slayne Opublikowano 20 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 20 Kwietnia 2012 Witam Znajomy ma następujący problem z laptopem. Po jakimś czasie od uruchomienia systemu podczas pracy w internecie pojawia się w przeglądarce strona o zielonym tle na której są napisy: BRONTOK.A[10] -- Hentikan kebobrokan di negeri ini -- 1. Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA ( Send to "NUSAKAMBANGAN") 2. Stop Free Sex, Aborsi, & Prostitusi ( Go To HELL ) 3. Stop pencemaran lingkungan, pembakaran hutan & perburuan liar. 4. SAY NO TO DRUGS !!! -- KIAMAT SUDAH DEKAT -- Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah [ By: HVM31 ] -- JowoBot #VM Community -- !!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!! Widać tą stronę w załączniku: Oto wymagane logi: OTL.Txt Extras.Txt gmer.txt Proszę o pomoc pozdrawiam Odnośnik do komentarza
Landuss Opublikowano 21 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 21 Kwietnia 2012 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\eksplorasi.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\winlogon.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\smss.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\services.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\lsass.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\inetinfo.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\csrss.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Update.12.Bron.Tok.bin C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin C:\Documents and Settings\User\Menu Start\Programy\Autostart\Empty.pif :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_USERS\S-1-5-21-1202660629-1409082233-839522115-1001\Software\Microsoft\Windows\CurrentVersion\Run] "Tok-Cirrhatus"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "KernelFaultCheck"=- :Commands [reboot] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
slayne Opublikowano 21 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 21 Kwietnia 2012 Skrypt wykonuje się do momentu jak pojawi się informacja że robi emptytemp. Po chwili pojawia się niebieski ekran z napisem: STOP: c000021a {Blad krytyczny systemu} Proces systemowy Windows Logon Process zakonczyl się niespozdziewanie ze stanem 0x00000001 (0x00000000 0x00000000). System został zamknięty. i trzeba zrestartować komputer. Po ponownym uruchomieniu nie pojawia się log z wykonania skryptu. Nie ma go także w _OTL na dysku c, chociaż pliki chyba przeniosło. Wcześniej zanim napisalem na forum próbowałem oczyścić temp za pomocą TFC. To jest chyba program autorstwa tej osoby co OTL prawda? I też wyrzuciło ten sam błąd na niebieskim tle. Oto nowe logi z OTL: OTL.Txt Extras.Txt Póki co nie wyskoczyła żadna strona z tym Brontokiem. Odnośnik do komentarza
Landuss Opublikowano 22 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 22 Kwietnia 2012 Tu nadal jest aktywna infekcja i tak jakby nic ni wykonane. Powtórz skrypt ten poprzedni ponownie (wymazałem emtytemp) Odnośnik do komentarza
slayne Opublikowano 22 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 22 Kwietnia 2012 Witam Teraz poszlo bez problemu bez pojawienia się niebieskiego ekranu ale to dalej siedzi gdzies. Pojawiła się znowu ta zielona strona. Log z wykonania skryptu się stworzył, ale wszedłem w ten folder skąd skrypt usuwał pliki i one dalej tam są. W załączniku podaję screen jak wygląda folder Dane aplikacji. Oto log z wykonania skryptu: 04222012_110125.txt A to nowe logi z OTL OTL.Txt Extras.Txt Zauważyłem jeszcze coś takiego, że nie ma w menu Narzędzia opcji Opcje folderów bo chciałem włączyć, żeby pokazywało rozszerzenia i pokazywało ukryte pliki ale nie ma w ogole tej opcji. Ale to może wina modyfikowanego wyglądu windowsa na Vistę. Odnośnik do komentarza
Landuss Opublikowano 22 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 22 Kwietnia 2012 Zauważyłem jeszcze coś takiego, że nie ma w menu Narzędzia opcji Opcje folderów bo chciałem włączyć, żeby pokazywało rozszerzenia i pokazywało ukryte pliki ale nie ma w ogole tej opcji. Ale to może wina modyfikowanego wyglądu windowsa na Vistę. Tak tu widać, że jest to modyfikowany system i to może być właśnie tego skutek. Pewne elementy zostały zmienione, usunięte. Jeśli zaś chodzi o logi to nic się nie zmieniło i infekcja nadal aktywna. W takiej sytuacji uruchom w trybie awaryjnym ComboFix i zaprezentuj z niego raport. Nowe logi z OTL po jego działaniu też wykonaj i załącz. Odnośnik do komentarza
slayne Opublikowano 22 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 22 Kwietnia 2012 Combofix wykonał się bez problemu. Chociaż podczas pobierania miałem przypadek, że system się zamknał i komputer się zrestartował. Ale pobierałem ze strony producenta. Potem spróbowałem z bezpośredniego linku z forum i poszło. Oto logi: combofix.txt OTL.Txt Extras.Txt Logi z OTL wykonałem już w normalnym trybie. Odnośnik do komentarza
Landuss Opublikowano 22 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 22 Kwietnia 2012 Tym razem infekcja usunięta w całości. Możesz zająć się drobnostkami na koniec. 1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\User\Pulpit\naprawa\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Masz nieaktualny system. Należy zainstalować Service Pack 3 i zaktualizować wymienione programy: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) "{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3 "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Szczegóły aktualizacyjne: KLIK Odnośnik do komentarza
picasso Opublikowano 24 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2012 Skomentuję: Zauważyłem jeszcze coś takiego, że nie ma w menu Narzędzia opcji Opcje folderów bo chciałem włączyć, żeby pokazywało rozszerzenia i pokazywało ukryte pliki ale nie ma w ogole tej opcji. Ale to może wina modyfikowanego wyglądu windowsa na Vistę. Przyczyną była blokada NoFolderOptions, przy okazji jeszcze dostęp do rejestru też był odcięty: O7 - HKU\S-1-5-21-1202660629-1409082233-839522115-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 [2012-04-21 09:22:00 | 000,000,000 | ---D | M]O7 - HKU\S-1-5-21-1202660629-1409082233-839522115-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 [2012-04-21 09:22:00 | 000,000,000 | ---D | M] Mówię "była", gdyż ComboFix usunął te blokady. Te polisy nie były wynikiem modyfikowanego Windows, tylko elementem infekcji Brontok. . Odnośnik do komentarza
slayne Opublikowano 24 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 24 Kwietnia 2012 Rzeczywiście opcja teraz się pojawiła. Po za tym chyba wszystko ok. Zielona stronka się nie pojawia. System i programy zaktualizowałem. Przeskanowałem jeszcze Kaspersky Virus Removal Tool to znalazł trochę plików z takimi samymi nazwami jak katalogi np w moje obrazy itp. Wszystkie dotyczące Brontoka ale usunął je ładnie i po ponownym skanowaniu jest czysto. Zainstalowałem Avasta. Mam nadzieję, że na jakiś czas będzie spokój. ps. Skąd znajomy mógł złapać tego brontoka? Odnośnik do komentarza
picasso Opublikowano 24 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2012 ps. Skąd znajomy mógł złapać tego brontoka? Potencjalne możliwości: otworzenie zarażonego e-mail (załącznik z zamaskowanym wykonywalnym), dyski przenośne lub sieciowe. Temat jako rozwiązany zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi