Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Natrętny Brontok

strokes

Przez strokes
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

1. Na początek proszę wykonaj ogłoszenie: KLIK. Działa tu ofensywny sterownik emulacji napędów wirtualnych:

 

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (a8czc03a)
DRV - [2012-03-21 15:10:13 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- E:\Windows\System32\drivers\sptd.sys -- (sptd)

 

2. Następnie zgodnie z wytycznymi uruchom ComboFix. Przedstaw wynikowy raport z pracy narzędzia oraz nowy log OTL z opcji Skanuj wykonany już po.

 

 

Chciałbym się jeszcze zapytać w jaki sposób można się ochronić przed tym dziadostwem?

 

Brontok może być przenoszony via: nośniki wymienne typu pendrive, dyski sieciowe, załączniki e-mail. Poza tym, Windows masz w ogóle nie zabezpieczony, brak aktualizacji:

 

Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)

 

Brak oprogramowania antywirusowego.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Nie wykonałeś obowiązkowego ogłoszenia, sterownik SPTD od emulacji nadal czynny w logu. Proszę to wykonać, to podstawa do prawidłowego uruchomienia narzędzi typu ComboFix.

 

 

Z combofixa żadnego raportu nie miałem, jedynie z OTL.

 

To nie jest prawidłowe. Raport jest zawsze tworzony, o ile narzędzie działa prawidłowo. Wg OTL nic nie zostało zrobione. Powtórz akcję: zastartuj do Trybu awaryjnego i uruchom ComboFix.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Zadanie zostało poprawnie wykonane, ComboFix usunął infekcję, nie widzę już obiektów Brontok.

 

1. Usunięcie wątpliwych wtyczek. W Panelu sterowania na liście programów odinstaluj YouTube Downloader Toolbar v5.6, to przypuszczalnie już tylko szczątek i Windows zada pytanie w kwestii usuwania wpisu. Do wyrzucenia także Facebook Layouts (KLIK), choć nie widzę wpisu na liście zainstalowanych. Jeśli nie ma deinstalatora tego, to w programie Autoruns w karcie Internet Explorer skasuj poniższy wpis, a po tym usuń punktowany wpisem folder z dysku:

 

O2 - BHO: (Social Extras Plugin) - {FF4E1D1D-705B-4379-AB33-22D98C1ABF55} - E:\Program Files\SocialExtras\socialx.dll (FBSkins.com)

 

W menedżerze rozszerzeń Firefox odmontuj Softonic Toolbar. Jeśli nie będzie tam widoczne, skasuj z dysku ten folder:

 

[2012-04-27 07:17:00 | 000,000,000 | ---D | M] (No name found) -- E:\Users\Gibol\AppData\Roaming\mozilla\Firefox\Profiles\oah9f6ej.default\extensions\ffxtlbra@softonic.com

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej:

 

D:\Szymon\Muzyka\Reszta\Programy\ComboFix.exe /uninstall

 

3. Wykonaj skanowanie za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania, co znacznie wydłuży skan, ale da więcej pewności czy nie pozostały geny Brontok na dysku. Przedstaw raport z wynikami typu "Detected ..." (inne rodzaje mnie nie interesują).

 

Uwaga: właśnie dostałam informację, że ComboFix ma błąd i aktualnie prowadzi niepoprawną deinstalację własną! Omiń tę instrukcję!

 

 

 

.

Odnośnik do komentarza
strokes

strokes

Opublikowano
  • Autor
Opublikowano

No właśnie za późno. Wyłączyłem komputer, po jakimś czasie włączyłem i mam problemy. Mój komputer nie chce się połączyć z Internetem i jest napisane ciągle "trwa identyfikowanie...brak dosępu do sieci" (piszę z innego komputera) a po drugie przy starcie ustawia mi się klasyczny wygląd win7. Da się to jakoś naprawić?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Informację odebrałam za późno, ktoś mi wysłał wiadomość wczoraj, przeczytałam dopiero dziś. Autor ComboFix miał się zabrać za korektę tego, ale Ty niestety załapałeś się na błędną wersję. Szkody da się naprawić. Rozwiązałam to w innym temacie nie dalej niż dwa dni temu (choć nie wiedziałam wtedy, że to zrobił parametr /uninstall w ComboFix).

 

1. Otwórz Notatnik i wklej:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD]
"DisplayName"="Ancilliary Function Driver for Winsock"
"Group"="PNP_TDI"
"ImagePath"=hex(2):5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,72,\
  00,69,00,76,00,65,00,72,00,73,00,5c,00,61,00,66,00,64,00,2e,00,73,00,79,00,\
  73,00,00,00
"Description"="Ancilliary Function Driver for Winsock"
"ErrorControl"=dword:00000001
"Start"=dword:00000001
"Type"=dword:00000001
"BootFlags"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Enum]
"0"="Root\\LEGACY_AFD\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdx]
"DisplayName"="@%SystemRoot%\\system32\\tcpipcfg.dll,-50004"
"Group"="PNP_TDI"
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
  52,00,49,00,56,00,45,00,52,00,53,00,5c,00,74,00,64,00,78,00,2e,00,73,00,79,\
  00,73,00,00,00
"ErrorControl"=dword:00000001
"Start"=dword:00000001
"Tag"=dword:00000004
"Type"=dword:00000001
"DependOnService"=hex(7):54,00,63,00,70,00,69,00,70,00,00,00,00,00
"Description"="@%SystemRoot%\\system32\\tcpipcfg.dll,-50004"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdx\Enum]
"0"="Root\\LEGACY_TDX\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nsi]
"DisplayName"="@%SystemRoot%\\system32\\nsisvc.dll,-200"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
  00,65,00,00,00
"Description"="@%SystemRoot%\\system32\\nsisvc.dll,-201"
"ObjectName"="NT Authority\\LocalService"
"ErrorControl"=dword:00000001
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):6e,00,73,00,69,00,70,00,72,00,6f,00,78,00,79,00,00,00,\
  00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\
  00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
  67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
  00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nsi\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  6e,00,73,00,69,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal

 

2. Restart komputera.

 

3. Wygeneruj nowy log z OTL, ale na warunkach dostosowanych: sekcje Usługi + Sterowniki ustaw na Wszystko, w pozostałych sekcjach ustaw na Brak / Żadne, w polu Własne opcje skanowania / skrypt wklej słowo netsvcs i klik w Skanuj.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Dla pewności zapytam, co oznacza "z prawokliku Scal"? Nie chcę nic zepsuć.

 

Pliki o rozszerzeniu REG mają w menu kontekstowym pozycję o nazwie "Scal", która służy do importowania. Po uruchomieniu tej opcji zostanie zadane pytanie czy importować do rejestru, co zatwierdzasz.

 

 

I mam to zapisać do konkretnego folderu?

 

W dowolnym dogodnym miejscu, np. na Pulpicie.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

strokes, do uzupełniania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Skleiłam trzy posty powyżej. Brak odpowiedzi = bo brak czasu, by precyzyjnie przetworzyć temat. Na szybko (dokładną analizą loga z OTL zajmę się potem):

 

A co mam dalej zrobić? Bo dalej to samo.

 

Czy na pewno zresetowałeś system po imporcie pliku REG?

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Pozytywne zmiany jednak nastąpiły wbrew temu, że nie widzisz rezultatu. W Dzienniku zdarzeń były błędy, które już naprawiłam przez import pliku REG (brakująca usługa sieciowa TDX):

 

Źródło:        Service Control Manager
Usługa Klient DNS zależy od następującej usługi: Tdx. Ta usługa może nie być zainstalowana.

 

Pozostały błędy samozatrzymujących się kilku usług, ale nie wygląda by coś tu brakowało:

 

Źródło:        Service Control Manager
Usługa Windows Update niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.
 
Usługa Instrumentacja zarządzania Windows niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 120000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.
 
Usługa Kompozycje niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.
 
Usługa Wykrywanie sprzętu powłoki niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.
 
Usługa Usługa powiadamiania o zdarzeniach systemowych niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 120000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.
 
Usługa Harmonogram zadań niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.
 
Usługa Menedżer połączeń usługi Dostęp zdalny niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 120000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.
 
Usługa Usługa profilów użytkowników niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 120000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.
 
Usługa Harmonogram klas multimediów niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 120000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.
 
Usługa Serwer niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.
 
Usługa Klient zasad grupy niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 120000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.

 

Te wszystkie usługi łączy wspólna grupa ładowania (wartość netsvcs). W związku z tym: wykonam reimport struktury podziału grupowego usług oraz dla pewności również kluczy tych usług, które są nagrane w Dzienniku z awarią. Wszystkie dane wyciągnięte z fabrycznego Windows 7.

 

1. Wyłącz opcję ukrywającą rozszerzenia, odznaczając w Opcjach folderów > Widok > Ukrywaj rozszerzenia dla znanych typów plików. Pobierz poniższy plik. Zmień mu nazwę z FIX.TXT na FIX.REG. Z prawokliku na plik wybierz opcję Scal. Potwierdź import do rejestru.

 

fix.txt

 

2. Zresetuj system. Podaj wyniki czy defekt ustąpił.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

To wbrew pozorom błąd braku uprawnień a nie zajęcia przez proces. Plik FIX.REG przenieś wprost na E:\. Pobierz Process Hacker. Za jego pomocą uruchom regedit na uprawnieniu konta SYSTEM. Tzn. z menu Hacker > Run As > wypełnij dane jak na obrazku (tylko E zamiast C):

 

regsystem2.png

 

W tak uruchomionym regedit z menu Plik > Importuj > wskaż E:\FIX.REG. Zresetuj system.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Szkody po ComboFix naprawione. Przejdź do tego fragmentu instrukcji, gdyż musi być pewność że nie ma już żadnych plików Brontok na dysku:

 

3. Wykonaj skanowanie za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania, co znacznie wydłuży skan, ale da więcej pewności czy nie pozostały geny Brontok na dysku. Przedstaw raport z wynikami typu "Detected ..." (inne rodzaje mnie nie interesują).

 

 

Mam nadal takie pliki 'przezroczyste' np. na pulpicie mam desktop.ini a też niektóre zdjęcia tak wygądają.

 

Skanowanie OTL przełącza widzialność ukrytych plików systemowych.

 

desktopini.png

 

Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym:

 

C:\Users\Konto użytkownika\Desktop

C:\Users\Public\Desktop

 

Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach.

 

 

.

Edytowane przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...