wirus BRONTOK.A[10] Windows XP proszę o pomoc w rozwiązaniu problemu

[2hoo]

Witam wszystkich forumowiczów, jestem pierwszy raz na forum - Pozdrawiam z Bydgoszczy!

 

Czy mógłby ktoś pomóc w usunięciu wirusa, wirus BRONTOK.A[10] .

 

Po kilku minutach pojawia się strona internetowa w IE z informacją o infekcji,

system potrafi się wylogować i wyłączyć przy uruchamianiu narzędzi skanujących lub komend windows.

 

Z góry dzięki za pomoc

 

 

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Pomóc - pomogę, ale nie widzę w tym większego sensu. Windows XP to system operacyjny pozbawiony wsparcia, wystawia się infekcja jak na dłoni, a już zwłaszcza kiedy nie posiadasz oprogramowanie zabezpieczającego - KLIK. 

 

---

 

System jest mocno zainfekowany robakiem Brontok i leczenie może być oporne, bo malware wprowadziło blokadę programów zabezpieczających w oparciu o funkcję Niezaufanych certyfikatów.

 

Nie uruchamiaj żadnych plików wykonywalnych. Ogranicz się do przeglądarki i narzędzi, które Ci zlecam.

Wszystkie komputery, które mogły mieć jakieś połączenie z tym wymagają diagnostyki pod kątem infekcji.

 

Od razu przechodzimy do działań. 

 

1. Wyczyść wszystkie punkty przywracania systemu - KLIK. 

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
HKLM\ DisallowedCertificates: 08738A96A4853A52ACEF23F782E8E1FEA7BCED02 (U)
HKLM\ DisallowedCertificates: 09271DD621EBD3910C2EA1D059F99B8181405A17 (U)
HKLM\ DisallowedCertificates: 09FF2CC86CEEFA8A8BB3F2E3E84D6DA3FABBF63E (U)
HKLM\ DisallowedCertificates: 23EF3384E21F70F034C467D4CBA6EB61429F174E (U)
HKLM\ DisallowedCertificates: 330D8D3FD325A0E5FDDDA27013A2E75E7130165F (U)
HKLM\ DisallowedCertificates: 374D5B925B0BD83494E656EB8087127275DB83CE (U)
HKLM\ DisallowedCertificates: 3A26012171855D4020C973BEC3F4F9DA45BD2B83 (U)
HKLM\ DisallowedCertificates: 4D8547B7F864132A7F62D9B75B068521F10B68E3 (U)
HKLM\ DisallowedCertificates: 4DF13947493CFF69CDE554881C5F114E97C3D03B (U)
HKLM\ DisallowedCertificates: 4ED8AA06D1BC72CA64C47B1DFE05ACC8D51FC76F (U)
HKLM\ DisallowedCertificates: 587B59FB52D8A683CBE1CA00E6393D7BB923BC92 (U)
HKLM\ DisallowedCertificates: 5CE339465F41A1E423149F65544095404DE6EBE2 (U)
HKLM\ DisallowedCertificates: 5D5185DF1EB7DC76015422EC8138A5724BEE2886 (U)
HKLM\ DisallowedCertificates: 6690C02B922CBD3FF0D0A5994DBD336592887E3F (U)
HKLM\ DisallowedCertificates: 7613BF0BA261006CAC3ED2DDBEF343425357F18B (U)
HKLM\ DisallowedCertificates: 838FFD509DE868F481C29819992E38A4F7082873 (U)
HKLM\ DisallowedCertificates: 8977E8569D2A633AF01D0394851681CE122683A6 (U)
HKLM\ DisallowedCertificates: A1505D9843C826DD67ED4EA5209804BDBB0DF502 (U)
HKLM\ DisallowedCertificates: A221D360309B5C3C4097C44CC779ACC5A9845B66 (U)
HKLM\ DisallowedCertificates: A35A8C727E88BCCA40A3F9679CE8CA00C26789FD (U)
HKLM\ DisallowedCertificates: A7B5531DDC87129E2C3BB14767953D6745FB14A6 (U)
HKLM\ DisallowedCertificates: A81706D31E6F5C791CD9D3B1B9C63464954BA4F5 (U)
HKLM\ DisallowedCertificates: BED412B1334D7DFCEBA3015E5F9F905D571C45CF (U)
HKLM\ DisallowedCertificates: C69F28C825139E65A646C434ACA5A1D200295DB1 (U)
HKLM\ DisallowedCertificates: D0BB3E3DFBFB86C0EEE2A047E328609E6E1F185E (U)
HKLM\ DisallowedCertificates: D43153C8C25F0041287987250F1E3CABAC8C2177 (U)
HKLM\ DisallowedCertificates: D8CE8D07F9F19D2569C2FB854401BC99C1EB7C3B (U)
HKLM\ DisallowedCertificates: E38A2B7663B86796436D8DF5898D9FAA6835B238 (U)
HKLM\ DisallowedCertificates: E95DD86F32C771F0341743EBD75EC33C74A3DED9 (U)
HKLM\ DisallowedCertificates: E9809E023B4512AA4D4D53F40569C313C1D0294D (U)
HKLM\ DisallowedCertificates: F5A874F3987EB0A9961A564B669A9050F770308A (U)
HKLM\ DisallowedCertificates: F92BE5266CC05DB2DC0DC3F2DC74E02DEFD949CB (U)
HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\Explorer: [NoFolderOptions] 1
HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1
HKLM\...\Run: [bron-Spizaetus] => C:\WINDOWS\ShellNew\sempalong.exe [42713 2009-07-23] ()
HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\eksplorasi.exe" [x ] ()
HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe [42713 2009-07-23] ()
HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe [42713 2009-07-23] ()
Startup: C:\Documents and Settings\essemtec\Start Menu\Programs\Startup\Empty.pif [2009-07-23] ()
Startup: C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup\Empty.pif [2009-07-23] ()
GroupPolicy: Restriction ? 
C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe
C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe
C:\Documents and Settings\essemtec\Start Menu\Programs\Startup\Empty.pif
C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup\Empty.pif
S4 IntelIde; no ImagePath
U1 WS2IFSL; no ImagePath
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\csrss.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\inetinfo.exe
2016-09-03 06:39 - 2016-09-03 06:39 - 0000051 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\Kosong.Bron.Tok.txt
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\lsass.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\services.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 ____N () C:\Documents and Settings\essemtec\Local Settings\Application Data\winlogon.exe
Task: C:\WINDOWS\Tasks\At1.job => C:\Documents and Settings\essemtec\Templates\Brengkolang.com
C:\WINDOWS\Tasks\At1.job
C:\Documents and Settings\All Users\Start Menu\Programs\Point Grey Research\PGR FlyCapture\Documentation\Camera\Grasshopper Technical Reference.pdf.lnk
C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*.exe
C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*Bron*
C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*Bron*.*
CMD: dir /a C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Dla wyników połączonych z infekcja Brontok zastosuj opcję leczenia, resztę zostaw i dostarcz raport. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt.

[2hoo]

Dziękuję za pomoc, .Zrobiłem wszystkie punkty według zaleceń.

 

Na razie system się uruchomił i nie zauważyłem objawów.

 

Jest to komputer do sterowania maszyną przemysłową niestety był bez antywirusa chociaż nie miał połączenia z internetem wirus przeniesiony na nośniku zewnętrznym.

 

Wgram później program antywirusowy.

 

Załączam logi.

Addition.txt

FRST.txt

Shortcut.txt

malwarebytes.txt

Edytowane 11 Czerwca 2017 przez Rucek

[2hoo]

Jeszcze fixlog.txt

Fixlog.txt

[Miszel03]

Wszystko pomyślnie wykonane. Infekcja zdjęta. Z tego co widzę nie włączyłeś po czyszczeniu Przywracania systemu - włącz je, lecz niczego nie przywracaj. 

 

Teraz gruntowanie przeskanujemy każdy plik w systemie, ponieważ Brontok je infekuje i w przypadku uruchomienia mogłoby dojść do reinfekcji. 

 

1. Powtórz skan MBAM, dla wyników infekcji Brontok zastosuj opcję kwarantanny lub usunięcia. 
 

2. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. Dla wyników Brontok również zastosuj opcję kwarantanny lub usunięcia. 

 

3. Dostarcz raport z w/w narzędzi. 

[2hoo]

Dziękuję za profesjonalną pomoc!

 

Wcześniej gdy próbowałem usuwać wirusa na własną rękę np Combofix, lub Malwarebytes, kończyło się uszkodzeniem systemu i restartami Windows.Dobrze że miałem klon dysku.Teraz wszystko działa, zostaje mi zainstalowanie ochrony.Załączam logi i printscreena.

 

Pozdrawiam

malwarebytes2.txt

[Miszel03]

Tak, już jest wszystko w porządku, a na temat ComboFix poczytaj: KLIK.

 

Kroki końcowe: zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.