Skocz do zawartości

Infekcja Brontok - czy wyleczona do końca


Rekomendowane odpowiedzi

Hej.

Z czynną infekcją już się uporałem (Kaspersky Rescue Disk 10 - skanował 8 godzin, potem pełny skan Malwarebytes - już spod Windows), ale chciałbym mieć pewność, że nie zostały żadne odpadki. Program GMER powoduje u mnie bluescreeny.
Zagrożenia jako takiego nie ma, jak ktoś w wolnym czasie przejrzał by logi byłbym wdzięczny :)
Pozdrawiam.

 

FRST.txt:
http://wklej.org/id/3213576/

Addition.txt:
http://wklej.org/id/3213577/

Shortcut.txt:
http://wklej.org/id/3213578/

 

PS. Błędy dotyczące uszkodzonej struktury systemu plików powstały w wyniku montowania dysku przez Kaspersky Rescue Disk 10, na którym nie został poprawnie zamknięty system. Co ciekawe zrobiłem skan Kaspersky Rescue Disk, usunąłem pliki Brontoka i po restarcie chkdsk chciał sprawdzać uszkodzony system plików. Ok, zgodziłem się - leci, leci, aż tu nagle przywraca mi usunięte pliki wirusa przez Kasperskiego w poprzednie lokalizacje :P No nic, czekałem aż skończy i już usunąłem te pliki z palca spod Kasperskiego.

PS1.
2085722.jpeg

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Skan trzeba powtórzyć w związku z operacją chkdsk, to nie jest tylko "przywracanie plików w poprzednie kategorię". Po za tym w przypadku infekcji wirusem Brontok skan należy powtarzać do wyniku zero infekcji.

Co prawda, faktycznie, infekcja wygląda, że dała za wygraną (nie widać czynnych elementów infekcji), aczkolwiek widać jej posty w postaci blokad na narzędzia systemowe. To koryguję, ale oprócz tego sprzątam system ze wszelkich resztek, odpadek po oprogramowaniu.

 

Czy jakiekolwiek urządzenie z pamięcią przenośną w trakcie infekcji systemu było do niego podłączane?

 

1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [Autodesk Sync] => [X]
HKU\S-1-5-21-4055069894-3430905193-1362563562-1001\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-4055069894-3430905193-1362563562-1001\...\Policies\Explorer: []
IFEO\taskmgr.exe: [Debugger] "C:\PROGRAM FILES (X86)\PROCESS EXPLORER\PROCEXP.EXE"
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
S2 Autodesk Content Service; "C:\Program Files (x86)\Autodesk\Content Service\Connect.Service.ContentService.exe" [X]
ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku
ContextMenuHandlers02: [AlcoholShellEx] -> {32020A01-506E-484D-A2A8-BE3CF17601C3} => -> Brak pliku
ContextMenuHandlers04: [Fb2kShellExt] -> {511D48AF-9E45-4CB8-8F02-9C1BE4BC3CF8} => -> Brak pliku
ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku
Task: {5DE8BE6D-F4F9-4032-B7EB-45A81A6F68B8} - System32\Tasks\{586E6717-7527-4547-815A-B02FD1FB37C4} => G:\start.exe
Task: {72D49455-898D-44CF-83FD-289346A9D84F} - System32\Tasks\{702A44AC-D882-488F-893B-EE03AD7B310D} => G:\start.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel® Driver Update Utility 2.0.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MTA San Andreas.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OutlineArt\OutlineArt on the Web.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Content Service\Content Service - Configuration Console.lnk
EmptyTemp:

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Powtórz skan za pomocą Kaskerspkiego z poza systemu. Wyników Brontok pozbądź się przez Usunięcie / Kwaranntane. 

 

4. Nowe raporty FRST zbędne, dostarcz tylko raport wynikowy (plik Fixlog).

Odnośnik do komentarza

Dzięki za odpowiedź :)
 
Fix wykonany, przywróciło mi zwykły menedżer zadań, ustawiłem wcześniej Process Explorer, może kwestia tego wpisu:

IFEO\taskmgr.exe: [Debugger] "C:\PROGRAM FILES (X86)\PROCESS EXPLORER\PROCEXP.EXE"

 
Już ustawiłem z powrotem. Skan powtórzę jeszcze raz i będę miał pewność. Wszystko zaczęło się od pendrive. Zgubiła mnie ciekawość, czemu folder ma rozszerzenie exe hehe. Swoją drogą ciekawy pomysł, teraz będę skanował przed uruchomieniem. Pendrive był odpięty podczas całego procesu dezynfekcji, ale już jest czysty.

 

Co do uTorrent wystarczyło w ustawieniach zaawansowanych zmienić parametry na false i po reklamach:
 

offers.sponsored_torrent_offer_enabled
offers.content_offer_autoexec
offers.left_rail_offer_enabled
bt.enable_pulse
gui.show_plus_upsell
gui.show_notorrents_node

Fixlog.txt:

http://wklej.org/id/3213719/

 

 

Tylko jeszcze mnie ciekawi wątek:

Skan trzeba powtórzyć w związku z operacją chkdsk, to nie jest tylko "przywracanie plików w poprzednie kategorię"

 

Jakbyś mógł w wolnej chwili napisać, albo dać jakieś linki czemu usunięcie plików przywróconych przez chkdsk nie załatwiło by sprawy (w innym przypadku).

Dzięki raz jeszcze :)

Odnośnik do komentarza

Skan powtórzę jeszcze raz i będę miał pewność.

 

Czekam na wyniki.

 

Pendrive był odpięty podczas całego procesu dezynfekcji, ale już jest czysty.

 

OK.

 

Co do uTorrent wystarczyło w ustawieniach zaawansowanych zmienić parametry na false i po reklamach:

 

OK, rozumiem.

 

Jakbyś mógł w wolnej chwili napisać, albo dać jakieś linki czemu usunięcie plików przywróconych przez chkdsk nie załatwiło by sprawy (w innym przypadku).

 

Na to odpowiem później.

Odnośnik do komentarza

Co do uTorrent wystarczyło w ustawieniach zaawansowanych zmienić parametry na false i po reklamach:

 

Nadal sugeruję posłuchać Miszela i go zastąpić tym drugim, było sporo przypadków, gdzie uTorrent robił problemy ludziom. Nie polecam, wygląda na to, że popsuli się, dodają jakiś syf do kodu. Poniżej linki znalezione na szybko:

 

http://www.conowego.pl/aktualnosci/aplikacja-utorrent-od-teraz-oferuje-sklep-z-grami-23103/

https://www.reddit.com/r/CrackWatch/comments/6ao38e/warning_a_utorrent_ad_is_using_a_flash_exploit_to/

https://zaufanatrzeciastrona.pl/post/uwaga-najnowszy-utorrent-moze-ci-zainstalowac-kopalnie-bitcoinow/

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...