Infekcja BRONTOK.

[olszyk88]

Witam. Proszę o pomoc, posiadam Windows 7 Professional x64, co jakiś czas otwiera się okno przeglądarki ze strona brontok, dodatkowo nie mogę wejść w edycje rejestru, i zawsze gdy podłączy się jakikolwiek nośnik zewnętrzny czy pen drive czy kartę pamięci tworzy się na nim folder "DATA Nazwa komputera". nie wiem czy to ma wszystko związek akurat z BRONTOKIEM ale to są nieprawidłowości jakie zauważyłem. Gdy próbowałem pobrać narzędzia SPTDinst restartował mi się komputer wiec skorzystałem z drugiego rozwiązania usunięcia napędów wirtualnych.  problemy z wykonaniem logu GMER. podczas dwóch prób dwa razy blue screen. udało się dopiero w trybie awaryjnym.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

defogger.txt

[Nevan]

W logach faktycznie siedzi Brontok, oprócz tego ślady adware.

 

Do tematu nośników zewnętrznych wrócimy później.

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\sempalong.exe [42654 2014-04-29] ()
C:\Windows\ShellNew\sempalong.exe
HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\BerasJatah.exe" [42654 ] () 
C:\Windows\BerasJatah.exe
HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Run: [Ejvave] => C:\Users\Olszewski\AppData\Roaming\Ejvave.exe [796723 2015-08-30] (IORISOFT)
HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Olszewski\AppData\Local\smss.exe [42654 2014-04-29] ()
HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-858982418-1674000801-3239494062-1000\...\Policies\Explorer: [NoFolderOptions] 1
Startup: C:\Users\Olszewski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif [2015-04-22] ()
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434734252&z=ab2a7cf3f539f8ec55a7261g8z9c4z9macbz2o6wco&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434734252&z=ab2a7cf3f539f8ec55a7261g8z9c4z9macbz2o6wco&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434734252&z=ab2a7cf3f539f8ec55a7261g8z9c4z9macbz2o6wco&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434734252&z=ab2a7cf3f539f8ec55a7261g8z9c4z9macbz2o6wco&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&q={searchTerms}
SearchScopes: HKU\S-1-5-21-858982418-1674000801-3239494062-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&ts=1434734274&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-858982418-1674000801-3239494062-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&ts=1434734274&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-858982418-1674000801-3239494062-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=TOSHIBAXMK5055GSX_39QKF1ZESXX39QKF1ZES&ts=1434734274&type=default&q={searchTerms}
2015-08-30 12:07 - 2015-08-30 12:07 - 00000000 ____D C:\Users\Olszewski\AppData\Roaming\DYA_OHVLCOUWMHUOJBBNL
2015-08-30 12:07 - 2015-08-30 12:07 - 00000000 ____D C:\Users\Olszewski\SupTab
2015-08-30 12:07 - 2015-08-30 12:07 - 00000000 ____D C:\ProgramData\DYA_OHVLCOUWMHUOJBBNL
2015-08-30 12:10 - 2015-08-30 12:10 - 0796723 ____H (IORISOFT) C:\Users\Olszewski\AppData\Roaming\Ejvave.exe
C:\Users\Olszewski\AppData\Local\*bron*
C:\Users\Olszewski\AppData\Local\*.exe
C:\Users\Olszewski\AppData\Local\*.txt
AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV
AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV
AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV
AlternateDataStreams: C:\ProgramData\Dane aplikacji:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GameSpy Arcade\GameSpy Arcade.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GameSpy Arcade\Uninstall GameSpy Arcade.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Auto Configure.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\EA Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\EAsy Info.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Medal of Honor Allied Assault.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Read Me.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Register MOHAA.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Renegade Preview.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES\Medal of Honor Allied Assault\Safe Mode.lnk
C:\Users\Olszewski\AppData\Local\Microsoft\Windows\GameExplorer\{ADEDB02C-E7CF-4CD8-8297-A7D58470C6A1}
C:\Users\Olszewski\AppData\Local\Microsoft\Windows\GameExplorer\{103819EC-3EF4-432C-991C-6F3284B71B3A}
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj stare wersje Java: Java 7 Update 51 (64-bit); Java 7 Update 51.

 

3. Wyczyść Firefox:

• Odłącz synchronizację (o ile włączona): KLIK
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania

4. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznaczając również Pliki z 90 dni, wraz z logiem Addition.txt. Dołącz też plik fixlog.txt.

[olszyk88]

Wykonalem wszystko i skanowanie FRST stoi na skanowanie dziennik aplikacja: 8276. skanuje sie juz 5 godzin czekac czy cos jest nie tak?

[Nevan]

Spróbuj zeskanować ponownie. Jeżeli znów się zawiesi, odznacz Addition.txt i spróbuj ponownie, oczywiście wrzucając wtedy już sam FRST.txt.

[olszyk88]

Oto logi:

FRST.txt

Addition.txt

Fixlog.txt

[Nevan]

Część wpisów ciągle siedzi.

 

1. Otwórz Notatnik i wklej w nim:

 

CMD: for /d %f in (C:\Users\Olszewski\AppData\Local\*Bron*) do rd /s /q "%f"
C:\Users\Olszewski\AppData\Local\*bron*

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), włączając log Addition. Dołącz też plik fixlog.txt.

[olszyk88]

oto logi :

FRST.txt

Addition.txt

Fixlog.txt

[Nevan]

W logach czysto. Jak z systemem?

 

Sprawdź też, czy nadal tworzą się te foldery na nośnikach zewnętrznych. Jeżeli tak, z podpiętym urządzeniem zrób skan z USBFix - opcja Listing.

[olszyk88]

wszystko ok;) dzieki za pomoc temat do zamkniecia

[Nevan]

Jeszcze sprawy końcowe.

 

1. Nie masz zainstalowanego żadnego antywirusa. Zaopatrz się w jednego. Moja propozycja: Avast

 

2. Twój obecny system to Windows 7 bez SP1, IE11 i reszty aktualizacji:

Platform: Windows 7 Professional (X64) Język: Polski (Polska)

Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

 

Zastosuj Delfix, wyczyść foldery Przywracania systemu i zaktualizuj system: KLIK

[olszyk88]

ok zaistalowalem avast i log z delfixa:

DelFix.txt

[Nevan]

Wygląda w porządku.

 

Problem rozwiązany. Temat zamykam.