Infekcja Brontok - czy wyleczona do końca

[dragolice]

Hej.

Z czynną infekcją już się uporałem (Kaspersky Rescue Disk 10 - skanował 8 godzin, potem pełny skan Malwarebytes - już spod Windows), ale chciałbym mieć pewność, że nie zostały żadne odpadki. Program GMER powoduje u mnie bluescreeny.
Zagrożenia jako takiego nie ma, jak ktoś w wolnym czasie przejrzał by logi byłbym wdzięczny
Pozdrawiam.

 

FRST.txt:
http://wklej.org/id/3213576/

Addition.txt:
http://wklej.org/id/3213577/

Shortcut.txt:
http://wklej.org/id/3213578/

 

PS. Błędy dotyczące uszkodzonej struktury systemu plików powstały w wyniku montowania dysku przez Kaspersky Rescue Disk 10, na którym nie został poprawnie zamknięty system. Co ciekawe zrobiłem skan Kaspersky Rescue Disk, usunąłem pliki Brontoka i po restarcie chkdsk chciał sprawdzać uszkodzony system plików. Ok, zgodziłem się - leci, leci, aż tu nagle przywraca mi usunięte pliki wirusa przez Kasperskiego w poprzednie lokalizacje No nic, czekałem aż skończy i już usunąłem te pliki z palca spod Kasperskiego.

PS1.

[Miszel03]

Skan trzeba powtórzyć w związku z operacją chkdsk, to nie jest tylko "przywracanie plików w poprzednie kategorię". Po za tym w przypadku infekcji wirusem Brontok skan należy powtarzać do wyniku zero infekcji.

Co prawda, faktycznie, infekcja wygląda, że dała za wygraną (nie widać czynnych elementów infekcji), aczkolwiek widać jej posty w postaci blokad na narzędzia systemowe. To koryguję, ale oprócz tego sprzątam system ze wszelkich resztek, odpadek po oprogramowaniu.

 

Czy jakiekolwiek urządzenie z pamięcią przenośną w trakcie infekcji systemu było do niego podłączane?

 

1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [Autodesk Sync] => [X]
HKU\S-1-5-21-4055069894-3430905193-1362563562-1001\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-4055069894-3430905193-1362563562-1001\...\Policies\Explorer: []
IFEO\taskmgr.exe: [Debugger] "C:\PROGRAM FILES (X86)\PROCESS EXPLORER\PROCEXP.EXE"
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
S2 Autodesk Content Service; "C:\Program Files (x86)\Autodesk\Content Service\Connect.Service.ContentService.exe" [X]
ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku
ContextMenuHandlers02: [AlcoholShellEx] -> {32020A01-506E-484D-A2A8-BE3CF17601C3} => -> Brak pliku
ContextMenuHandlers04: [Fb2kShellExt] -> {511D48AF-9E45-4CB8-8F02-9C1BE4BC3CF8} => -> Brak pliku
ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku
Task: {5DE8BE6D-F4F9-4032-B7EB-45A81A6F68B8} - System32\Tasks\{586E6717-7527-4547-815A-B02FD1FB37C4} => G:\start.exe
Task: {72D49455-898D-44CF-83FD-289346A9D84F} - System32\Tasks\{702A44AC-D882-488F-893B-EE03AD7B310D} => G:\start.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel® Driver Update Utility 2.0.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MTA San Andreas.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OutlineArt\OutlineArt on the Web.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Content Service\Content Service - Configuration Console.lnk
EmptyTemp:

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Powtórz skan za pomocą Kaskerspkiego z poza systemu. Wyników Brontok pozbądź się przez Usunięcie / Kwaranntane. 

 

4. Nowe raporty FRST zbędne, dostarcz tylko raport wynikowy (plik Fixlog).

[dragolice]

Dzięki za odpowiedź
 
Fix wykonany, przywróciło mi zwykły menedżer zadań, ustawiłem wcześniej Process Explorer, może kwestia tego wpisu:

IFEO\taskmgr.exe: [Debugger] "C:\PROGRAM FILES (X86)\PROCESS EXPLORER\PROCEXP.EXE"

 
Już ustawiłem z powrotem. Skan powtórzę jeszcze raz i będę miał pewność. Wszystko zaczęło się od pendrive. Zgubiła mnie ciekawość, czemu folder ma rozszerzenie exe hehe. Swoją drogą ciekawy pomysł, teraz będę skanował przed uruchomieniem. Pendrive był odpięty podczas całego procesu dezynfekcji, ale już jest czysty.

 

Co do uTorrent wystarczyło w ustawieniach zaawansowanych zmienić parametry na false i po reklamach:
 

offers.sponsored_torrent_offer_enabled
offers.content_offer_autoexec
offers.left_rail_offer_enabled
bt.enable_pulse
gui.show_plus_upsell
gui.show_notorrents_node

Fixlog.txt:

http://wklej.org/id/3213719/

 

 

Tylko jeszcze mnie ciekawi wątek:

Skan trzeba powtórzyć w związku z operacją chkdsk, to nie jest tylko "przywracanie plików w poprzednie kategorię"

 

Jakbyś mógł w wolnej chwili napisać, albo dać jakieś linki czemu usunięcie plików przywróconych przez chkdsk nie załatwiło by sprawy (w innym przypadku).

Dzięki raz jeszcze

[Miszel03]

Skan powtórzę jeszcze raz i będę miał pewność.

 

Czekam na wyniki.

 

Pendrive był odpięty podczas całego procesu dezynfekcji, ale już jest czysty.

 

OK.

 

Co do uTorrent wystarczyło w ustawieniach zaawansowanych zmienić parametry na false i po reklamach:

 

OK, rozumiem.

 

Jakbyś mógł w wolnej chwili napisać, albo dać jakieś linki czemu usunięcie plików przywróconych przez chkdsk nie załatwiło by sprawy (w innym przypadku).

 

Na to odpowiem później.

[Rucek]

Co do uTorrent wystarczyło w ustawieniach zaawansowanych zmienić parametry na false i po reklamach:

 

Nadal sugeruję posłuchać Miszela i go zastąpić tym drugim, było sporo przypadków, gdzie uTorrent robił problemy ludziom. Nie polecam, wygląda na to, że popsuli się, dodają jakiś syf do kodu. Poniżej linki znalezione na szybko:

 

http://www.conowego.pl/aktualnosci/aplikacja-utorrent-od-teraz-oferuje-sklep-z-grami-23103/

https://www.reddit.com/r/CrackWatch/comments/6ao38e/warning_a_utorrent_ad_is_using_a_flash_exploit_to/

https://zaufanatrzeciastrona.pl/post/uwaga-najnowszy-utorrent-moze-ci-zainstalowac-kopalnie-bitcoinow/

[Miszel03]

W takim razie zmieniam zdanie, skoro są jakieś kontrowersje. Do zmiany ten uTorrent.