jagi85 Opublikowano 28 Października 2014 Zgłoś Udostępnij Opublikowano 28 Października 2014 Witam, przeczytałem temat: https://www.fixitpc.pl/topic/8294-problem-z-procesem-pingexe-i-nie-tylko/ Niestety mam taki sam problem, w menedżerze urządzeń istnieje proces o nazwie ping.exe (załącznik "task_manager") Nie obciąża mi to szczególnie komputera, ale tworzy wkurzające foldery w katalogach i na pulpicie. Zauważyłem również dziś, że jak wpisałem w chrome hasło -"jak usunąć ping.exe" i włączyłem pierwszą stronę po wyszukaniu to automatycznie komputer mi się wyłączył. Przetestowane kilkakrotnie. W załącznikach są logi z OTL, ściągnąłem program FRST64 i teraz chcę umieścić go na pendrivie. Czy można zainfekować pendrive tym wirusem ? Musi być czysty pendrive, jestem pewny że mam na nim wirusy. Poprosiłbym bardzo o pomoc w skasowaniu oprogramowania. Niestety jest to służbowy laptop, na którym bardzo dużo programuje a nie posiadam na nim antywirusa (LOL). Z góry dziękuję Pozdrawiam OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2014 Zgłoś Udostępnij Opublikowano 28 Października 2014 W systemie działa robak Brontok. Potrzebne mi są logi z FRST, OTL to przestarzałe narzędzie, by ocenić całościowo sytuację. Nie rozumiem o co chodzi z pendrive i do czego on ma służyć, przecież OTL już pobrałeś i uruchomiłeś z Pulpitu, to w czym problem z FRST? Odnośnik do komentarza
jagi85 Opublikowano 28 Października 2014 Autor Zgłoś Udostępnij Opublikowano 28 Października 2014 Być może mylę pojęcia. W poście, który przeczytałem: 1. Pobierz narzędzie FRST x64 i umieść na pendrive. Przygotuj plik naprawczy Rozumiem, że wystarczy odpalić program FRST_x64 i przeskanować system ? Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 28 Października 2014 Zgłoś Udostępnij Opublikowano 28 Października 2014 Czytasz niewłaściwą instrukcję uruchomienia FRST z poziomu niestartującego Windows. Instrukcja obsługi FRST z poziomu uruchomionego Windows jest inna: KLIK. Odnośnik do komentarza
jagi85 Opublikowano 28 Października 2014 Autor Zgłoś Udostępnij Opublikowano 28 Października 2014 OK, przepraszam. Za szybko chciałbym wszystko naprawić. Załączam wszystkie trzy pliki txt. Czy można zainfekować dysk zewnętrzny, USB tym wirusem ? Z tego co zauważyłem to mój drugi służbowy laptop zachowuje się tak samo. Gdyby nie stacjonarka, nie mógłbym nawet strony Waszego forum odpalić - konkretnie tej z poradą jak usunąć ping.exe. Pozdrawiam Shortcut.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 29 Października 2014 Zgłoś Udostępnij Opublikowano 29 Października 2014 Czy można zainfekować dysk zewnętrzny, USB tym wirusem ? Z tego co zauważyłem to mój drugi służbowy laptop zachowuje się tak samo. Robak Brontok może się transportować poprzez: e-mail, dyski współdzielone w sieci, pendrive (z pliku autorun.inf). I każdy komputer będzie musiał być czyszczony z osobna. Na razie czyścimy tu widoczny: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\KesenjanganSosial.exe" [44417 ] () HKLM-x32\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\RakyatKelaparan.exe [44417 2012-11-25] () HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Run: [Tok-Cirrhatus-1233] => C:\Users\KJ\AppData\Local\br3489on.exe [44417 2012-11-25] () HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Run: [Tok-Cirrhatus] => C:\Users\KJ\AppData\Local\br3489on.exe wnloader.exe [44417 2012-11-25] () HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\Explorer: [HideSCAVolume] 0 HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-18\...\Run: [Tok-Cirrhatus-1860] => "C:\Windows\System32\config\systemprofile\AppData\Local\br4743on.exe" HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => "C:\Windows\System32\config\systemprofile\AppData\Local\br4743on.exe" (the data entry has 824 more characters). HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () Startup: C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () AlternateShell: cmd-brontok.exe Task: {008238F6-D5DE-4670-A314-B8E2BC3FE6DF} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {05AD1E67-2B01-4AF3-8BC1-9799A41591A7} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe Task: {7F104F9E-27CF-402A-91A1-056F60FDA14A} - System32\Tasks\At1 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com [2012-11-25] () Task: {83E52CC3-A64B-4505-AC86-BF4A9233A03C} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {C155BD04-A4F9-403F-8288-21F98E2CCC83} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 Task: {C5EFAF60-87B6-4E44-AD4B-3A79229D8C86} - System32\Tasks\At2 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com [2012-11-25] () Task: C:\windows\Tasks\At1.job => ? Task: C:\windows\Tasks\At2.job => ? CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1411311658&from=cor&uid=INTELXSSDSC2BB300G4_BTWL404105SG300PGN" StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\Common Files\System\SysMenu.dll C:\Program Files (x86)\YTDownloader C:\ProgramData\All Users.exe C:\Users\Default\Default.exe C:\Users\KJ\KJ.exe C:\Users\KJ\AppData\Local\*.bin C:\Users\KJ\AppData\Local\*.exe C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com C:\Users\Public\Public.exe C:\Windows\cmd-brontok.exe C:\Windows\KesenjanganSosial.exe C:\Windows\ShellNew\RakyatKelaparan.exe C:\Windows\System32\config\systemprofile\AppData\Local\*.bin C:\Windows\System32\config\systemprofile\AppData\Local\*.exe CMD: dir /a C:\Users CMD: for /d %f in (C:\Users\KJ\AppData\Local\*Bron*) do rd /s /q "%f" CMD: for /d %f in (C:\Windows\System32\config\systemprofile\AppData\Local\*Bron*) do rd /s /q "%f" Folder: C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. System zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing przy podpiętym pendrive. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
jagi85 Opublikowano 29 Października 2014 Autor Zgłoś Udostępnij Opublikowano 29 Października 2014 Witam, dziękuję za pomoc. Dziś nie byłem w pracy, więc nie mogłem wykonać tego co napisałaś. Jutro przetestuję i odezwę się. Odnośnik do komentarza
jagi85 Opublikowano 30 Października 2014 Autor Zgłoś Udostępnij Opublikowano 30 Października 2014 Witam, przesyłam wymagane logi. Nie wiem czy to ma znaczenie ale po uruchomieniu FRST, utworzył mi się nowy folder na pulpicie - "FRST-OlderVersion". Pozdrawiam UsbFix Listing 3 PG_SIEMENS.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 30 Października 2014 Zgłoś Udostępnij Opublikowano 30 Października 2014 Nie wiem czy to ma znaczenie ale po uruchomieniu FRST, utworzył mi się nowy folder na pulpicie - "FRST-OlderVersion". Z przyklejonej instrukcji: 4. FRST posiada funkcję autoaktualizacji. Jeżeli jest dostępna nowsza wersja, program ją pobierze, samoczynnie się zamknie i uruchomi ponownie. Stara kopia FRST jest przesuwana do folderu FRST-OlderVersion zlokalizowanego w tym samym katalogu skąd uruchamiano FRST. Akcja pomyślnie wykonana, ale to nie koniec działań. Odtworzyły się zadania typu AT* w Harmonogramie. Ponadto, Robak Brontok tworzy w wielu folderach falsyfikaty, czyli pliki EXE mające ikonkę folderu i w nazwie symujące folder w którym zostały utworzone (np. C:\Users\Users.exe). Przypadkowe uruchomienie takiej podróbki odtworzy infekcję Brontok. Log FRST jest ograniczony i tylko nietóre z takich plików były widoczne, z pewnością jest więcej i musi być zrobiony ogólny skan antywirusowy. Na razie jednak dokończenie tego co widać: 1. Otwórz Notatnik i wklej w nim: C:\Users\Data KJ.exe C:\Users\Users.exe C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\Templates.exe C:\windows\Tasks\At*.job C:\windows\System32\Tasks\At* RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\KJ\Desktop\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. W FRST uruchom Scan, zaznacz pole Addition i tylko ten log mi przedstaw. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
jagi85 Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Witam, przesyłam kolejne logi. Robak Brontok tworzy w wielu folderach falsyfikaty, czyli pliki EXE mające ikonkę folderu i w nazwie symulujące folder w którym zostały utworzone - oczywiście są w bardzo wielu folderach te pliki uszkodzone, które powielają nazwę katalogu w którym znajdują się. Pozdrawiam Fixlog.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Dwie komendy nie zostały przetworzone w skrypcie, bo przekleiłeś tagi formatujące forum. I Brontok wrócił.... Poproszę o uzupełnienie też głównego raportu FRST.txt i zaczynamy od początku.. Odnośnik do komentarza
jagi85 Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 niestety rowniez otworzylem folder, ktory byl plikiem .exe OK, dzieki za cierpliwosc, jeszcze raz. Jeszcze raz logi z FRST. Shortcut.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Tych plików-falsyfikatów nie wolno uruchomić, gdyż jak mówiłam to inicjuje infekcję. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\RakyatKelaparan.exe [44417 2012-11-25] () HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\KesenjanganSosial.exe" [44417 ] () HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Run: [Tok-Cirrhatus-1233] => C:\Users\KJ\AppData\Local\br3489on.exe [44417 2012-11-25] () HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Run: [Tok-Cirrhatus] => C:\Users\KJ\AppData\Local\br3489on.exe [44417 2012-11-25] () HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () Startup: C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () AlternateShell: cmd-brontok.exe Task: {18448E81-DF41-499B-B70B-3D43253FB67F} - System32\Tasks\At2 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com [2012-11-25] () Task: {6FFFACFF-4708-46B1-BBC4-FA56A172B6FF} - System32\Tasks\At1 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com [2012-11-25] () Task: C:\windows\Tasks\At1.job => ? Task: C:\windows\Tasks\At2.job => ? CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1411311658&from=cor&uid=INTELXSSDSC2BB300G4_BTWL404105SG300PGN" CMD: for /d %f in (C:\Users\KJ\AppData\Local\*Bron*) do rd /s /q "%f" C:\ProgramData\All Users.exe C:\Users\Data KJ.exe C:\Users\Default\Default.exe C:\Users\KJ\KJ.exe C:\Users\KJ\AppData\Local\*.bin C:\Users\KJ\AppData\Local\*.exe C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\Templates.exe C:\Users\Public\Public.exe C:\Users\Users.exe C:\windows\0PSQcsabWsfmis C:\Windows\KesenjanganSosial.exe C:\Windows\ShellNew\RakyatKelaparan.exe C:\windows\SysWOW64\cmd-brontok.exe RemoveDirectory: C:\Users\KJ\Desktop\FRST-OlderVersion Hosts: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. Opuść Tryb awaryjny. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
jagi85 Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Kolejny raz. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Wprawdzie ponownie wszystko usunięte, ale te zadania AT* się regenerują... Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: Task: {0A1ED6CB-B289-4B71-BB74-3DA83D45BAA8} - System32\Tasks\At4 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com Task: {D7409D75-43D9-48C1-8E17-F1E4C119EDCF} - \At2 No Task File Task: {DED75273-6311-4F53-8213-695422A9DA3E} - System32\Tasks\At3 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com Task: {E997EB2D-EEDF-4541-A9A2-65FF4B4D46CC} - \At1 No Task File C:\windows\Tasks\At*.job RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Zrób pełny skan całego dysku za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Dostarcz wynikowy raport. . Odnośnik do komentarza
jagi85 Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Przedstawiam kolejny log. Zainstalowałem wcześniej Malwarebytes Anti-Malware, ale nie wiem jaka to jest wersja. Skanowałem dysk, ale nie wykrywa mi tych folderów z rozszerzeniem (*.exe). Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Fix wykonany. MBAM powinien wykryć te EXE Brontok. Jeśli nie wykrywa, to zamiennie skorzystaj z Kaspersky Virus Removal Tool. Domyślnie narzędzie prowadzi ekspresowe skanowanie, w konfiguracji zmień na pełne. Z tym, że są tu dwie partycje i skan wszystkich na raz może trwać długo, podziel skan na dwa etapy: na początek dysk C, gdy ukończysz skanowanie ponów je dla dysku D. Dostarcz wyniki z wykryciami (nie interesuje mnie cały log z wynikami typu "OK", tylko wyniki ze szkodnikami są istotne). Odnośnik do komentarza
jagi85 Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Pliki usunięte, zadziałało. Przesyłam logi - nie jestem pewny czy to chodzi właśnie o te. Jak jeszcze usunąć robaki z dysków zewnętrznych i USB ? Na pewno mam zakażone. disc_C.txt disc_D.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Tak jak mówiłam, MBAM wykrywa Brontok, tylko pod inną nazwą kodową. Te masowe wyniki "Trojan.Dropper" to właśnie Brontok. Przeskanuj za pomocą MBAM także wszystkie dyski zewnętrznę / pendrive. Gdy to ukończysz, podam czynności końcowe na tym komputerze i trzeba będzie się zabrać za służbowego laptopa. Odnośnik do komentarza
jagi85 Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Dzięki Twojej radzie, żeby zrobić "Custom scan", dopiero wykryło wszystkie zakażone pliki. Szybko scan - 0 wykrytych plików, custom scan - 4000. Rożnica Zaraz wszystkie USB przeskanuje. Odnośnik do komentarza
jagi85 Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Cześć, skanuje ostatni dysk zewnętrzny. Teraz logi z drugiego laptopa. Shortcut.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 PIERWSZY KOMPUTER: Na zakończenie: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK LAPTOP: Na laptopie zgodnie z podejrzeniem również grasuje Brontok. Wdróż podobne działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\RakyatKelaparan.exe [44417 2012-11-25] () HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\KesenjanganSosial.exe" [44417 ] () HKU\S-1-5-21-980471489-3258700235-4020359182-1003\...\Run: [Tok-Cirrhatus-2223] => C:\Users\KJAdmin\AppData\Local\br5469on.exe [44417 2012-11-25] () HKU\S-1-5-21-980471489-3258700235-4020359182-1003\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-980471489-3258700235-4020359182-1003\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-980471489-3258700235-4020359182-1003\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\Users\KJAdmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () AlternateShell: cmd-brontok.exe S3 IPCTYPE; \??\C:\ProgramData\Pro-face\GP-Pro EX 3.6\Simulator\IPCType.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File CustomCLSID: HKU\S-1-5-21-980471489-3258700235-4020359182-1003_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\KJAdmin\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1411311658&from=cor&uid=INTELXSSDSC2BB300G4_BTWL404105SG300PGN" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" CMD: for /d %f in (C:\Users\AZ\AppData\Local\*Bron*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\KJ\AppData\Local\*Bron*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\KJAdmin\AppData\Local\*Bron*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\PBG\AppData\Local\*Bron*) do rd /s /q "%f" C:\Users\AZ\AppData\Local\*.exe C:\Users\AZ\AppData\Local\*.txt C:\Users\AZ\AppData\Local\*Bron* C:\Users\KJ\AppData\Local\*.exe C:\Users\KJ\AppData\Local\*.txt C:\Users\KJ\AppData\Local\*Bron* C:\Users\KJAdmin\AppData\Local\*.exe C:\Users\KJAdmin\AppData\Local\*.txt C:\Users\KJAdmin\AppData\Local\*Bron* C:\Users\PBG\AppData\Local\*.exe C:\Users\PBG\AppData\Local\*.txt C:\Users\PBG\AppData\Local\*Bron* C:\Windows\KesenjanganSosial.exe C:\Windows\ShellNew\RakyatKelaparan.exe C:\Windows\SysWOW64\cmd-brontok.exe Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\1ClickDownload /f Hosts: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. Powstanie plik fixlog.txt. 2. W systemie są aż 4 konta: ========================= Accounts: ========================== AZ (S-1-5-21-980471489-3258700235-4020359182-1002 - Administrator - Enabled) => C:\Users\AZ KJ (S-1-5-21-980471489-3258700235-4020359182-1001 - Limited - Enabled) => C:\Users\KJ KJAdmin (S-1-5-21-980471489-3258700235-4020359182-1003 - Administrator - Enabled) => C:\Users\KJAdmin PBG (S-1-5-21-980471489-3258700235-4020359182-1000 - Administrator - Enabled) => C:\Users\PBG Potrzebne są logi z każdego konta z osobna. Po kolei się na każde zaloguj poprzez pełny restart komputera (nie poprzez Wyloguj czy Przełącz użytkownika) i zrób na każdym nowy log FRST z opcji Scan (bez Addition i Shortcut). Na koncie limitowanym KJ uruchom FRST poprzez dwuklik a nie opcją "Uruchom jako Administrator". Dołącz też plik fixlog.txt. . Odnośnik do komentarza
jagi85 Opublikowano 31 Października 2014 Autor Zgłoś Udostępnij Opublikowano 31 Października 2014 Załączam plik DelFix.txt. Wygląda, że wszystko przebiegło pomyślnie. Odnośnie drugiego laptopa to będzie problem - konto AZ to własność naszego informatyka firmowego. Z tym się trochę zejdzie , poza tym wyjeżdżam służbowo. Odezwę się po 9 listopada. Jeszcze raz dziękuję za pomoc. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 31 Października 2014 Zgłoś Udostępnij Opublikowano 31 Października 2014 Log z DelFix nie pokazuje żadnych kasacji... Sprawdź czy jest na dysku folder C:\FRST, ręcznie go skasuj, podobnie jak i inne narzędzia Odnośnie drugiego laptopa to będzie problem - konto AZ to własność naszego informatyka firmowego. Z tym się trochę zejdzie , poza tym wyjeżdżam służbowo. Odezwę się po 9 listopada. Skrypt do FRST wykonaj już teraz, nie można czekać, bo Brontok może się rozmnożyć. Natomiast logi z innych kont mogą poczekać. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się