2hoo Opublikowano 10 Czerwca 2017 Zgłoś Udostępnij Opublikowano 10 Czerwca 2017 Witam wszystkich forumowiczów, jestem pierwszy raz na forum - Pozdrawiam z Bydgoszczy! Czy mógłby ktoś pomóc w usunięciu wirusa, wirus BRONTOK.A[10] . Po kilku minutach pojawia się strona internetowa w IE z informacją o infekcji, system potrafi się wylogować i wyłączyć przy uruchamianiu narzędzi skanujących lub komend windows. Z góry dzięki za pomoc Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 10 Czerwca 2017 Zgłoś Udostępnij Opublikowano 10 Czerwca 2017 Pomóc - pomogę, ale nie widzę w tym większego sensu. Windows XP to system operacyjny pozbawiony wsparcia, wystawia się infekcja jak na dłoni, a już zwłaszcza kiedy nie posiadasz oprogramowanie zabezpieczającego - KLIK. System jest mocno zainfekowany robakiem Brontok i leczenie może być oporne, bo malware wprowadziło blokadę programów zabezpieczających w oparciu o funkcję Niezaufanych certyfikatów. Nie uruchamiaj żadnych plików wykonywalnych. Ogranicz się do przeglądarki i narzędzi, które Ci zlecam. Wszystkie komputery, które mogły mieć jakieś połączenie z tym wymagają diagnostyki pod kątem infekcji. Od razu przechodzimy do działań. 1. Wyczyść wszystkie punkty przywracania systemu - KLIK. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM\ DisallowedCertificates: 08738A96A4853A52ACEF23F782E8E1FEA7BCED02 (U) HKLM\ DisallowedCertificates: 09271DD621EBD3910C2EA1D059F99B8181405A17 (U) HKLM\ DisallowedCertificates: 09FF2CC86CEEFA8A8BB3F2E3E84D6DA3FABBF63E (U) HKLM\ DisallowedCertificates: 23EF3384E21F70F034C467D4CBA6EB61429F174E (U) HKLM\ DisallowedCertificates: 330D8D3FD325A0E5FDDDA27013A2E75E7130165F (U) HKLM\ DisallowedCertificates: 374D5B925B0BD83494E656EB8087127275DB83CE (U) HKLM\ DisallowedCertificates: 3A26012171855D4020C973BEC3F4F9DA45BD2B83 (U) HKLM\ DisallowedCertificates: 4D8547B7F864132A7F62D9B75B068521F10B68E3 (U) HKLM\ DisallowedCertificates: 4DF13947493CFF69CDE554881C5F114E97C3D03B (U) HKLM\ DisallowedCertificates: 4ED8AA06D1BC72CA64C47B1DFE05ACC8D51FC76F (U) HKLM\ DisallowedCertificates: 587B59FB52D8A683CBE1CA00E6393D7BB923BC92 (U) HKLM\ DisallowedCertificates: 5CE339465F41A1E423149F65544095404DE6EBE2 (U) HKLM\ DisallowedCertificates: 5D5185DF1EB7DC76015422EC8138A5724BEE2886 (U) HKLM\ DisallowedCertificates: 6690C02B922CBD3FF0D0A5994DBD336592887E3F (U) HKLM\ DisallowedCertificates: 7613BF0BA261006CAC3ED2DDBEF343425357F18B (U) HKLM\ DisallowedCertificates: 838FFD509DE868F481C29819992E38A4F7082873 (U) HKLM\ DisallowedCertificates: 8977E8569D2A633AF01D0394851681CE122683A6 (U) HKLM\ DisallowedCertificates: A1505D9843C826DD67ED4EA5209804BDBB0DF502 (U) HKLM\ DisallowedCertificates: A221D360309B5C3C4097C44CC779ACC5A9845B66 (U) HKLM\ DisallowedCertificates: A35A8C727E88BCCA40A3F9679CE8CA00C26789FD (U) HKLM\ DisallowedCertificates: A7B5531DDC87129E2C3BB14767953D6745FB14A6 (U) HKLM\ DisallowedCertificates: A81706D31E6F5C791CD9D3B1B9C63464954BA4F5 (U) HKLM\ DisallowedCertificates: BED412B1334D7DFCEBA3015E5F9F905D571C45CF (U) HKLM\ DisallowedCertificates: C69F28C825139E65A646C434ACA5A1D200295DB1 (U) HKLM\ DisallowedCertificates: D0BB3E3DFBFB86C0EEE2A047E328609E6E1F185E (U) HKLM\ DisallowedCertificates: D43153C8C25F0041287987250F1E3CABAC8C2177 (U) HKLM\ DisallowedCertificates: D8CE8D07F9F19D2569C2FB854401BC99C1EB7C3B (U) HKLM\ DisallowedCertificates: E38A2B7663B86796436D8DF5898D9FAA6835B238 (U) HKLM\ DisallowedCertificates: E95DD86F32C771F0341743EBD75EC33C74A3DED9 (U) HKLM\ DisallowedCertificates: E9809E023B4512AA4D4D53F40569C313C1D0294D (U) HKLM\ DisallowedCertificates: F5A874F3987EB0A9961A564B669A9050F770308A (U) HKLM\ DisallowedCertificates: F92BE5266CC05DB2DC0DC3F2DC74E02DEFD949CB (U) HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1 HKLM\...\Run: [bron-Spizaetus] => C:\WINDOWS\ShellNew\sempalong.exe [42713 2009-07-23] () HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\eksplorasi.exe" [x ] () HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe [42713 2009-07-23] () HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe [42713 2009-07-23] () Startup: C:\Documents and Settings\essemtec\Start Menu\Programs\Startup\Empty.pif [2009-07-23] () Startup: C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup\Empty.pif [2009-07-23] () GroupPolicy: Restriction ? C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe C:\Documents and Settings\essemtec\Start Menu\Programs\Startup\Empty.pif C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup\Empty.pif S4 IntelIde; no ImagePath U1 WS2IFSL; no ImagePath 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\csrss.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\inetinfo.exe 2016-09-03 06:39 - 2016-09-03 06:39 - 0000051 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\Kosong.Bron.Tok.txt 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\lsass.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\services.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 ____N () C:\Documents and Settings\essemtec\Local Settings\Application Data\winlogon.exe Task: C:\WINDOWS\Tasks\At1.job => C:\Documents and Settings\essemtec\Templates\Brengkolang.com C:\WINDOWS\Tasks\At1.job C:\Documents and Settings\All Users\Start Menu\Programs\Point Grey Research\PGR FlyCapture\Documentation\Camera\Grasshopper Technical Reference.pdf.lnk C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*.exe C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*Bron*.* CMD: dir /a C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Dla wyników połączonych z infekcja Brontok zastosuj opcję leczenia, resztę zostaw i dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt. Odnośnik do komentarza
2hoo Opublikowano 10 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2017 (edytowane) Dziękuję za pomoc, .Zrobiłem wszystkie punkty według zaleceń. Na razie system się uruchomił i nie zauważyłem objawów. Jest to komputer do sterowania maszyną przemysłową niestety był bez antywirusa chociaż nie miał połączenia z internetem wirus przeniesiony na nośniku zewnętrznym. Wgram później program antywirusowy. Załączam logi. Addition.txt FRST.txt Shortcut.txt malwarebytes.txt Edytowane 11 Czerwca 2017 przez Rucek Odnośnik do komentarza
2hoo Opublikowano 10 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2017 Jeszcze fixlog.txt Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 11 Czerwca 2017 Zgłoś Udostępnij Opublikowano 11 Czerwca 2017 Wszystko pomyślnie wykonane. Infekcja zdjęta. Z tego co widzę nie włączyłeś po czyszczeniu Przywracania systemu - włącz je, lecz niczego nie przywracaj. Teraz gruntowanie przeskanujemy każdy plik w systemie, ponieważ Brontok je infekuje i w przypadku uruchomienia mogłoby dojść do reinfekcji. 1. Powtórz skan MBAM, dla wyników infekcji Brontok zastosuj opcję kwarantanny lub usunięcia. 2. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. Dla wyników Brontok również zastosuj opcję kwarantanny lub usunięcia. 3. Dostarcz raport z w/w narzędzi. Odnośnik do komentarza
2hoo Opublikowano 11 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 11 Czerwca 2017 Dziękuję za profesjonalną pomoc! Wcześniej gdy próbowałem usuwać wirusa na własną rękę np Combofix, lub Malwarebytes, kończyło się uszkodzeniem systemu i restartami Windows.Dobrze że miałem klon dysku.Teraz wszystko działa, zostaje mi zainstalowanie ochrony.Załączam logi i printscreena. Pozdrawiam malwarebytes2.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Czerwca 2017 Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 Tak, już jest wszystko w porządku, a na temat ComboFix poczytaj: KLIK. Kroki końcowe: zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się