Duud Opublikowano 3 Grudnia 2012 Zgłoś Udostępnij Opublikowano 3 Grudnia 2012 Witam. Niestety i niedobrowolnie stałem się posiadaczem Tok Cirrhatus. Z tego co czytałem, Wirusa funkcjonuje na Windows 7 64-bitowym. Od jakiegoś czasu komputer potrafi samoczynnie się wyłączyć, chodzi zdecydowanie wolniej, mimo tego, że sprzęt daje mi o wiele większe możliwości, mam wrażenie, że tak jakby "slajduje" a każda czynność jest wykonywana z minimalnym opóźnieniem. Do tego zniknęło mi ustawienie Opcje Folderów, zniknęła ikonka Windowsa na pasku startu i nie mogę włączyć regedita. Do tego mam włączone podejrzane procesy takie jak: winlogon, lssac, services, csrss, bot i przy każdym włączaniu komputera uruchamia się br4149. W chwili kiedy próbuję coś zgrać na pendrive, na innym komputerze pokazuje się folder "Data (moja nazwa użytkownika).exe", który z tego co zauważyłem, może być zainfekowany, gdyż zainstalowany avast na innym komputerze wykrywa w nim wirusa. Prawdopodobnie mam jeszcze więcej wirusów, bo żadnego antywirusa nie mam, gdyż żaden z bezpłatnych nie dawał mi nigdy wystarczającej ochrony, a jedynie spowalniał komputer. Chwilę temu próbowałem zrobić skany OTL, niestety przez 15 minut był praktyczny "brak odpowiedzi", więc nie wiem czy ma to sens Dodaję linka z tematem, w którym ktoś miał prawdopodobnie ten sam bądź bardzo podobny problem: https://www.fixitpc.pl/topic/6309-bron-spizaetustok-cirrhatus-moze-i-wiecej-tego-cholerstwa/ Bardzo proszę o państwa pomoc Z góry dziękuję. Duud Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2012 Zgłoś Udostępnij Opublikowano 5 Grudnia 2012 Dodaję linka z tematem, w którym ktoś miał prawdopodobnie ten sam bądź bardzo podobny problem To nie ma znaczenia, każdy temat jest indywidualny i są wymagane raporty z Twojego systemu: Chwilę temu próbowałem zrobić skany OTL, niestety przez 15 minut był praktyczny "brak odpowiedzi", więc nie wiem czy ma to sens Wejdź w Tryb awaryjny Windows i spróbuj wytworzyć raporty z OTL. . Odnośnik do komentarza
Duud Opublikowano 10 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2012 Ok, przepraszam, że szybko nie odpowiedziałem na pomoc, ale przez chwilę myślałem, że wirus sam wyparował, albo chociaż poddał się dobrowolnej kwarantannie i nie dawał żadnych oznak życia. Chwilę temu próbowałem włączyć Windowsa i za każdym razem, a włączałem go chyba z 5 razy, Windows automatycznie uruchamiał się ponownie tuż po zalogowaniu. Wszedłem w tryb awaryjny z obsługą sieci i zrobiłem skany OTL. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2012 Zgłoś Udostępnij Opublikowano 10 Grudnia 2012 Problem jest szerszy. Infekcja Brontok owszem, ale także mnóstwo innych, w tym rootkit ZeroAccess nabyty z lewej paczki kodeków Mega Codec Pack. Infekcja ZeroAccess ma bardzo inwazyjny charakter, bo kasuje z rejestru usługi Zapory, Pomoc IP, Centrum zabezpieczeń, Windows Update i Windows Defender. Log sugeruje, że jest tu wariant atakujący systemowy plik services.exe. Wymagane dodatkowe skany: 1. Uruchom SystemLook x64 i do okna wklej: :filefind services.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Klik w Look. 2. Zrób log z Farbar Service Scanner. . Odnośnik do komentarza
Duud Opublikowano 10 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2012 Prosze bardzo, logi zrobione. Swoją drogą nie dziwię się, że infekcji jest o wiele więcej, a sugerowanie nabytej infekcji z lewej paczki kodeków, jest bardzo prawdopodobne. Nie wiem, czy ta informacja się przyda, ale logując się na konto użytkownika przez chwilę zauważyłem ukryte pliki, których widoczności wcześniej nie dało się włączyć, po uruchomieniu ponownym pliki zniknęły. FSS.txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2012 Zgłoś Udostępnij Opublikowano 12 Grudnia 2012 Tak, plik services.exe zmodyfikowany, uszkodzone usługi (Zapora, Pomoc IP, Centrum zabezpieczeń, Windows Update, Windows Defender) oraz skasowany klucz odpowiedzialny za ikonę Centrum w obszarze powiadomień (w ShellServiceObjects). Duża robota przed nami. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: netsh winsock reset Zresetuj system w celu ukończenia naprawy łańcucha sieciowego. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{33afa2e4-71d6-706e-2a18-82b63e6e5589} C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\KesenjanganSosial.exe C:\Windows\SysWow64\%APPDATA% C:\Windows\SysWow64\cmd-brontok.exe C:\Windows\SysWow64\bgvvrqu C:\ProgramData\Local Settings C:\Users\Duud\Documents\Windows C:\Users\Duud\AppData\Roaming\*.exe C:\Users\Duud\AppData\Local\*.exe C:\Users\Duud\AppData\Local\*Bron* C:\Users\Duud\AppData\Local\cYo C:\Users\Duud\AppData\Local\KSJnCsVznA C:\Users\Duud\AppData\Roaming\cYo C:\Users\Duud\AppData\Roaming\linmm.exe C:\Users\Duud\AppData\Roaming\ljuxlc.exe C:\Users\Duud\AppData\Roaming\HEWGBhyj HJERe C:\Users\Duud\AppData\Roaming\KSJnCsVznA C:\Users\Duud\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif C:\Users\Duud\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack C:\Program Files (x86)\Mega Codec Pack rd /s /q C:\$Recycle.bin /C :OTL O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\RakyatKelaparan.exe () O4 - HKLM..\Run: [HD Audio Process] C:\Users\Duud\RESAMdev.exe (Microsoft) O4 - HKCU..\Run: [Tok-Cirrhatus] File not found O4 - HKCU..\Run: [Tok-Cirrhatus-1563] C:\Users\Duud\AppData\Local\br4149on.exe () F3:64bit: - HKCU WinNT: Load - (C:\Users\Duud\apkbd.exe) - File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 10047 = C:\PROGRA~3\LOCALS~1\Temp\msovxqeb.com (Simon Tatham) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disableregistrytools = 1 O20 - HKLM Winlogon: Shell - ("C:\Windows\KesenjanganSosial.exe") - C:\Windows\KesenjanganSosial.exe () FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}: C:\Program Files (x86)\RelevantKnowledge\firefox [2012-11-23 20:54:20 | 000,000,000 | ---D | M] FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found @Alternate Data Stream - 5632 bytes -> C:\ProgramData:gs5sys @Alternate Data Stream - 1536 bytes -> C:\Users\Public\Documents\desktop.ini:gs5sys @Alternate Data Stream - 1536 bytes -> C:\Users\Duud\Documents\desktop.ini:gs5sys @Alternate Data Stream - 1536 bytes -> C:\Users\Duud\Desktop\desktop.ini:gs5sys :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Odbuduj usunięte usługi za pomocą ServicesRepair. 5. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 6. Przez Panel sterowania odinstaluj adware RelevantKnowledge. 7. Zrób nowe logi: OTL z opcji Skanuj + Farbar Service Scanner + SystemLook na te same warunki co poprzednio. . Odnośnik do komentarza
Duud Opublikowano 13 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 Ok, postąpiłem dokładnie według instrukcji. Żadnego błędu przy punkcie pierwszym nie było. Pojawiły się opcje folderów. W międzyczasie rano komputer znowu zaczął się uruchamiać ponownie tuż po włączeniu, ale po punkcie 3 przestał i chwilowo zdaje się działać normalnie. Po wykonaniu punktu: 6. Przez Panel sterowania odinstaluj adware RelevantKnowledge. Wyskoczył mi komunikat "Catalyst Control Panel przestał działać" - o ile się nie mylę, jest to sterownik do mojej karty graficznej i często ten błąd wraz z "winlogon.exe przestał działać" pojawiał mi się po chwilowym przejściu do i powróceniu z okna wyboru użytkownika (Windows + L). Wyskoczył również błąd, albo taki sam, albo bardzo podobny, co kiedyś wyskakiwał dosyć często bez powodu, o treści: MOM.exe - Błąd aplikacji Instrukcja spod 0x8005a04a odwołuje się do pamięci pod adresem 0x8005a04a. Pamięć nie może być read. Kliknij przycisk OK, aby przerwać działanie aplikacji Swoją drogą, oczywiście skany wykonane FSS.txt OTL.Txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2012 Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 Infekcje ZeroAccess + Brontok pomyślnie wyleczone, a usługi Windows odbudowane. Ale nie wszystko wykonało się, a jeszcze nowe obiekty infekcji powstały. Poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" :OTL F3:64bit: - HKCU WinNT: Load - (C:\Users\Duud\apkbd.exe) - File not found F3 - HKCU WinNT: Load - (C:\Users\Duud\apkbd.exe) - File not found [2012-12-13 04:13:14 | 000,254,635 | RHS- | C] (VisualStyles) -- C:\Users\Duud\XAPOtint.exe [2012-12-04 00:22:51 | 000,256,171 | RHS- | C] (Microsoft) -- C:\Windows\SysWow64\ytidwog [2012-11-23 19:07:48 | 000,012,393 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts.old :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz skan SystemLook na warunek: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Wyskoczył mi komunikat "Catalyst Control Panel przestał działać" - o ile się nie mylę, jest to sterownik do mojej karty graficznej i często ten błąd wraz z "winlogon.exe przestał działać" pojawiał mi się po chwilowym przejściu do i powróceniu z okna wyboru użytkownika (Windows + L). Wyskoczył również błąd, albo taki sam, albo bardzo podobny, co kiedyś wyskakiwał dosyć często bez powodu, o treści: To już sprawa sterowników AMD Catalyst. Jeśli te błędy będą się powielać, potem zajmiesz się reinstalacją sterowników. Nie jest też wykluczone, że sprawa jest natury sprzętowej. . Odnośnik do komentarza
Duud Opublikowano 13 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 Dodaję logi. OTL.Txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2012 Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0MediaIconsOerlay] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Wyczyść po narzędziach: w OTL uruchom Sprzątanie, a resztę używanych ręcznie usuń. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób pełne skany za pomocą Kaspersky Virus Removal Tool + Malwarebytes Anti-Malware. W konfiguracji skanera Kaspersky ustaw skan wszystkich obszarów. Jeżeli coś zostanie wykryte, przedstaw raporty obu narzędzi. . Odnośnik do komentarza
Duud Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Nie jest dobrze. Tuż przed rozpoczęciem skanów przeglądałem folder camera ze zdjęciami na karcie pamięci komórki natknąłem się na podfolder o takiej samej nazwie. Trochę mnie to zdziwiło, więc podjąłem próbę "wejścia" do niego, jednak okazało się, ze była to aplikacja .exe o typowej ikonie folderu (niestety nie włączyłem przed tym pokazywania rozszerzeń plików). Natychmiastowo komputer podjął próbę ponownego uruchomienia się. Po ponownym włączeniu komputera i zalogowaniu się, dostrzegłem mniejszą wydajność, tak jak w czasie kiedy komputer był zainfekowany, powrót tych samych procesów w menadżerze zadań oraz brak opcji folderów. Widzę, że jakakolwiek pamięć podłączona przez USB do mojego komputera, staje się automatycznie doskonałym nosicielem tego wirusa. Niestety nie wiem chwilowo jak bezpiecznie bez utraty softu usunąć z komórki wirusa, bo pendrive wystarczy sformatować, ale o tym później. Teraz jestem na 100% pewien, że komputer został ponownie zainfekowany. Po incydencie rozpocząłem skanowanie Kaspersky Virus Removal Tool oraz Malwarebytes Anti-Malware i póki co oczywiście wyszukało: services.exe, csrss.exe, lsass.exe, winlogon.exe itp. Zostawię komputer włączony na noc, zobaczę co z tego będzie, ale prawdopodobnie i tak zda się to na marne. @edit Parę minut po napisaniu wiadomości komputer ponownie podjął próbę ponownego uruchomienia się, więc praca programów powyżej została przerwana. Póki co korzystam z trybu awaryjnego i prawdopodobnie wyprzedzę pani instrukcję, więc zamieszczam skany z OTL. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 I po to zadawałam skan w Karsperskym, bo byłam pewna, że są infektory Brontok gdzieś (poza widocznością skanu OTL). Brontok właśnie tak się zachowuje: tworzy też w określonych folderach pliki exe o takiej samej nazwie jak folder, a uruchomienie tego reinfekuje system. To się tu stało. Owszem wyprzedzasz i za bardzo. Z Farbar i SystemLook skończyliśmy, to były skany pod infekcję ZeroAccess a nie Brontok. To tu bezużyteczne teraz i usuwam. Natomiast OTL tak, to istotne. No cóż, zaczynamy ponownie usuwanie Brontok: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Duud\AppData\Local\*.exe C:\Users\Duud\AppData\Local\*Bron* C:\Users\Duud\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif C:\Users\Duud\Documents\Documents.exe C:\Windows\SysWow64\cmd-brontok.exe C:\Windows\SysWow64\Duud's Setting.scr :OTL O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\RakyatKelaparan.exe () O4 - HKCU..\Run: [Tok-Cirrhatus] File not found O4 - HKCU..\Run: [Tok-Cirrhatus-1563] C:\Users\Duud\AppData\Local\br4149on.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - ("C:\Windows\KesenjanganSosial.exe") - C:\Windows\KesenjanganSosial.exe () :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Znów reset pliku HOSTS wymagany: KB972034. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
Duud Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Proszę bardzo: OTL.Txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Brontok w części widzialnej pomyślnie usunięty. Jedziemy dalej: 1. Powtórz poprzednie akcje: przez SHIFT+DEL skasuj plik C:\Windows\system32\drivers\etc\hosts.old, w OTL uruchom Sprzątanie, wyczyść foldery Przywracania systemu. 2. Skany na część niewidzialną w raportach za pomocą Kasperskiego i MBAM. W konfigu Kasperskiego ustaw skan wszystkich nośników, włącznie z USB. I zaprezentuj wyniki, o ile coś zostanie znalezione. . Odnośnik do komentarza
Duud Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Kaspersky Virus Removal Tool: Sprawa wygląda następująco. Zostawiłem komputer na blisko 5 godzin skanowania, po godzinie praca zatrzymała się na 3%, przez następne 4 godziny stan się utrzymywał a w tym czasie skanowało jedynie obiekt "6480-NedangBro.com". Znalazło parę obiektów, chronologicznie: Koń trojański: Trojan-Ransom.Win32.Foreign.vef Obiekt: 6480-NedangBro.com Wirus: Email-Worm.Win32.Brontok.q Obiekt: AMDWifiAdapter.exe Koń trojański: Trojan-Ransom.Win32.Foreign.vef Obiekt: Roaminghb1.exe Koń trojański: Trojan.Win32.Inject.cmvo W chwili w której obiektu usunąłem, skanowanie się skończyło i rozpoczęło się leczenie. Malwarebytes Anti-Malware Po mniej więcej godzinie skanowanie się zakończyło i znalazło mi ok. 700-800 obiektów, wraz z przeskanowaną kartą pamięci telefonu. Zdecydowana większość z nich to Trojan.Dropper, lecz znalazły się też takie jak: - Riskware.Tool.CK - Trojan.Onlinegames - Rootkit.0Access - Stoolen.Data Lecz w tych czterech grupach powyżej znalazło się jedynie 10 obiektów łącznie. Sam zauważyłem, że zdecydowana większość, jak nie wszystkie obiekty typu Trojan.Dropper to pliki o których wspomniałem wcześniej, przybierające postać folderu. Wszystkie z tej grupy usunąłem, lecz nie uruchomiłem jeszcze ponownie komputera, resztę póki co zostawiłem, w każdej chwili mogę zrobić ponowny skan i przystąpić do ich usuwania. Niestety zapisany log nie ma zamiaru się otworzyć, więc nie przesyłam - wyskakuje błąd: System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku.Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu. @edit Po 30 minutach leczenie zagrożenia przez Kasparskiego stoi murem na 90% i prawdopodobnie strasznie zwolniło, bo jeden plik .exe zajmuje mu parę sekund, bądź nawet minut (np tj. skype.exe), a w ilości czasu jaka została mu do ukończenia leczenia, ciągle widnieje 3 minuty. Chwilowo komputera nie uruchamiam ponownie (mimo, ze Malwarebytes tak mi zaleca), gdyż straciłbym wtedy postęp leczenia przez Kasparskiego. Za bardzo żadna aplikacja nie chce się otwierać, teść zapisana w notatniku nie ma zbytniej ochoty zapisać się pod postacią pliku .txt. Przy procesie zapisywania pokazuje się masa błędów tj: Program C:\Windows\system32\PROPSYS.dell nie jest przeznaczany do uruchomiania w systemie Windows albo zawiera błąd. Zainstaluj program ponownie używając oryginalnego nośnika instalacyjnego albo skontaktuj się z administratorem systemu lub z dostawcą oprogramowania w celu uzyskania pomocy. Szczerze mówiąc, zwyczajnie nie wiem co mam robić i przyznam, że trochę się zagubiłem Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 No tak, ale Ty miałeś mi przekleić z raportów skanerów 1:1 wyniki. Same nazwy zagrożeń i fragmenty nazw plików są mało użyteczne, muszą być podane pełne ścieżki dostępu w czym skanery znalazły rzeczy. Odnośnik do komentarza
Duud Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Dobrze, coś z Windowsem się stało i odwidziało mu się otwierania czy zapisywania postępu jakiekolwiek aplikacji. Szczerze mówiąc nie wiem czy skanowanie Kasperskim ma sens, bo póki co doszło do 4% a to już ciągnie się godzinami. Nie chciałem uruchamiać ponownie komputera, bo myślałem, że stracę postęp skanowania Kasparskiego, ale okazało się na szczęście że mogę je kontynuować od momentu, kiedy poprzednio przerwałem. Póki co załączam log z Malware. mbam-log-2012-12-14 (12-07-54).txt Odnośnik do komentarza
Duud Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Kasparsky kiepsko działa, za pierwszym razem dobiło do 4%, rozpoczęło się leczenie, leczyło się ponad pół godziny (nawet nie dobiło do końca, a jedynie do 91%) po czym cała obsługa jakichkolwiek aplikacji przestała działać na Windowsie - pisało, że nie mam uprawnień. Po ponownym uruchomieniu komputera, wszystko teoretycznie działało, Kasparsky doszedł z poprzedniej sesji do 14% i to samo, do tego nic nowego mi nie wykryło, jedynie poprzednie obiekty. Naprawdę nie wiem czy ma to sens, bo prawdopodobnie działo to tak jak powinno. Mam jeszcze jedno pytanie: No niestety udało mi się zarazić inny komputer w domu tym samym wirusem, oczywiście po przez pendrive i to już parę dni temu. W celu pomocy, mam założyć odrębny wątek, czy kontynuować sprawę nowej infekcji na innym komputerze tutaj? Odnośnik do komentarza
picasso Opublikowano 15 Grudnia 2012 Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Na początek, by skan Kasperskiego nie krzyżował się i nie wykrywał ponownie tego samego: wywal wszystko co pokazał MBAM. Ogłuszająca ilość replikacji Brontok (Trojan.Dropper) i kilka innych nieprzyjemnych rzeczy. Jedyny wynik, który nie jest szkodliwy, to RiskWare.Tool.CK z KMService ("cukier" do Office...). Kasparsky kiepsko działa, za pierwszym razem dobiło do 4%, rozpoczęło się leczenie, leczyło się ponad pół godziny (nawet nie dobiło do końca, a jedynie do 91%) po czym cała obsługa jakichkolwiek aplikacji przestała działać na Windowsie - pisało, że nie mam uprawnień. Po ponownym uruchomieniu komputera, wszystko teoretycznie działało, Kasparsky doszedł z poprzedniej sesji do 14% i to samo, do tego nic nowego mi nie wykryło, jedynie poprzednie obiekty. Naprawdę nie wiem czy ma to sens, bo prawdopodobnie działo to tak jak powinno. Tu musi zostać wykonany pełny skan dysku, najdrobniejszy zaplątany w czeluściach falsyfikat Brontok może spowodować reinfekcję. Poza tym, MBAM i Kaspersky to dwa różne silniki i metody skanu, uzupełnienie a nie pełna zamienność. Skoro Kaspersky tak zażyna, podziel skan na etapy, najpierw w konfigu tylko dysk C, potem dysk D. No niestety udało mi się zarazić inny komputer w domu tym samym wirusem, oczywiście po przez pendrive i to już parę dni temu. W celu pomocy, mam założyć odrębny wątek, czy kontynuować sprawę nowej infekcji na innym komputerze tutaj? Nie rozdrabniajmy się. To już tutaj. . Odnośnik do komentarza
Duud Opublikowano 16 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Jedyny wynik, który nie jest szkodliwy, to RiskWare.Tool.CK z KMService ("cukier" do Office...). Ah, no niestety, wydało się. Ok, przyznam szczerze, że ten komputer który do tej pory był leczony, będzie mi służyc jedynie do bezpiecznego przeniesienia plików na inny dysk, gdyż mam zamiar zrobic na nim format i zainstalowac nowy system. Więc "otwieram" teraz wątek na temat nowego komputera, prawdopodnie ma ten sam problem. Załączam skany z OTL: Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2012 Zgłoś Udostępnij Opublikowano 17 Grudnia 2012 (edytowane) Ok, przyznam szczerze, że ten komputer który do tej pory był leczony, będzie mi służyc jedynie do bezpiecznego przeniesienia plików na inny dysk, gdyż mam zamiar zrobic na nim format i zainstalowac nowy system. W związku z tym nie podejmuję już działań i nie inwestuję więcej czasu w ten system, ale skany dokończ, żebyś przypadkiem nie przekopiował plików Brontok na inny dysk. Więc "otwieram" teraz wątek na temat nowego komputera, prawdopodnie ma ten sam problem. To system 32-bit, czyli obowiązkowy log to także GMER. A w OTL widać to samo, czyli robaka Brontok. 1. Wejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [Tok-Cirrhatus] File not found O4 - HKCU..\Run: [Tok-Cirrhatus-2157] C:\Documents and Settings\Hubert\Ustawienia lokalne\Dane aplikacji\br5337on.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\KesenjanganSosial.exe") - C:\WINDOWS\KesenjanganSosial.exe () IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=WDC_WD400ZB-00JYA0_WD-WCAMH1071087&ts=1353693007" :Files C:\Documents and Settings\Hubert\Menu Start\Programy\Autostart\Empty.pif C:\Documents and Settings\Hubert\Ustawienia lokalne\Dane aplikacji\*.exe C:\Documents and Settings\Hubert\Ustawienia lokalne\Dane aplikacji\*Bron* C:\WINDOWS\System32\cmd-brontok.exe C:\Program Files\mozilla firefox\searchplugins\v9.xml :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zresetuj plik HOSTS do postaci domyślnej: KB972034. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER. . Edytowane 1 Lutego 2013 przez picasso 1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi