Brontok.a[10]

[Suzuno]

Mam problem z tym robakiem czytałam kilka odpowiedzi na innych forach, ale szczerze nic z tego nie kumam ściągnęłam program OTL i nie wiem co z nim zrobić czy ktoś mógłby wyjaśnić mi jak pozbyć się tej zielonej stronki ;P i ciągłego wyłączania się kompa.

po przeskanowaniu w OTL pojawiła mi się taka odpowiedź nie wiem czy o to chodzi

OTL.Txt

[picasso]

Log z OTL niekompletny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Obowiązkowym logiem jest też GMER. A logi proszę dołączać w formie załączników a nie wprost w poście. To wszystko wyjaśniają zasady forum, do których Cię kierowałam: KLIK.

 

1. Przejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
C:\Users\Anna\AppData\Local\*.exe
C:\Users\Anna\AppData\Local\*Bron*
C:\Users\Anna\AppData\Roaming\Babylon
C:\Users\Anna\AppData\Roaming\PerformerSoft
C:\ProgramData\Premium
C:\windows\tasks\OptimizerProUpdaterTask{71A846ED-C1AB-4E72-A4F3-E51D59887BE7}.job
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
C:\Program Files\mozilla firefox\searchplugins\Web Search.xml
 
:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}"
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.just-browse.info/?l=1&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=114874&tt=151112_ccp1838_4612_7&babsrc=SP_ss&mntrId=2a936cbf000000000000582c80139263"
IE - HKCU\..\SearchScopes\{64476FDD-9DF8-4A08-B603-42521A14A29C}: "URL" = "http://search.softonic.com/INF00046/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=106"
IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={F5D521DC-08A5-416C-8CB2-976C284601F6}&mid=e87d2e49e4464fec85241e6a793ce518-20f572c0ff2910cfb1f78ea8285112bf9578b499&lang=pl&ds=ik011&pr=&d=2012-12-13 23:16:44&v=13.2.0.4&sap=dsp&q={searchTerms}"
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}"
IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.just-browse.info/?l=1&q={searchTerms}"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.certified-toolbar.com?si=41460&bs=true&tid=592&q={searchTerms}"
O3 - HKLM\..\Toolbar: (no name) - {9E131A93-EED7-4BEB-B015-A0ADB30B5646} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKCU..\Run: [Mobile Partner] C:\Program Files\Wi-Fi Modem\Wi-Fi Modem File not found
O4 - HKCU..\Run: [Tok-Cirrhatus] C:\Users\Anna\AppData\Local\smss.exe ()
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Default_Search_URL"=-
"Search Bar"=-
"Search Page"=-
"Start Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Default_Search_URL"=-
"Search Bar"=-
"Search Page"=-
"Start Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny.

 

2. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, Browse2Save, DownTango, Search Assistant Mocaflix, Softonic Toolbar.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras) oraz zaległy GMER. Dołącz log utworzony przez AdwCleaner. Wszystkie logi proszę podać via załączniki forum.

 

 

 

.

[Suzuno]

Zrobiłam wszystko tak jak mi powiedziałaś i o to wynik. ;D W chwili obecnej Brontok jeszcze się nie włączył więc jestem dobrej myśli.

Extras.Txt

GMER.txt

OTL.Txt

[picasso]

Apropos "powiedziałeś" = jestem kobietą. Nie został podany log z AdwCleaner. A zadania pomyślnie wykonane, zostały poprawki i skan potwierdzający czystość (może być więcej plików Brontok na dysku, których w raporcie nie widać). Przeprowadź następujące działania:

 

1. Na Twojej liście zainstalowanych jest jeszcze widoczny śmieć OptimizerPro. Odinstaluj.

 

2. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (Browse2save Class) - {CB811517-032C-BE15-5E42-49152D44C240} - C:\ProgramData\Browse2save\50cb61513560d.ocx ()
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
 
:Files
C:\ProgramData\Browse2save
C:\Users\Anna\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

3. W Google Chrome zostały martwe wtyczki:

 

========== Chrome  ==========
 
CHR - plugin: SweetIM GC Helper (Enabled) = C:\Users\Anna\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj\1.0.0.1_1\mgHelperGC.dll
CHR - plugin: AVG SiteSafety plugin (Enabled) = C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\13.2.0\\npsitesafety.dll

 

Ich usunięcie wymaga już edycji kodu pliku preferencji. Skopiuj na Pulpit ten plik:

 

C:\Users\Anna\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj mi link do niego. Plik zedytuję i odeślę do podstawienia.

 

 

 

.

[Suzuno]

http://www.sendspace.pl/file/43431827a2bea587a0f3c67 to link do pliku preferences z mojego komputera.

Dołączam log z AdwCleaner

czy mam ponownie przeskanować za pomocą OTL i GMER?

AdwCleanerS1.txt

[picasso]

W pliku preferencji Google było więcej śmieci niż pokazywał raport OTL.

 

1. Przesyłam zedytowany plik Google Chrome zapakowany do ZIP: KLIK. Zamknij Google Chrome, nie może być uruchomione w procesach. Podmień pliki Preferences. Uruchom ponownie Google Chrome, by sprawdzić czy plik Preferences został przyjęty, tzn. nie ma żadnego błędu podczas startu.

 

2. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

 

 

.

[Suzuno]

Proszę o to wynik

OTL.Txt

[picasso]

Nie wiem jak to się stało, ale opuściłam wtyczkę AVG SiteSafety plugin (no chyba, że coś przywróciło ten wpis). Podaj mi ponownie plik Preferences do edycji. Po wykonaniu tego zadam już czynności innego rodzaju.

[Suzuno]

http://www.sendspace.pl/file/a350c30518a32b66520b5a9

Jeśli chodzi o AVG to co jakiś czas pojawia mi się na google chrome. Nie mam pojęcia czy instaluje się samoczynnie czy ktoś z moich domowników to robi (1 komp 5 użytkowników). To samo dotyczy innych tego typu programów.

[picasso]

W pliku Preferences zostały przywrócone niektóre wpisy, które już usuwałam... Mam pytanie: czy przypadkiem nie ma włączonej synchronizacji Google Chrome z serwerem? Jeśli tak jest, to na serwerze są złe ustawienia i będą cały czas przywracane, dopóki nie zostanie wyłączona synchronizacja. Powtórka z rozrywki:

 

1. Przesyłam zedytowany plik Google Chrome: KLIK. Podmieniasz w taki sam sposób jak poprzednio, przy zamkniętej przeglądarce.

 

2. Zrób nowy log z OTL na warunkach limitowanych: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

 

.

[Suzuno]

Przepraszam, że tak długo, mieliśmy małą imprezkę ;P O to log z OTL

Edytowane 29 Stycznia 2013 przez picasso
Wadliwy załącznik usunięty //picasso

[picasso]

Dałaś mi stary nieaktualny log OTL zrobiony 15 stycznia (usuwam):

 

OTL logfile created on: 1/15/2013 12:57:27 PM - Run 1

 

Proszę o nowy log z OTL.

 

 

.

[Suzuno]

To jest najnowszy LOG z OTL dzisiaj robiłam musiały mi się wtedy pomieszać. sorka.

I mam sprawę. Mój mądry braciszek zrąbał coś w kompie i zrobił przywracanie do dość odległych czasów. Czy będzie to miało wpływ na to co do tej pory robiłyśmy?

OTL.Txt

[picasso]

Suzuno, ja tu widzę robotę bez końca. Wprawdzie AVG wycięte z Google Chrome, ale mamy kolejne adware, czyli pasek Ask Toolbar oraz regenerację Brontok.

 

1. Przez Panel sterowania odinstaluj Ask Toolbar, Ask Toobar Updater. Następnie w Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Uruchom AdwCleaner i zastosuj Usuń.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
C:\Users\Anna\AppData\Local\*.exe
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{484C784D-5019-44A2-A2A4-29553CF9D34F}]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

4. Zrób nowy log OTL z opcji Skanuj na standardowych ustawieniach. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Suzuno]

Zrobiłam gmer na zapa

AdwCleanerS2.txt

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Albo przestawiłaś kolejność działań, albo skrypt w ogóle nie wykonany. Po pierwsze: w skrypcie OTL importowałam wpisy korygujące pracę AdwCleaner, a tu zero zmian. Po drugie: usuwanie Brontok nieudane, działa w tle. Kolejna powtórka:

 

1. Przejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
C:\Users\Anna\AppData\Local\*.exe
C:\Users\Anna\AppData\Local\*Bron*
C:\Users\Anna\AppData\Local\funmoods_2.0.1.crx
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{484C784D-5019-44A2-A2A4-29553CF9D34F}]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny.

 

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[Suzuno]

mój błąd. Nie weszłam w awaryjny ;P teraz powinno być dobrze

OTL.Txt

[picasso]

Wszystko usunięte. Przechodzimy do porządków i finałowego skanu, bo pliki Brontok gdzieś jeszcze muszą być, skoro infekcja po czyszczeniu wróciła. Przeprowadź następujące akcje:

 

1. Mikro poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]

 

Klik w Wykonaj skrypt. Bez restartu poleci.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj skanowanie w Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz skan wszystkich obszarów, gdyż domyślnie jest robiony tylko ekspresowy. To da większość pewność. Jeśli skaner coś wykryje, zaprezentuj tu wyniki typu "Detected".

 

 

 

.

[Suzuno]

Nie wiem czy o to Ci chodziło.Mam nadzieję, że tak

detected.txt

[picasso]

Tak, o to chodziło. Wyników Brontok wg spodziewań trochę jest. W logu wszystkie mają status "Nieprzetworzony". Czy czyszczenie się odbyło już? Jeśli nie, usuwaj te pliki Brontok, zrób ponowny skan Kasperskym, by się upewnić, że nic już nie zostało w systemie.

 

 

 

 

.

[Suzuno]

Nie wiem czy coś się zepsuło, ale już mi nie wyświetla żadnych plików, a jestem pewna, że nie usunęłam wszystkich

 

Automatyczne skanowanie: zakończono 15745 dni temu (zdarzeń: 2, obiektów: 746377, czas: 03:51:14)

2013-02-09 01:30:45 Zadanie zostało zakończone

2013-02-08 21:39:31 Zadanie zostało uruchomione

[picasso]

To na pewno był pełny skan (skonfigurowany w opcjach) a nie ekspresowy?

[Suzuno]

Na sto procent Wyszło mi to co Ci wysłałam sama się zdziwiłam bo przy pierwszym wyglądało to zupełnie inaczej. Spróbuje jeszcze raz i poinformuję Cię o ewentualnym wyniku

[picasso]

Upłynęło kilka dni. Na czym tu stoimy obecnie?

[Suzuno]

efekt ten sam. niema jakiegoś innego programu.próbowałam kilka razy i albo wyłączał mi się w trakcie skanowania komputer, albo wyskakiwał błąd, albo tak jak teraz nie ma pełnego raportu tylko ogólna informacja i nie wiem co z tym zrobić

 

Automatyczne skanowanie: zakończono 5 min temu (zdarzeń: 2, obiektów: 826655, czas: 03:41:36)

2013-02-15 11:44:18 Zadanie zostało zakończone

2013-02-15 08:02:42 Zadanie zostało uruchomione