Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyj±tek dla www.elektroda.pl do Adblock.
Dzięki temu, że ogl±dasz reklamy, wspierasz portal i użytkowników.

Brontok A - pro¶ba o zajrzenie do logów i skrypt

18 Wrz 2012 18:27 2220 13
  • Poziom 9  
    Witam

    Opiszę swój problem. Otóż jak wł±czam przegl±darkę wyskakuje mi w oknie karty zielony obrazek na którym jest napisane co¶ w innym języku i co¶ o wirusie (z tego co wyczytałem w internecie) typu Brontok. Zaobserwowałem dziwne procesy tj. lsass.exe; Ism.exe czy spoolsv.exe. Zał±czam logi z OTL i GMER'a.
  • Poziom 16  
    Cytat:
    [2012-09-17 18:46:05 | 000,302,592 | ---- | M] () -- C:\Users\Piotrek\Desktop\hd27ulpw.exe

    To Twój plik? Jeżeli nie to dodaj powyższ± linijkę zaraz po :OTL

    Poniżej przedstawiam instrukcję usuwania. Jeżeli chcesz zapisz j± albo wydrukuj, jeżeli nie jeste¶ biegły w komputerach.

    Przez Panel sterowania i menedżer dodatków Firefoksa odinstaluj BrotherSoft_Extreme_ESP1.1. W razie problemów kontynuuj.

    • Uruchom OTLBrontok A - pro¶ba o zajrzenie do logów i skrypt
    • Jeżeli używasz Windows Vista/7 może zostać wy¶wietlony alert Kontroli Konta Użytkownika. Kliknij Tak.
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • W okno Brontok A - pro¶ba o zajrzenie do logów i skrypt wklej (zaczynaj±c od dwukropka)
      Cytat:
      :OTL
      IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT3246941
      IE - HKCU\..\URLSearchHook: {7bd062f2-0181-498c-b8ee-ffda17ef852f} - C:\Program Files\BrotherSoft_Extreme_ESP1.1\prxtbBrot.dll (Conduit Ltd.)
      IE - HKCU\..\SearchScopes\{4CF25D5F-3E14-44B7-BF85-ACFEAD302767}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3246941
      [2012-09-16 09:41:01 | 000,000,000 | ---D | M] (BrotherSoft Extreme ESP1.1) -- C:\Users\Piotrek\AppData\Roaming\mozilla\Firefox\extensions\{7bd062f2-0181-498c-b8ee-ffda17ef852f}
      O2 - BHO: (BrotherSoft Extreme ESP1.1 Toolbar) - {7bd062f2-0181-498c-b8ee-ffda17ef852f} - C:\Program Files\BrotherSoft_Extreme_ESP1.1\prxtbBrot.dll (Conduit Ltd.)
      O3 - HKLM\..\Toolbar: (BrotherSoft Extreme ESP1.1 Toolbar) - {7bd062f2-0181-498c-b8ee-ffda17ef852f} - C:\Program Files\BrotherSoft_Extreme_ESP1.1\prxtbBrot.dll (Conduit Ltd.)
      O3 - HKCU\..\Toolbar\WebBrowser: (BrotherSoft Extreme ESP1.1 Toolbar) - {7BD062F2-0181-498C-B8EE-FFDA17EF852F} - C:\Program Files\BrotherSoft_Extreme_ESP1.1\prxtbBrot.dll (Conduit Ltd.)
      O4 - HKLM..\RunOnce: [c77043] "C:\Windows\System32\cmd.exe" /C START /MIN RD /S /Q "C:\ProgramData\Microsoft\Windows\Pending"^&EXIT File not found
      [2012-09-17 17:10:23 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-17
      [2012-09-16 09:41:05 | 000,000,000 | ---D | C] -- C:\Program Files\Conduit
      [2012-09-16 09:41:04 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Conduit
      [2012-09-16 09:23:15 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-16
      [2012-09-15 18:20:03 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-15
      [2012-09-14 14:03:13 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-14
      [2012-09-13 18:14:10 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-13
      [2012-09-12 16:17:22 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-12
      [2012-09-11 16:14:26 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-11
      [2012-09-10 19:39:42 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-10
      [2012-09-09 12:53:52 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-9
      [2012-09-08 14:47:04 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-8
      [2012-09-07 10:05:28 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-7
      [2012-09-06 18:49:24 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-6
      [2012-09-05 17:03:29 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-5
      [2012-09-04 17:03:32 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-4
      [2012-09-03 06:44:43 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-3
      [2012-08-30 16:04:34 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-30
      [2012-08-28 08:17:17 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-28
      [2012-08-27 09:36:25 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-27
      [2012-08-26 11:38:17 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-26
      [2012-08-25 10:54:16 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-25
      [2012-08-24 12:28:22 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-24
      [2012-08-23 09:29:09 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-23
      [2012-08-20 20:47:54 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Loc.Mail.Bron.Tok
      [2012-08-20 20:47:18 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Ok-SendMail-Bron-tok
      [2012-08-20 20:41:51 | 000,000,000 | ---D | C] -- C:\Users\Piotrek\AppData\Local\Bron.tok-10-20
      [2012-09-17 20:31:06 | 000,012,393 | ---- | M] () -- C:\Users\Piotrek\AppData\Local\Update.10.Bron.Tok.bin
      [2012-09-17 19:37:21 | 000,012,393 | ---- | M] () -- C:\Users\Piotrek\AppData\Local\Bron.tok.A10.em.bin
      [2012-09-17 20:31:06 | 000,012,393 | ---- | C] () -- C:\Users\Piotrek\AppData\Local\Update.10.Bron.Tok.bin
      [2012-09-17 19:37:21 | 000,012,393 | ---- | C] () -- C:\Users\Piotrek\AppData\Local\Bron.tok.A10.em.bin

      :Files
      C:\Users\Piotrek\AppData\Local\*.exe
      C:\Users\Piotrek\AppData\Local\Bron*

      :Commands
      [emptytemp]
    • Kliknij Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • ZgódĽ się na ponowne uruchomienie (restart). Naci¶nij OK.
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Jeżeli używasz Windows Vista/7, po restarcie, może zostać wy¶wietlony alert zabezpieczeń. Naci¶nij Uruchom.
      Brontok A - pro¶ba o zajrzenie do logów i skrypt


      Użyj AdwCleaner
    • Pobierz AdwCleaner
    • Uruchom AdwCleaner Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Jeżeli używasz Windows Vista/7 może zostać wy¶wietlony alert Kontroli Konta Użytkownika. Kliknij Tak.
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • W głównym oknie programu naci¶nij Delete
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Zamknij wszystkie przegl±darki internetowe i naci¶nij OK.
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Poczekaj
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Naci¶nij OK na komunikatach, które zostan± wy¶wietlone
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • System zostanie uruchomiony ponownie (restart)

      Po wszystkim przedstaw
    • Nowy log OTL z opcji Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Raport z usuwania OTL
    • Raport z usuwania AdwCleaner (C:\AdwCleaner[S1].txt)
  • Poziom 9  
    plik hd27ulpw.exe to gmer tylko pod wła¶nie tak± dziwn± nazw±. Toolbar odinstalowany. W zał±czniku kolejne logi po wykonaniu skryptu.
  • Pomocny post
    Poziom 16  
    • Uruchom OTLBrontok A - pro¶ba o zajrzenie do logów i skrypt
    • Jeżeli używasz Windows Vista/7 może zostać wy¶wietlony alert Kontroli Konta Użytkownika. Kliknij Tak.
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • W okno Brontok A - pro¶ba o zajrzenie do logów i skrypt wklej (zaczynaj±c od dwukropka)
      Cytat:
      :OTL
      FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
      O4 - HKLM..\RunOnce: [c77361] "C:\Windows\System32\cmd.exe" /C START /MIN RD /S /Q "C:\ProgramData\Microsoft\Windows\Pending"^&EXIT File not found

      :Commands
      [emptytemp]
    • Kliknij Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • ZgódĽ się na ponowne uruchomienie (restart). Naci¶nij OK.
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Jeżeli używasz Windows Vista/7, po restarcie, może zostać wy¶wietlony alert zabezpieczeń. Naci¶nij Uruchom.
      Brontok A - pro¶ba o zajrzenie do logów i skrypt


      Przeskanuj Malwarebytes.
      Przeczy¶ć system CCleaner.

      Po wszystkim przedstaw
    • Nowy log OTL z opcji Brontok A - pro¶ba o zajrzenie do logów i skrypt, przy czym proszę zaopatrzyć się w najnowsz± wersję OTL
    • Raport z usuwania OTL
    • Raport ze skanowania Malwarebytes
    • Raport z Security Check (patrz niżej)
      Czy nie odznaczałe¶ nic w msconfig?

      Użyj SecurityCheck
      Użyj SecurityCheck i zaktualizuj programy oznaczone jako "Out of date!". To jedna z metod zapobiegania podobnym infekcjom w przyszło¶ci. Szkodliwe oprogramowanie może dostać się do komputera przez luki w starych wersjach programów podczas gdy nowsze wersje programów posiadaj± załatane luki, które s± obecne w starszych wersjach tychże. W razie problemów z samodzielnym przejrzeniem raportu z SecurityCheck, przedstaw go proszę na forum, to pomy¶limy razem.

    • Pobierz Security Check
    • Uruchom Security Check Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Jeżeli używasz Windows Vista/7, może zostać wy¶wietlony alert Kontroli Konta Użytkownika. Kliknij Tak.
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • W oknie Security Check naci¶nij dowolny klawisz, np. Enter
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Poczekaj
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Gdy program zakończy pracę wy¶wietli informację na ten temat oraz otworzy raport w Notatniku.
      Brontok A - pro¶ba o zajrzenie do logów i skrypt Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Zamknij okno Security Check a raport wklej do posta
  • Poziom 16  
    Pokaż nowy log OTL z opcji Skanuj.
  • Poziom 16  
    Pokaż wła¶ciwo¶ci tego sterownika C:\Windows\System32\drivers\rhici.sys
  • Pomocny post
    Poziom 16  
    Uruchom OTL. W okno Własne opcje skanowana / skrypt wklej (zaczynaj±c od dwukropka)
    Cytat:
    :OTL
    DRV - [2012-09-18 21:57:19 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\rhici.sys -- (khvn)
    O4 - HKLM..\RunOnce: [c713763] "C:\Windows\System32\cmd.exe" /C START /MIN RD /S /Q "C:\ProgramData\Microsoft\Windows\Pending"^&EXIT File not found
    [2012-09-18 21:57:19 | 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\rhici.sys

    Kliknij Wykonaj skrypt. ZgódĽ się na ponowne uruchomienie (restart).
    Po wszystkim pokazujesz nowy log Skanuj i raport z usuwania OTL.

    Aktualizacja
    Cytat:
    O4 - HKLM..\RunOnce: [c713763] "C:\Windows\System32\cmd.exe" /C START /MIN RD /S /Q "C:\ProgramData\Microsoft\Windows\Pending"^&EXIT File not found

    To nie jest jakis aktywator? KLIK

    1. Odinstaluj Adobe Reader 8. Zainstaluj Pobierz i zainstaluj Adobe Reader X 10.1.4
    http://ardownload.adobe.com/pub/adobe/reader/win/10.x/10.1.4/en_US/AdbeRdr1014_en_US.exe
    ¬ródło linka http://www.dobreprogramy.pl/Adobe-Reader-X,Program,Windows,11539.html

    Trzeba zainstalować najnowszego Flash Playera
    Uruchom kolejno każd± przegl±darkę internetow±, której używasz (Internet explorer, np. Firefox) i zainstaluj najnowszego Flash Playera ze strony http://get.adobe.com/pl/flashplayer/
    Zwracam uwagę, że na stronie http://get.adobe.com/pl/flashplayer/ możesz odznaczyć opcję "Tak, chcę zainstalować program Chrome jako przegl±darkę domy¶ln± oraz pasek narzędzi Google Toolbar do programu Internet Explorer — opcjonalnie. " jeżeli nie jeste¶ zainteresowany niczym innym poza Flashem. Polecam nie zaznaczać żadnych tego typu opcji. W różnych przegladarkach (Internet Explorer, Firefox, Opera może być Ci proponowany inny program, jeżeli interesuje Cie tylko Flash to nie zaznaczaj tej opcji.
    W razie problemów skorzystaj z deinstalatora Flash Player
    Cytat:
    Tutaj:
    http://www.fixitpc.pl/topic/5-dezynfekcja-kro...lizujace-temat/page__view__findpost__p__42415
    znajdziesz link do deinstalatora FlashPlayera
    http://helpx.adobe.com/flash-player/kb/uninstall-flash-player-windows.html
    Moje prowizoryczne tłumaczenie na polski
    1. pobieramy deinstalator http://download.macromedia.com/get/flashplayer/current/support/uninstall_flash_player.exe
    2. Zamykamy przegl±darki internetowe i komunikatory (to programy, które mog± używać Flasha).
    3. Uruchamiamy deinstalator i postępujemy według wskazówek widzianych na ekranie
    4.
    Usuwamy pozostało¶ci po Flashu. Naciskamy klawisz logo Windows (flaga) + R >>> w okno Uruchamianie wpisujemy C:\Windows\system32\Macromed\Flash i klikamy OK. Zostanie otwarty folder i usuwamy wszystko co jest wewn±trz jego.

    http://helpx.adobe.com/flash-player/kb/uninst...step_par/image.img.png/delete_folder_open.PNG

    4.1. Naciskamy klawisz logo Windows (flaga) + R >>> w okno Uruchamianie wpisujemy %appdata%\Adobe\Flash Player i klikamy OK. Zostanie otwarty folder i usuwamy wszystko co jest wewn±trz jego.
    4.2. Naciskamy klawisz logo Windows (flaga) + R >>> w okno Uruchamianie wpisujemy %appdata%\Macromedia\Flash Player i klikamy OK. Zostanie otwarty folder i usuwamy wszystko co jest wewn±trz jego.

    Tak wygl±da klawisz logo Windows (flaga) http://refresh.jogger.pl/files/winkey.jpg

    5. Uruchom ponownie komputer.

    Zainstaluj najnowsz± wersję Flash Playera http://get.adobe.com/pl/flashplayer/


    2. Jak działa system?

    My¶lę, że będziemy powoli kończyć.
  • Poziom 9  
    Czy jest to aktywator to nie wiem szczerze mówi±c. W zał±czniku dam screen z tego folderu "C:\ProgramData\Microsoft\Windows\Pending" i logi z otl jak kazałe¶. Adobe reader zainstalowany, nowy flash player też. System działa dobrze, nic nie wyskakuje a nawet nie tworzy mi dziwnych folderów np. na karcie pamięci telefonu. Skanuje teraz wszystkie no¶niki Malwarebytes Anti-Malware. Nie chce kupować antywirusów ani bawić się w codzienne szukanie klucza do KIS'a. My¶lę ze ten antywirus będzie odpowiedni z tych darmowych, jak uważasz? Wszystko jest ok, bardzo dziękuję za pomoc.
  • Pomocny post
    Poziom 16  
    Jest ok.
    Jeżeli to naprawdę był aktywator to przyjrzyj się temu, żeby potem nie przekroczyć okresu na aktywację, bo wpis z msconfig znikn±ł chyba, że go odznaczyłe¶ ręcznie?
    Malwarebytes to nie antywirus. Możesz nim skanować system co jaki¶ czas, albo Dr.Web CurreIt, to naprawdę skuteczny soft. Jako antywirusa zainstaluj sobie nawet co¶ darmowego, nawet te płatne przepuszczaj± syf taki jak ten KLIK. Proponuję nawet Avasta Free, z tego co pamiętam po instalacji działa przez roku czasu, a w razie problemów odwiedĽ forum.
    Polecam dbać o aktualno¶ć oprogramowania, skan Security Check co jaki¶ czas.

    To co, będziemy kończyć?

    Usuwanie OTL wraz z jego kwarantann±
    • Uruchom OTL Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Jeżeli używasz Windows Vista/7 może zostać wy¶wietlony alert Kontroli Konta Użytkownika. Kliknij Tak.
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Kliknij Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Poczekaj
    • ZgódĽ się na ponowne uruchomienie komputera. Naci¶nij OK.
      Brontok A - pro¶ba o zajrzenie do logów i skrypt

      Usuwanie AdwCleaner
    • Uruchom AdwCleaner Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Jeżeli używasz Windows Vista/7 może zostać wy¶wietlony alert Kontroli Konta Użytkownika. Kliknij Tak.
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • W głównym oknie programu naci¶nij Uninstall
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • PotwierdĽ chęć odinstalowania AdwCleaner, naci¶nij Tak
      Brontok A - pro¶ba o zajrzenie do logów i skrypt



      Wyczy¶ć punkty przywracania systemu.
    • Wybierz Start, kliknij prawym przyciskiem myszy na Komputer i wybierz Wła¶ciwo¶ci
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • W oknie, które zostanie otwarte wybierz z lewej strony Ochrona systemu
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • W oknie, które zostanie otwarte kliknij Konfiguruj
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • W oknie, które zostanie otwarte zaznacz Wył±cz ochronę systemu, naci¶nij Zastosuj i kliknij Tak na komunikacie, który zostanie wy¶wietlony
      Brontok A - pro¶ba o zajrzenie do logów i skrypt
    • Zaznacz z powrotem Przywróć ustawienia systemu oraz poprzednie wersje plików, naci¶nij Zastosuj i OK


    Nie ma za co.
    Dziękuję, pozdrawiam, wszystkiego dobrego.