koło 4 godzin). Czy to normalny czas pracy?Pozostawię laptopa włączonego na noc i zobaczę rano jaki będzie rezultat. EDIT: Program FRST w dalszym ciągu nie zakończył pracy. Czy pomimo tego nie przerywać i kontynuować? Edytowane 23 Grudnia 2016 przez Rucek Odnośnik do komentarza
Rucek Opublikowano 23 Grudnia 2016 Zgłoś Udostępnij Opublikowano 23 Grudnia 2016 Nie, coś poszło nie tak, to nie powinno tyle trwać. Reset kompa - znowu tryb awaryjny - spróbuj jeszcze raz. Odnośnik do komentarza
Raptor Opublikowano 23 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 23 Grudnia 2016 Program FRST działał nie przerwanie do teraz (prawie 24 godziny) i nie chciał się wyłączyć. Musiałem zamknąć proces z menadżera zadań. Zauważyłem, że utworzył się jednak plik Fixlog.txt, który załączam. Na razie nie próbowałem ponownie uruchamiać opcji Napraw, ponieważ nie wiem co do tej pory się wykonało. Proszę o weryfikację i dalsze instrukcje. Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 29 Grudnia 2016 Zgłoś Udostępnij Opublikowano 29 Grudnia 2016 Dostarcz mi nowe raporty FRST. Odnośnik do komentarza
Raptor Opublikowano 29 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 29 Grudnia 2016 Dostarcz mi nowe raportu FRST. W załączniku. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 30 Grudnia 2016 Zgłoś Udostępnij Opublikowano 30 Grudnia 2016 1. Przeprowadź skanowanie za pomocą Malwarebytes, dla wszystkich wyników zastosuj opcję przenieś do kwarantanny. 2. Wygeneruj nowe raporty FRST. Odnośnik do komentarza
Raptor Opublikowano 30 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 30 Grudnia 2016 Niestety przy próbie ściągnięcia jakiegokolwiek pliku z rozszerzeniem exe laptop jest automatycznie resetowany. Tak samo przy próbie otworzenia wiersza poleceń. Na szczęście miałem instalkę programu Malwarebytes na dysku. Po instalacji zaktualizowała się baza danych i rozpocząłem skanowanie. Program zidentyfikował 45 różnych zagrożeń, ale niestety nie mam opcji kwarantanny. Jedyne co mogę zrobić to usunąć wszystkie zaznaczone pliki. Screen z programu i nowe raporty FRST w załącznikach. Dodam, iż przy uruchomieniu programu FRST otrzymuję komunikat: "Failed to update (3)", ale po kliknięciu przycisku OK (jedyny dostępny) program działa prawidłowo.Program Malwarebytes jest włączony i co jakiś czas znajduje nowe zagrożenia, które automatycznie poddaje kwarantannie. W tej chwili mam jednak tylko 13 plików objętych kwarantanną podczas, gdy pełne skanowanie wykazało 45 zagrożeń. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 30 Grudnia 2016 Zgłoś Udostępnij Opublikowano 30 Grudnia 2016 Wszystkie pliki wykryte przez MBAM daj do usuwania i wygeneruj nowe raporty. Odnośnik do komentarza
Raptor Opublikowano 30 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 30 Grudnia 2016 Zrobione. Pliki w załączniku. Dodatkowo przy starcie systemu pojawił się komunikat jak w załączonym screenie. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 31 Grudnia 2016 Zgłoś Udostępnij Opublikowano 31 Grudnia 2016 Malwarebytes unieszkodliwiła infekcje, teraz trzeba po niej posprzątać. Pobierz najnowszą wersję FRST, starą skasuj. Na nowej wersji: 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:HKU\S-1-5-19\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32HKU\S-1-5-19\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,NHKU\S-1-5-19\...\Policies\Explorer: [NoSMMyPictures] 1HKU\S-1-5-19\...\Policies\Explorer: [NoSMConfigurePrograms] 1HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsMenu] 1HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsHistory] 1HKU\S-1-5-19\...\Policies\Explorer: [NoStartBanner] 1HKU\S-1-5-19\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1HKU\S-1-5-19\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1HKU\S-1-5-19\...\Policies\Explorer: [NoResolveSearch] 1HKU\S-1-5-20\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32HKU\S-1-5-20\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,NHKU\S-1-5-20\...\Policies\Explorer: [NoSMMyPictures] 1HKU\S-1-5-20\...\Policies\Explorer: [NoSMConfigurePrograms] 1HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsMenu] 1HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsHistory] 1HKU\S-1-5-20\...\Policies\Explorer: [NoStartBanner] 1HKU\S-1-5-20\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1HKU\S-1-5-20\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1HKU\S-1-5-20\...\Policies\Explorer: [NoResolveSearch] 1HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\system: [DisableCMD] 0HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMMyPictures] 1HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMConfigurePrograms] 1HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsMenu] 1HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsHistory] 1HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoStartBanner] 1HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoResolveSearch] 1HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [RestrictRun] 0HKU\S-1-5-18\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32HKU\S-1-5-18\...\RunOnce: [nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,NHKU\S-1-5-18\...\Policies\Explorer: [NoSMMyPictures] 1HKU\S-1-5-18\...\Policies\Explorer: [NoSMConfigurePrograms] 1HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsMenu] 1HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsHistory] 1HKU\S-1-5-18\...\Policies\Explorer: [NoStartBanner] 1HKU\S-1-5-18\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1HKU\S-1-5-18\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1HKU\S-1-5-18\...\Policies\Explorer: [NoResolveSearch] 1AlternateShell: cmd-brontok.exeU4 Alerter; Brak ImagePathS4 IntelIde; Brak ImagePathU4 Messenger; Brak ImagePathS3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X]U1 WS2IFSL; Brak ImagePath2016-12-18 15:04 - 2016-12-18 15:04 - 0000051 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txtHKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe"EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób raport z Farbar Service Scanner. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Raptor Opublikowano 31 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 31 Grudnia 2016 W załączniku przesyłam wszystkie wymagane pliki. Dziś po zakończeniu skanowania za pomocą FSS program Malwarebytes wyświetlił komunikat o wykryciu potencjalnego zagrożenia: PUM.Optional.DisableShowHelp, który podlega obecnie kwarantannie. Nie wiem skąd wzięła się ta infekcja, szczególnie tuż po świeżej instalacji systemu, ale może zainfekowany jest jakiś plik lub sterownik, który mam zapisany lokalnie na innych partycjach. Dodatkowo: w zakładce Historia w Malwarebytes mam 66 wpisów poddanych kwarantannie. Czy mam usunąć wszystkie pliki? FSS.txt Addition.txt FRST.txt Shortcut.txt Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 31 Grudnia 2016 Zgłoś Udostępnij Opublikowano 31 Grudnia 2016 Dziś po zakończeniu skanowania za pomocą FSS program Malwarebytes wyświetlił komunikat o wykryciu potencjalnego zagrożenia: PUM.Optional.DisableShowHelp, który podlega obecnie kwarantannie. OK. Dodatkowo: w zakładce Historia w Malwarebytes mam 66 wpisów poddanych kwarantannie. Czy mam usunąć wszystkie pliki? Tak, ale one mają zostać usunięte z kwarantanny, a nie przywrócone z kwarantanny. Jedziemy dalej z sprzątaniem: 1. Otwórz Notatnik w nim wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"= 0x0000000001 (1) "DisableNotifications"= 0x0000000000 (0) "DoNotAllowExceptions"= 0x0000000000 (0) Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal. 2. Uruchom SystemLook i w oknie programu wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /s Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum. 3. Wydaje mi się, że MBAM nie widzi dokładnie wszystkich plików, więc poproszę o skorzystanie teraz z innego skanera czyli Kaspersky Virus Removal Tool (KVRT). Skonfiguruj go na pełny skan dysku C i usuń za jego pomocą to co wykryje od Brontok. Skan powtarzaj do wyniku zero. Odnośnik do komentarza
Raptor Opublikowano 31 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 31 Grudnia 2016 Z Malwarebytes usunąłem wszystkie wpisy. Niestety mam problem z punktem nr 1, ponieważ opcja Scal nie działa. Po jej uruchomieniu i potwierdzeniu pojawia się komunikat jak na załączonym screenie. Kolejnych kroków nie wykonywałem, ponieważ nie przeszedłem przez pierwszy. Co mam w tej sytuacji robić? Odnośnik do komentarza
Miszel03 Opublikowano 31 Grudnia 2016 Zgłoś Udostępnij Opublikowano 31 Grudnia 2016 Poprawione, spróbuj teraz. Odnośnik do komentarza
Raptor Opublikowano 31 Grudnia 2016 Autor Zgłoś Udostępnij Opublikowano 31 Grudnia 2016 Teraz poszło. Wynik SystemLook w załączniku. KVRT znalazł jeszcze 126 zagrożeń. Niemal wszystkie z opisem Email-Worm.Win32.Brontok.q. Tylko jeden z opisem Trojan.Win32.Patched.hp. Wszystkie Brontok usunąłem, a trojana wyleczyłem (screen). SystemLook.txt Odnośnik do komentarza
Miszel03 Opublikowano 1 Stycznia 2017 Zgłoś Udostępnij Opublikowano 1 Stycznia 2017 KVRT znalazł jeszcze 126 zagrożeń. Niemal wszystkie z opisem Email-Worm.Win32.Brontok.q. Tylko jeden z opisem Trojan.Win32.Patched.hp. Wszystkie Brontok usunąłem, a trojana wyleczyłem (screen). Rozumiem, że skan był powtarzany do wyniku zero infekcji (tak jak prosiłem)? Jeśli tak to poproszę o podsumowanie sytuacji z Twojej strony. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"= 0x0000000000 (0) A to nadal siedzi, u mnie w systemie klucz wygląda tak: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"= 0x0000000001 (1) Poczekam z tym na picasso. Odnośnik do komentarza
Raptor Opublikowano 1 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 1 Stycznia 2017 Przepraszam, ale przeoczyłem ostatnie zdanie z Twoim poście dotyczące powtarzania scanu i wykonałem go tylko raz. Przed chwilą wykonałem ponownie scan KVRT, który nie wykrył już żadnych zagrożeń. Jeżeli chodzi o ogólną sytuację, to objawy infekcji, które zauważyłem ustąpiły: laptop przestał się resetować po włączeniu wiersza poleceń czy ściąganiu plików exe. Innych objawów wcześniej nie zauważyłem. Nie wiem też jak dokładnie działa wirus, który miałem i jakie ma zadania. Jak na razie wszystko wygląda dobrze. Zastanawia mnie jedynie skąd się wzięła ta infekcja tuż po przeinstalowaniu systemu. Obawiam się, że może kryć się nadal na innej partycji niż C. Do zainfekowanego laptopa podłączałem pendrive, dysk zewnętrzny oraz telefon. Czym można przeskanować te urządzenia, aby się upewnić czy są zainfekowane? Odnośnik do komentarza
Miszel03 Opublikowano 3 Stycznia 2017 Zgłoś Udostępnij Opublikowano 3 Stycznia 2017 Obawiam się, że może kryć się nadal na innej partycji niż C. Do zainfekowanego laptopa podłączałem pendrive, dysk zewnętrzny oraz telefon. Czym można przeskanować te urządzenia, aby się upewnić czy są zainfekowane? W takim razie potraktuj wszystkie partycje, urządzenia przenoście (do wyboru w opcjach) narzędziem KVRT. Jeśli chodzi o telefon to nie mógł on zostać zainfekowany. Odnośnik do komentarza
Raptor Opublikowano 4 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 4 Stycznia 2017 Na razie przeskanowałem wszystkie partycje. Po pierwszym skanowaniu 4 zagrożenia (screen), usunąłem wszystkie pliki. Po drugim kolejne 3 zagrożenia (screen), również wszystko usunąłem. Po trzecim skanowaniu czysto. Mam jeszcze pytanie odnoście różnicy w kluczach: czy należy coś z tym jeszcze zrobić? Odnośnik do komentarza
Miszel03 Opublikowano 4 Stycznia 2017 Zgłoś Udostępnij Opublikowano 4 Stycznia 2017 Pierwsze dwa zagrożenia (z pierwszego screena) to asystent pobierania dobrych programów, w którym siedzi adware - dlatego jest wykrywany. Trzeci wynik to też wykrycie adware / pup, więc to błacha sprawa.Drugi screen: to samo co w pierwszych trzech wynikach na pierwszym screenie, aczkolwiek tym razem siedzi to w punktach przywracania systemu. Odnośnik do komentarza
Raptor Opublikowano 5 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2017 Jak wspomniałem w poprzednim poście profilaktycznie usunąłem wszystkie znalezione zagrożenia. Czy będą jakieś dodatkowe instrukcje? Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się