Skocz do zawartości
wszystkobedziedobrze

Komputer szaleje (Brontok, autoreset, foldery nadrzędne, csrss.exe...)

Rekomendowane odpowiedzi

To mój pierwszy post na tym forum także oficjalnie: Cześć wszystkim!

Na komputerze, z którego korzystam pojawiły się następujące problemy:

-samowłączająca się strona BRONTOK.A[16] [ By: HVM31 -- JowoBot #VM community ]
-bardzo wolna praca komputera (obciążający proces csrss.exe)
-przy wpisywaniu haseł typu: antywirus, brontok , ccleaner automatyczy restart komputera
-tworzenie się folderów nadrzędnych o takiej samej nazwie
-wcześniej bardzo słabe połączenie z internetem przez WiFi, teraz niemożność połączenia
-zawirusowały się także pendrivy - jest w nich folder nadrzędny, a gdy wrzuciłem utwory w mp3 to dźwięk jest wymieszany (tzn np gra poprawny utwór, potem nagle niby leci ten sam plik, ale już jest audio z zupełnie innego)

Załączam skany z FRST i GMER (podczas skanowania GMER pojawił się błąd -> załączam screenshota, który zrobiłem niestety dopiero, jak skanowałem drugi raz tylko po to, żeby zrobić właśnie tego screenshota). Daję 2 logi z GMERa (skoro je już zrobiłem), bo to raczej nie powinno zrobić tu bałaganu (nawet jak nic nie zmieni).

Po drugim skanie komputer był w jeszcze gorszym stanie:
-gdy chciałem otworzyć Painta był raz, może dwa razy komunikat ~"zasoby komputera są za niskie, by uruchomić program <ścieżka mspaint.exe>"
-gdy chciałem uruchomić ponownie komputer komunikat "nie masz uprawnień, by uruchomić ponownie komputer" (oczywiście na profilu administratora -> poleciał "twardy reset")
-tyle teraz kojarzę... ogólnie komputer szaleje i to coraz bardziej

Bardzo proszę o pomoc! Nie umiem sobie z tym poradzić, a komputer i dane na nim są dla mnie bardzo ważne :( Nagrywam niekomercyjnie swoją muzykę; nawet nigdzie nie wrzucam do internetu tylko robię to póki co dla siebie z pasji i dla wyrobienia swojego stylu -> mam jednak dużo wersji roboczych i powoli zaczynam nagrywać to jeszcze raz w normalnym studio. Jak to stracę to "odtworzyć" utwory tzn nagrać jeszcze raz będzie dla  mnie baaardzo trudne; poza tym niektóre osoby po prostu się udzielały i nie chcą w to dalej brnąć, ale to chyba "największy kawałek" mojego życia, coś jak pamiętnik... ich zwrotek gościnnych/nagranych np dla kogoś na urodziny etc już raczej nie odtworzę. Ich strata byłaby dla mnie wielką tragedią... :( jednak wierzę, ze wszystko będzie dobrze.

Jeszcze raz bardzo proszę o pomoc. Nie mam teraz łatwego dostępu do internetu, ale ten temat na pewno nie będzie martwy "z mojej strony" (choćbym nie odpowiadał np parę dni).

Pozdrawiam! Z góry BARDZO dziękuję!

PS: Na pewno się odwdzięczę. (póki co mam biedę, aczkolwiek będę pamiętał -> i to nie tak, że chcę Was przekupić czy coś, aby dostać szybko odpowiedź i rozwiązanie jak na tacy... żeby nie było; nie liczę, że będę przez to "równiejszy" -> po prostu wiem, że tak "wypada").

 

PS2: Mój "porządek" na pulpicie mówi chyba trochę sam za siebie... (mam na myśli jaki zrobiłem bałagan na kompie). Aż mi wstyd.

 

Logi z FRST i GMER oraz screenshoty:

FRST.txt

Addition.txt

Shortcut.txt

gmer skan.txt

gmer skan2.txt

post-17983-0-14000000-1467812453_thumb.jpg

post-17983-0-39720000-1467812458_thumb.jpg

post-17983-0-48440000-1467812462_thumb.jpg

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Uwaga

Moje zalecenia wykonaj tylko w przypadku, gdy nie zacznie pomagać @Picasso (napisała, że dziś od rana będzie pomagać, ale w tej chwili nie widzę tej pomocy).

 

BRONTOK jest rzeczywiście.

 

1. Użyj Malwarebytes Anti-Malware. Podczas instalacji usuń zaznaczenie z okienka przy "Uruchom okres testowy Malwarebytes Anti-Malware Premium".

Zaznacz wszystko co wykryje, kliknij na Usuń zaznaczone.

Podaj z tego raport.

 

2. Zrób nowe logi FRST. Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Dzięki @jessica za szybka odpowiedz; w takim razie wstrzymam się do jutra do wieczora i jak nie pojawi się inna propozycja to zrobię tak jak piszesz.

 

 

Przypadkiem zdublowalem posta; piszę z telefonu i nie umiem go usunąć.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jak sądzę już wykonałeś podane instrukcje, więc wymagane są raporty przedstawiające zmiany (log z MBAM oraz nowe logi FRST).

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

@jessica trochę się wytłumaczę: wykonałem Twoje instrukcje (bardzo długo zwlekałem z powodów "osobistych"), a to, że picasso odpisała w tym samym dniu jak wrzucam logi to nie tak, że zlekceważyłem Twoje rady i dopiero teraz je wykonałem. To naprawdę zbieg okoliczności, żeby nie było.

 

Do czasu wykonania logów komp był wyłączony; co najwyżej odpaliłem bez logowania, żeby naładować ipoda (domyślam się, że to niewskazane...).

 

Załączam logi i screena z komunikatem, który pokazał się po restarcie kompa po MBAM.

 

Pozdrawiam!

mbam1.txt

FRST.txt

Addition.txt

Shortcut.txt

post-17983-0-78530000-1468351688_thumb.jpg

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Z widocznych śladów po Brontok została modyfikacja plku Hosts, podmiana powłoki Trybu awaryjnego z obsługą wiersza polecenia i kilka drobnych pliczków. Do wdrożenia będą też dodatkowe działania.

 

1. Przez Dodaj/Usuń programy odinstaluj stare wersje i zbędne instalacje: Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 20 NPAPI, Java 8 Update 65, McAfee Security Scan Plus, Microsoft Security Essentials, Skaner on-line mks_vir. Microsoft Security Essentials od ponad roku nie wspiera już XP, całkowite odcięcie od aktualizacji.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe"
HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableCMD] 0
S3 SWDUMon; C:\WINDOWS\System32\DRIVERS\SWDUMon.sys [13464 2014-04-13] ()
S1 bsnhlxrg; \??\C:\WINDOWS\system32\drivers\bsnhlxrg.sys [X]
S1 btyzzvkf; \??\C:\WINDOWS\system32\drivers\btyzzvkf.sys [X]
S1 gkxhbgzd; \??\C:\WINDOWS\system32\drivers\gkxhbgzd.sys [X]
S1 pkmdvkxa; \??\C:\WINDOWS\system32\drivers\pkmdvkxa.sys [X]
S1 rbhgtnay; \??\C:\WINDOWS\system32\drivers\rbhgtnay.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
S1 spvulzxz; \??\C:\WINDOWS\system32\drivers\spvulzxz.sys [X]
S2 StarOpen; Brak ImagePath
S1 tenjscqb; \??\C:\WINDOWS\system32\drivers\tenjscqb.sys [X]
S1 tzyvpawd; \??\C:\WINDOWS\system32\drivers\tzyvpawd.sys [X]
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-09-09]
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{EA4B762B-89EA-4906-AB05-8DCCD6DF3D7B}
C:\Documents and Settings\All Users\Menu Start\Programy\K-Lite Codec Pack\Help\Frequently Asked Questions.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\WinRAR\Podręcznik RAR-a dla konsoli.lnk
C:\Documents and Settings\Admin\Menu Start\Programy\WinRAR\Podręcznik RAR-a dla konsoli.lnk
C:\Documents and Settings\Admin\Moje dokumenty\MOJE\Bank 2.lnk
C:\Documents and Settings\Admin\Moje dokumenty\Moje wideo\DivX Movies\DivX.com.lnk
C:\Documents and Settings\Admin\Moje dokumenty\Moje wideo\DivX Movies\Enhance your video soundtracks.lnk
C:\Documents and Settings\Admin\SendTo\The Bat!.LNK
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Bron.tok.A16.em.bin
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\ListHost16.txt
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Comodo
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google
C:\Documents and Settings\Administrator
C:\Documents and Settings\ASPNET
C:\Documents and Settings\Gość
C:\Documents and Settings\Pomocnik
C:\Documents and Settings\SUPPORT_388945a0
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\System32\DRIVERS\SWDUMon.sys
CMD: netsh firewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox ze starych preferencji i śmieci narosłych aktualizacjami:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale zostanie usunięty Multirow Bookmarks Toolbar Plus. Twoja decyzja czy go reinstalować, ale zważ, że to program sponsorowany: KLIK.
  • Menu Historia > Wyczyść całą historię przeglądania.
4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Niestety Brontok wrócił. Komputer nie był podłączony do internetu, więc albo uruchomiłeś przypadkowo jakiś plik Brontok pozostawiony gdzieś na dysku, albo zostało podpięte urządzenie zewnętrzne zainfekowane Brontok. Brontok tworzy w wielu folderach pliki udające w nazwach i wyglądzie foldery, a ich omyłkowe uruchomienie przeładowuje infekcję. Przykład z Twojego raportu:

 

2016-07-01 12:55 - 2011-04-25 10:38 - 00044433 _____ C:\Documents and Settings\Admin\Moje dokumenty\Moje dokumenty.exe

 

 

Zaczynamy od początku.

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\...\Run: [bron-Spizaetus] => C:\WINDOWS\ShellNew\RakyatKelaparan.exe [44433 2011-04-25] ()
HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe" [x ] ()
HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Run: [Tok-Cirrhatus-1464] => C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\br3951on.exe [44433 2011-04-25] ()
HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Run: [Tok-Cirrhatus] => 0
HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\Explorer: [NoFolderOptions] 1
Startup: C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\Empty.pif [2011-04-25] ()
AlternateShell: cmd-brontok.exe
S3 McComponentHostService; "C:\Program Files\McAfee Security Scan\3.11.309\McCHSvc.exe" [X]
DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome
C:\Documents and Settings\Admin\Moje dokumenty\Moje dokumenty.exe
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\*.*
C:\Program Files\Java
C:\WINDOWS\KesenjanganSosial.exe
C:\WINDOWS\ShellNew\RakyatKelaparan.exe
C:\WINDOWS\system32\Admin's Setting.scr
C:\WINDOWS\system32\cmd-brontok.exe
C:\WINDOWS\Tasks\Microsoft Antimalware Scheduled Scan.job
CMD: for /d %f in ("C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\*bron*") do rd /s /q "%f"
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu i powstanie kolejny plik fixlog.txt.

 

2. Zrób nowe logi: log FRST z opcji Skanuj (Scan) ponownie z Addition oraz log Farbar Service Scanner. Dołącz też plik fixlog.txt.

 

 

oraz listę stron, które otwierały mi się wraz z uruchomieniem FF po skanie (po oczyszczeniu FF chyba już jest ok).

Tak, wiem, to było w skanie FRST widoczne:

 

FF Homepage: hxxp://www.surveycompare.pl/?mckv=c4U7vptkv

pcrid

39867592534

pkw

p%C5%82atne%20ankiety

pmt

&mckvcid=63rv316uw0&cid=5256849d95975&source=google&medium=cpc&campaign=164888494&adgroup=9262031614&targetid=kwd-948351076&keyword=p%C5%82atne%20ankiety&matchtype=&ad=39867592534&network=d&device=c&devicemodel=&target=&placement=olx.pl&position=none&aceid=&ismobile=0&issearch=0&geo=1011419&geointerest=&gclid=CI-Fm6q9p80CFQoTGwodsnwD6g

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Załączam skany. Przepraszam, że to wszystko jest tak rozciągnięte w czasie.

 

Po tym jak wykonałem fixlist znów dałem się nabrać na Brontoka w pośpiechu (kliknąłem folder-aplikację). Znowu wykonałem ten sam fixlist i załączam ten drugi fixlog (mam nadzieję, że nic nie pokręciłem) oraz pozostałe skany.

 

Pozdrawiam!

 

 

FRST.txt

Addition.txt

Fixlog.txt

FSS.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wszystko wygląda na usunięte, oczywiście w cześci pokrytej przez raport FRST, co jest tylko wycinkiem obrazu. Konieczny jest porządny skan programem zdolnym wykrywać te replikacje plików Brontok w folderach. Dodatkowo, raport FSS wykazuje naruszenia usługi Instrumentacji Windows. Kolejna porcja działań:

 

1. Otwórz Notatnik i wklej w nim:

 

StartRegedit:
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Instrumentacja zarządzania Windows"
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,04,00,03,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
"Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum]
"0"="Root\\LEGACY_WINMGMT\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
EndRegedit:
Reboot:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart Windows. Przedstaw wynikowy fixlog.txt.

 

2. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST z kwarantanną zawierającą pliki Brontok. Następnie wykonaj pełny skan (a nie "szybki") za pomocą Malwarebytes Anti-Malware i przedstaw wynikowy raport.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Znowu uruchomiłem aplikację-folder... :( aż mi trochę wstyd.

 

Czy mam teraz zrobić tak:

 

1) FRST skrypt Picasso z 14-07-2016 - 15:00

2) FRST skrypt Picasso z 10-08-2016 - 12:55

3) pełny skan MBAM

4) log z FSS

 

czy to bez sensu i juz chodzi o inne pliki?

 

Piszę tego posta, bo poprzedni jest już chyba nieaktualny i nie chcę, aby ktoś działał na marne... wkrótce edytuję ten post i wrzucę bieżące logi (FRST, FSS, MBAM)

 

***

 

W tym tygodniu postaram się przekazać dotację.

 

Pozdrawiam!

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

1. Poprzedni skrypt tyczący naprawy Instrumentacji Windows do powtórzenia. Porównaj formatowanie w moim poście z formatowaniem Fixlog - naruszone wszystkie przejścia do nowej linii. Wklejony tekst do Notatnika musi mieć zachowane "entery". Przedstaw wynikowy Fixlog.

 

2. Jeśli chodzi o reinfekcję Brontok, skrypty z poprzednich operacji są już nieaktualne. I jeszcze mi się wydaje, że MBAM nie widzi wszystkich plików Brontok, gdyż uruchamiałeś aż dwa razy "aplikację-folder" już po skanie MBAM. W związku z tym poproszę o skorzystanie teraz z innego skanera czyli Kaspersky Virus Removal Tool (KVRT). Skonfiguruj go na pełny skan dysku C i usuń za jego pomocą to co wykryje od Brontok. Po tym zrób nowe raporty z FRST.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Masz rację, dopiero zauważyłem. Sorry.

Ok; zrobiłem skrypt z 10-8-2016 12:55 i skan C KVRT + czyszczenie

***

Załączam fixlog.txt i logi ze skanów FRST już po działaniach KVRT (bez restartu).

Załączam też parę screenshotów. (a ten folder z wirusami z dysku C usunąłem poprzez shift+del)
https://zapodaj.net/f504610900a7b.jpg.html

https://zapodaj.net/ad1fceb7e6950.jpg.html

https://zapodaj.net/3a3ac607e06e0.jpg.html

https://zapodaj.net/a252e90d1b5ec.jpg.html
 
***

 

PS: Chyba złamałem regulamin doublepostem... sorry, myślałem, że tamtego będę w stanie usunąć.

Dzięki, pozdrawiam!

Fixlog.txt

FRST.txt

Addition.txt

Shortcut.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

1. Na początek uwaga, byś omyłkowo nie uruchomił jakiegoś pliku Brontok, jeśli gdzieś jeszcze jest zakamuflowany: wyłącz ukrywanie rozszerzeń plików, a będzie widoczne że to plik EXE podrabiający folder a nie folder. Tzn. w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia dla znanych typów plików.

 

2. Usługa Winmgmt nadal notowana jako niesprawna - to może być wynik braku resetu komputera (konieczny) między Fixem FRST a nowymi loami FRST. Poza tym, już niewiele zostało w logach. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableCMD] 0
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe"
S0 ttbietyp; System32\drivers\riyko.sys [X]
RemoveDirectory: C:\Avenger
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\KVRT_Data
CMD: del /q "C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt"
CMD: for /d %f in ("C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\*bron*") do rd /s /q "%f"
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\winmgmt /s

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zrobiłem to co napisałaś.

 

***

 

Dodatkowe info: (postaram się bardziej zdefiniować te rzeczy)

 

-od jakiegoś czasu przy odpalaniu kompa włącza się narzędzie odzyskiwania systemu (niebieskie tło); jest informacja, że pewne sektory dysku są uszkodzone; czy coś takiego;

-jak wyłączam system to jest jakiś komunikat (trwa wyłaczanie programu /zamknij teraz) <- nie mogłem zrzucić screena do painta przy wyłączaniu)

-jak coś to póki co mam w tamtym komputerze cały czas odpięty adapter Wi-Fi

 

PS1 trochę się boję, że pozarażałem pendrive'y i infekcja może wrócić tą drogą <- co z nimi zrobić?

PS2 czy mogę mieć np zarażone pliki mp3 z muzyką i wirus się aktywuje, gdy je włączam?

 

 

Pozdrawiam

Fixlog.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Logi FRST niepotrzebne i je usuwam, wyciąg stanu usługi Instrumentacji wydrukowany w Fixlog. Nie wiem o co chodzi, ale ten import REG robiony Fixem FRST w ogóle nie wykonał się. Zrób to ręcznie. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Instrumentacja zarządzania Windows"
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,04,00,03,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
"Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum]
"0"="Root\\LEGACY_WINMGMT\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Uruchom plik przez dwuklik, potwierdź import do rejestru i zresetuj system. Jeśli otrzymasz jakiś błąd, przepisz dokładnie.

 

 

 

PS1 trochę się boję, że pozarażałem pendrive'y i infekcja może wrócić tą drogą

Dostarcz log z USBFix z opcji Listing zrobiony przy podpiętych urządzeniach.

 

PS2 czy mogę mieć np zarażone pliki mp3 z muzyką i wirus się aktywuje, gdy je włączam?

Nie.

 

-przy odpalaniu kompa włącza się narzędzie odzyskiwania systemu (od jakiegoś czasu); jest informacja, że pewne sektory dysku są uszkodzone; czy coś takiego;

Wątek do działu Hardware. Potem założysz tam nowy temat z danymi wymaganymi do diagnostyki dysku twardego: KLIK.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Uruchomiłem ten fix.reg. Po wykonaniu i restarcie brak komuniktatów.

 

Załączam log z USBFix (podpiąłem 3 pendrivey; czwartego mam w samochodzie, który stoi u mechanika, ale tamten chyba powinien być ok - najwyżej potem podeślę jego log).

 

Ok dzięki, potem założę tam temat.

 

Czy coś mam teraz jeszcze zrobić? I ogólnie przed podłączeniem internetu?

Program, o którym wspominałem to: main message window (przed zamknięciem systemu)

 

Pozdrawiam!

UsbFix Listing 1 MAINSERVER1.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Załączam log z USBFix (podpiąłem 3 pendrivey; czwartego mam w samochodzie, który stoi u mechanika, ale tamten chyba powinien być ok - najwyżej potem podeślę jego log).

Poniższe pliki wyglądają na falsyfikaty zrobione przez Brontok (EXE powtarzające nazwę folderu w którym siedzą), wszystkie nabite w tym samym czasie i mają identyczny rozmiar:

 

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Data ADMIN.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Big Daddy Kane - (1988) Long Live The Kane [320]\Big Daddy Kane - (1988) Long Live The Kane [320].exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Bonus_RPK_2009_W[Filtr wulgaryzmów]iony_Dzieciak-Bootleg--oNLe\Bonus_RPK_2009_W[Filtr wulgaryzmów]iony_Dzieciak-Bootleg--oNLe.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\deep house\deep house.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\diagnostyka\diagnostyka.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\diagnostyka\frst\frst.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\DJ Decks - Mixtape Vol.3 [2003]\DJ Decks - Mixtape Vol.3 [2003]`.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\do fury\do fury.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Gang Starr - No More Mr. Nice Guy [1989]\Gang Starr - No More Mr. Nice Guy [1989]`.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Gang Starr - Step in the Arena\Gang Starr - Step in the Arena\Gang Starr - Step in the Arena.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Kali & Paluch - Milion dróg do śmierci\Kali & Paluch - Milion dróg do śmierci.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\KONCERT 22 KWIETNIA 2016\bity\bity.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Obywatel MC - Getto Deluks\Obywatel MC - Getto Deluks.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Parzel & Siwers - Cos Sie Konczy, Cos Sie Zaczyna\Parzel & Siwers - Cos Sie Konczy, Cos Sie Zaczyna.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\SOMP WPL - Niewidzialny\SOMP WPL - Niewidzialny.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Somp WPL - Wciąż Płonie Lolek (2013)\Somp WPL - Wciąż Płonie Lolek (2013).exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\www\ESENCJA\studio\studio.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\www\ESENCJA\ubrania\ubrania.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\_Serato_\_Serato_.exe

 

[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\.Trashes\.Trashes`.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\DO ZABRANIA DO STUDIA\teksty\teksty.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\DO ZABRANIA DO STUDIA\robocze\robocze.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\DO ZABRANIA DO STUDIA\bity\bity.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\.fseventsd\.fseventsd`.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\.Spotlight-V100\Store-V1\Store-V1.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\.Spotlight-V100\Store-V1\Stores\FFA69006-EFDE-445E-9236-96128FFFA39D\FFA69006-EFDE-445E-9236-96128FFFA39D.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\Digidesign Databases\Unicode\Unicode.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\diagno\mbam-chameleon-3.1.33.0\Chameleon\Windows\windows.exe

 

Przypominam o wyłączeniu ukrywania rozszerzeń, by widzieć dokładnie że to EXE. I przez SHIFT+DEL (omija Kosz pendrive) skasuj wyliczone pliki. Ponadto pozbądź się z pendrive wszystkich wystąpień FRST i jego logów oraz innych skanerów.

 

Gdy uzyskasz dostęp do 4-tego pendrive, sprawdź go ręcznie na okoliczność występowania plików o podanej charakterystyce.

 

 

Program, o którym wspominałem to: main message window (przed zamknięciem systemu)

To ponoć komunikat generowany przez aktualizator nVidia: KLIK. Posiadasz NVIDIA GeForce Experience, możesz to odinstalować, nie jest to komponent niezbędny.

 

 

Czy coś mam teraz jeszcze zrobić? I ogólnie przed podłączeniem internetu?

Jeśli na pewno powielone falsyfikaty "aplikacja-folder" usunięte, to kończymy. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Hej, skasowałem te złe pliki z pendriveów (też z 4-tego). Usunąłem także NVIDIA GeForce Experience.

Wstrzymałem się z DelFix, bo ciągle nękają mnie procesy -> tym razem svhost (chyba nękają? przesyłam screena; po prostu jest ich dużo). było też rundll32 x3

Dlatego też chcę się upewnić, czy mam użyć teraz DelFix czy zrobić jakieś inne ruchy.
 

Komputer działa lepiej i nigdzie nie widzę aplikacji, jednak naprawdę bardzo, bardzo wolno (nie jestem w stanie zrobić projektu w Cubase z ani jedną ścieżką dźwiękową - kiedyś lepiej by działał przy 30; gdy odtwarzam .mp3 w WMP to lekko "zamula" jakby się hmm... buforował; z .wave jest jeszcze gorzej).

 

Założę odpowiedni temat w dziale hardware, aby przeprowadzić diagnostykę (może to rzeczywiście dysk twardy).

 

Dzięki i pozdrawiam.

wbd

post-17983-0-46050000-1473411397_thumb.jpg

post-17983-0-15130000-1473411405_thumb.jpg

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wstrzymałem się z DelFix, bo ciągle nękają mnie procesy -> tym razem svhost (chyba nękają? przesyłam screena; po prostu jest ich dużo). było też rundll32 x3

Dlatego też chcę się upewnić, czy mam użyć teraz DelFix czy zrobić jakieś inne ruchy.

Delfix nadal aktualny. Multiplikacja svchost.exe to standard, kilka lub kilkanaście wystąpień to nic dziwnego. Każda z instancji to grupa usług: KLIK. Podobny temat z forum: KLIK.

 

 

Komputer działa lepiej i nigdzie nie widzę aplikacji, jednak naprawdę bardzo, bardzo wolno (nie jestem w stanie zrobić projektu w Cubase z ani jedną ścieżką dźwiękową - kiedyś lepiej by działał przy 30; gdy odtwarzam .mp3 w WMP to lekko "zamula" jakby się hmm... buforował; z .wave jest jeszcze gorzej).

Był uruchamiany GMER. Sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Zrobiłem DelFIX (załączam log), pkt przywracania (wyłączyłem i włączyłem), a także zlikwidowałem następstwa GMERa.

 

Założyłem temat w dziale hardware: https://www.fixitpc.pl/topic/31133-windows-recovery-tool-powolna-praca-mieszanie-si%C4%99-plik%C3%B3w/

 

Co mam teraz zrobić zanim podepnę adapter WiFi? Nie chcę znowu wejść w błoto.

DelFix.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Delfix wykonał zadanie. Skasuj plik C:\delfix.txt.

 

 

a także zlikwidowałem następstwa GMERa

Nastąpiła poprawa?

 

 

Co mam teraz zrobić zanim podepnę adapter WiFi? Nie chcę znowu wejść w błoto.

To już wszystko.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jest wyraźnie lepiej, wg mnie już działa normalnie. Właśnie sobie nagrywam i nie ma żadnego problemu ;)

 

Skasowałem C:\delfix.txt

 

Wielkie dzięki za pomoc! Jakiś czas temu odwdzięczyłem się dotacją.

 

Pozdrawiam!

wbd

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...