Skocz do zawartości

wirus BRONTOK.A[10] Windows XP proszę o pomoc w rozwiązaniu problemu


Rekomendowane odpowiedzi

Witam wszystkich forumowiczów, jestem pierwszy raz na forum - Pozdrawiam z Bydgoszczy!

 

Czy mógłby ktoś pomóc w usunięciu wirusa, wirus BRONTOK.A[10] .

 

Po kilku minutach pojawia się strona internetowa w IE z informacją o infekcji,

system potrafi się wylogować i wyłączyć przy uruchamianiu narzędzi skanujących lub komend windows.

 

Z góry dzięki za pomoc :)

 

 

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Pomóc - pomogę, ale nie widzę w tym większego sensu. Windows XP to system operacyjny pozbawiony wsparcia, wystawia się infekcja jak na dłoni, a już zwłaszcza kiedy nie posiadasz oprogramowanie zabezpieczającego - KLIK

 


 

System jest mocno zainfekowany robakiem Brontok i leczenie może być oporne, bo malware wprowadziło blokadę programów zabezpieczających w oparciu o funkcję Niezaufanych certyfikatów.

 

Nie uruchamiaj żadnych plików wykonywalnych. Ogranicz się do przeglądarki i narzędzi, które Ci zlecam.

Wszystkie komputery, które mogły mieć jakieś połączenie z tym wymagają diagnostyki pod kątem infekcji.

 

Od razu przechodzimy do działań. 

 

1. Wyczyść wszystkie punkty przywracania systemu - KLIK

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
HKLM\ DisallowedCertificates: 08738A96A4853A52ACEF23F782E8E1FEA7BCED02 (U)
HKLM\ DisallowedCertificates: 09271DD621EBD3910C2EA1D059F99B8181405A17 (U)
HKLM\ DisallowedCertificates: 09FF2CC86CEEFA8A8BB3F2E3E84D6DA3FABBF63E (U)
HKLM\ DisallowedCertificates: 23EF3384E21F70F034C467D4CBA6EB61429F174E (U)
HKLM\ DisallowedCertificates: 330D8D3FD325A0E5FDDDA27013A2E75E7130165F (U)
HKLM\ DisallowedCertificates: 374D5B925B0BD83494E656EB8087127275DB83CE (U)
HKLM\ DisallowedCertificates: 3A26012171855D4020C973BEC3F4F9DA45BD2B83 (U)
HKLM\ DisallowedCertificates: 4D8547B7F864132A7F62D9B75B068521F10B68E3 (U)
HKLM\ DisallowedCertificates: 4DF13947493CFF69CDE554881C5F114E97C3D03B (U)
HKLM\ DisallowedCertificates: 4ED8AA06D1BC72CA64C47B1DFE05ACC8D51FC76F (U)
HKLM\ DisallowedCertificates: 587B59FB52D8A683CBE1CA00E6393D7BB923BC92 (U)
HKLM\ DisallowedCertificates: 5CE339465F41A1E423149F65544095404DE6EBE2 (U)
HKLM\ DisallowedCertificates: 5D5185DF1EB7DC76015422EC8138A5724BEE2886 (U)
HKLM\ DisallowedCertificates: 6690C02B922CBD3FF0D0A5994DBD336592887E3F (U)
HKLM\ DisallowedCertificates: 7613BF0BA261006CAC3ED2DDBEF343425357F18B (U)
HKLM\ DisallowedCertificates: 838FFD509DE868F481C29819992E38A4F7082873 (U)
HKLM\ DisallowedCertificates: 8977E8569D2A633AF01D0394851681CE122683A6 (U)
HKLM\ DisallowedCertificates: A1505D9843C826DD67ED4EA5209804BDBB0DF502 (U)
HKLM\ DisallowedCertificates: A221D360309B5C3C4097C44CC779ACC5A9845B66 (U)
HKLM\ DisallowedCertificates: A35A8C727E88BCCA40A3F9679CE8CA00C26789FD (U)
HKLM\ DisallowedCertificates: A7B5531DDC87129E2C3BB14767953D6745FB14A6 (U)
HKLM\ DisallowedCertificates: A81706D31E6F5C791CD9D3B1B9C63464954BA4F5 (U)
HKLM\ DisallowedCertificates: BED412B1334D7DFCEBA3015E5F9F905D571C45CF (U)
HKLM\ DisallowedCertificates: C69F28C825139E65A646C434ACA5A1D200295DB1 (U)
HKLM\ DisallowedCertificates: D0BB3E3DFBFB86C0EEE2A047E328609E6E1F185E (U)
HKLM\ DisallowedCertificates: D43153C8C25F0041287987250F1E3CABAC8C2177 (U)
HKLM\ DisallowedCertificates: D8CE8D07F9F19D2569C2FB854401BC99C1EB7C3B (U)
HKLM\ DisallowedCertificates: E38A2B7663B86796436D8DF5898D9FAA6835B238 (U)
HKLM\ DisallowedCertificates: E95DD86F32C771F0341743EBD75EC33C74A3DED9 (U)
HKLM\ DisallowedCertificates: E9809E023B4512AA4D4D53F40569C313C1D0294D (U)
HKLM\ DisallowedCertificates: F5A874F3987EB0A9961A564B669A9050F770308A (U)
HKLM\ DisallowedCertificates: F92BE5266CC05DB2DC0DC3F2DC74E02DEFD949CB (U)
HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\Explorer: [NoFolderOptions] 1
HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1
HKLM\...\Run: [bron-Spizaetus] => C:\WINDOWS\ShellNew\sempalong.exe [42713 2009-07-23] ()
HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\eksplorasi.exe" [x ] ()
HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe [42713 2009-07-23] ()
HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe [42713 2009-07-23] ()
Startup: C:\Documents and Settings\essemtec\Start Menu\Programs\Startup\Empty.pif [2009-07-23] ()
Startup: C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup\Empty.pif [2009-07-23] ()
GroupPolicy: Restriction ? 
C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe
C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe
C:\Documents and Settings\essemtec\Start Menu\Programs\Startup\Empty.pif
C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup\Empty.pif
S4 IntelIde; no ImagePath
U1 WS2IFSL; no ImagePath
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\csrss.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\inetinfo.exe
2016-09-03 06:39 - 2016-09-03 06:39 - 0000051 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\Kosong.Bron.Tok.txt
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\lsass.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\services.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe
2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 ____N () C:\Documents and Settings\essemtec\Local Settings\Application Data\winlogon.exe
Task: C:\WINDOWS\Tasks\At1.job => C:\Documents and Settings\essemtec\Templates\Brengkolang.com
C:\WINDOWS\Tasks\At1.job
C:\Documents and Settings\All Users\Start Menu\Programs\Point Grey Research\PGR FlyCapture\Documentation\Camera\Grasshopper Technical Reference.pdf.lnk
C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*.exe
C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*Bron*
C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*Bron*.*
CMD: dir /a C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Dla wyników połączonych z infekcja Brontok zastosuj opcję leczenia, resztę zostaw i dostarcz raport. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Dziękuję za pomoc, .Zrobiłem wszystkie punkty według zaleceń.

 

Na razie system się uruchomił i nie zauważyłem objawów.

 

Jest to komputer do sterowania maszyną przemysłową niestety był bez antywirusa chociaż nie miał połączenia z internetem wirus przeniesiony na nośniku zewnętrznym.

 

Wgram później program antywirusowy.

 

Załączam logi.

Addition.txt

FRST.txt

Shortcut.txt

malwarebytes.txt

Edytowane przez Rucek
Odnośnik do komentarza

Wszystko pomyślnie wykonane. Infekcja zdjęta. Z tego co widzę nie włączyłeś po czyszczeniu Przywracania systemu - włącz je, lecz niczego nie przywracaj. 

 

Teraz gruntowanie przeskanujemy każdy plik w systemie, ponieważ Brontok je infekuje i w przypadku uruchomienia mogłoby dojść do reinfekcji. 

 

1. Powtórz skan MBAM, dla wyników infekcji Brontok zastosuj opcję kwarantanny lub usunięcia. 
 

2. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. Dla wyników Brontok również zastosuj opcję kwarantanny lub usunięcia. 

 

3. Dostarcz raport z w/w narzędzi. 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...