Logi do sprawdzenia (BRONTOK.A10)

[Sessvisto]

Witam,
ostatnie czasy dostała mi się jakaś infekcja...
Co jakiś czas w przeglądarce pojawia mi się komunikat "BRONTOK.A[10]"
Podczas ściągania niektórych plików komputer sam się resetuje.
Pilnie proszę o pomoc.

OTL:

http://wklej.eu/index.php?id=9026d1a2ce

EXTRAS:

http://wklej.eu/index.php?id=f610f8f576

[bajbus]

Podaj jeszcze brakujacy log z GMER otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736

[mateo8898]

Odinstaluj FYTDL Toolbar. Następnie:

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko

:OTL
IE - HKU\S-1-5-21-1390067357-484763869-1644491937-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/howfytdl/{9AFB6A84-E93B-4720-AF43-D01F0FD20B7A}?q={searchTerms}
IE - HKU\S-1-5-21-1390067357-484763869-1644491937-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392
O4 - HKU\S-1-5-21-1390067357-484763869-1644491937-1003..\Run: [Tok-Cirrhatus] C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\smss.exe ()
O4 - Startup: C:\Documents and Settings\Adaś\Menu Start\Programy\Autostart\Empty.pif ()
[2012-03-09 08:03:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-9
[2012-03-08 00:00:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-8
[2012-03-07 00:00:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-7
[2012-03-06 06:31:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-6
[2012-03-05 07:41:59 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-5
[2012-03-04 00:00:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-4
[2012-03-03 00:00:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-3
[2012-03-02 07:01:40 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-2
[2012-03-01 06:38:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-1
[2012-02-29 08:47:14 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-29
[2012-02-28 06:31:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-28
[2012-02-27 06:31:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-27
[2012-02-26 00:24:12 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-26
[2012-02-25 00:45:08 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-25
[2012-02-24 00:00:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-24
[2012-02-23 00:00:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-23
[2012-02-22 00:00:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-22
[2012-02-21 00:00:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-21
[2012-02-20 11:12:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-20
[2012-02-19 09:42:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-19
[2012-02-18 00:00:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-18
[2012-02-17 12:05:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok
[2012-02-17 12:04:55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok
[2012-02-17 11:59:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-17
[2012-01-27 15:34:05 | 000,743,878 | ---- | C] (V9 Downloader) -- C:\Documents and Settings\Adaś\Pulpit\ComboFix_Downloader.exe
[2012-03-09 17:26:43 | 000,012,393 | ---- | M] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin
[2012-03-08 18:57:26 | 000,042,619 | -H-- | M] () -- C:\WINDOWS\eksplorasi.exe
[2012-03-08 18:57:26 | 000,042,619 | ---- | M] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\winlogon.exe
[2012-03-08 18:57:26 | 000,042,619 | ---- | M] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\smss.exe
[2012-03-08 18:57:26 | 000,042,619 | ---- | M] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\services.exe
[2012-03-08 18:57:26 | 000,042,619 | ---- | M] () -- C:\Documents and Settings\Adaś\Moje dokumenty\Moje dokumenty.exe
[2012-03-08 18:57:26 | 000,042,619 | ---- | M] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\lsass.exe
[2012-03-08 18:57:26 | 000,042,619 | ---- | M] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
[2012-03-08 18:57:26 | 000,042,619 | ---- | M] () -- C:\Documents and Settings\Adaś\Menu Start\Programy\Autostart\Empty.pif
[2012-03-08 18:57:26 | 000,042,619 | ---- | M] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\csrss.exe
[2012-03-08 18:57:26 | 000,042,619 | ---- | M] () -- C:\WINDOWS\System32\Adaś's Setting.scr
[2012-02-04 15:15:32 | 000,000,056 | ---- | M] () -- C:\WINDOWS\kgt2k.INI
[2012-02-04 15:12:58 | 000,000,094 | ---- | M] () -- C:\WINDOWS\‚Q‚cŠi“¬ƒcƒN[ƒ‹‚Q‚Ž‚„.mid
[2011-12-11 21:20:55 | 000,002,548 | ---- | C] () -- C:\Program Files\local.cfl
[2011-12-11 21:20:46 | 000,119,357 | ---- | C] () -- C:\Program Files\remote.cfl
O4 - HKLM..\Run: [Bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe ()

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[Sessvisto]

Po wykonaniu skryptu (trwało to z 2 sekundy) komputer się zresetował i nie mam żadnych logów. Są tylko te stare, które dodałem wcześniej.

[mateo8898]

W takim razie wykonaj nowe opcją Skanuj

[Sessvisto]

OTL:
http://wklej.eu/index.php?id=c1beeb7a8d

EXTRAS:
http://wklej.eu/index.php?id=d4e8cf12e6

[mateo8898]

Skrypt wykonaj w trybie awaryjnym.

W OTL wklej:

Kod: Zaznacz wszystko

:OTL
MOD - [2012-03-08 18:57:26 | 000,042,619 | ---- | M] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\winlogon.exe
MOD - [2012-03-08 18:57:26 | 000,042,619 | ---- | M] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\services.exe
MOD - [2012-03-08 18:57:26 | 000,042,619 | ---- | M] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\lsass.exe
IE - HKU\S-1-5-21-1390067357-484763869-1644491937-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/howfytdl/{9AFB6A84-E93B-4720-AF43-D01F0FD20B7A}?q={searchTerms}
IE - HKU\S-1-5-21-1390067357-484763869-1644491937-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392
O4 - HKLM..\Run: [Bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe ()
O4 - HKU\S-1-5-21-1390067357-484763869-1644491937-1003..\Run: [Tok-Cirrhatus] C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\smss.exe ()
O4 - Startup: C:\Documents and Settings\Adaś\Menu Start\Programy\Autostart\Empty.pif ()
[2012-03-11 09:09:12 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-11
[2012-03-10 09:30:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok
[2012-03-10 09:30:16 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok
[2012-03-10 09:30:17 | 000,012,393 | ---- | M] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin
[2011-10-10 19:11:47 | 000,042,619 | -H-- | C] () -- C:\WINDOWS\eksplorasi.exe
[2011-10-10 19:11:47 | 000,042,619 | ---- | C] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\winlogon.exe
[2011-10-10 19:11:47 | 000,042,619 | ---- | C] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\smss.exe
[2011-10-10 19:11:47 | 000,042,619 | ---- | C] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\services.exe
[2011-10-10 19:11:47 | 000,042,619 | ---- | C] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\lsass.exe
[2011-10-10 19:11:47 | 000,042,619 | ---- | C] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
[2011-10-10 19:11:47 | 000,042,619 | ---- | C] () -- C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\csrss.exe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[Sessvisto]

edit.
jednak wykonalem skrypt w trybie awaryjnym, ale pojawil sie jakis blad w programie otl i zresetowal sie komputer - logów brak.

[mateo8898]

Jaki dokładnie błąd??? Podaj nowe logi.

[Sessvisto]

Błedu nie jestem w stanie odczytać ponieważ bardzo szybko znika (prawdopodobnie są to jakieś cyferki). Po wystapieniu bledu komputer się resetuje.

nowy skan:
OTL:
http://wklej.eu/index.php?id=a8a7cbd61a

EXTRAS:
http://wklej.eu/index.php?id=92d01c654f

[mateo8898]

W takim razie zmiana metody.

1. Wklej do notatnika:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

Plik Zapisz jako Ustaw rozszerzenie z TXT na Wszystkie pliki zapisz pod nazwą FIX.REG umieść plik bezpośrednio na dysku C.

2. Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Files to delete:
C:\WINDOWS\eksplorasi.exe
C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\winlogon.exe
C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\smss.exe
C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\services.exe
C:\Documents and Settings\Adaś\Moje dokumenty\Moje dokumenty.exe
C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\lsass.exe
C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
C:\Documents and Settings\Adaś\Menu Start\Programy\Autostart\Empty.pif
C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\csrss.exe
C:\WINDOWS\System32\Adaś's Setting.scr
C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin
C:\Program Files\remote.cfl
C:\Program Files\local.cfl

Folders to delete:
C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-11
C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok
C:\Documents and Settings\Adaś\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok

Programs to launch on reboot:
C:\FIX.reg

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK. Po restarcie potwierdź dodanie do rejestru.
Następnie wklej raport na forum C:\avenger.txt

3. W OTL wklej:

Kod: Zaznacz wszystko

:OTL
IE - HKU\S-1-5-21-1390067357-484763869-1644491937-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/howfytdl/{9AFB6A84-E93B-4720-AF43-D01F0FD20B7A}?q={searchTerms}
IE - HKU\S-1-5-21-1390067357-484763869-1644491937-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableRegistryTools"=–
"DisableRegedit"=–
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableRegistryTools"=–
"DisableRegedit"=–
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

:Commands
[resethosts]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Kolejność jak podałem.

[Sessvisto]

Po wykonaniu skryptu w avenger zatwierdzilem, aby komputer się zresetował.
Po ponownym włączeniu się wyskoczyl taki oto komunikat :http://img21.otofotki.pl/ln927_blad.JPG.html
(dodam, ze ja jestem administratorem sieci i jest tylko 1 konto na tym komputerze)
Gdy wcisnalem "ok" pojawil sie kolejny błąd, że system windows nie może odnaleść [...] (nie pamietam już czego bo komputer się zresetował i nie zdążyłem zrobic screena.

Tutaj log z avengera: http://wklej.eu/index.php?id=3e37f3909e
Przystepowac do kolejnego etapu?

/offtop
komputer bedzie mi sluzyl juz tylko przez kilka dni, z racji ten ze kupuje nowy wiec sprawa juz nie jest taka wazna, ale dziekuje za pomoc.

[mateo8898]

Tak, przystąp do kolejnego etapu (w związku z problemami trochę edytowałem skrypt OTL).

[Sessvisto]

Po wykonaniu skryptu:
http://wklej.eu/index.php?id=50d659b666
Wyskoczyl komunikat, ze zakonczono przetwarzanie skryptu.

Skan:
OTL:
http://wklej.eu/index.php?id=637e563b0f
Extras:
http://wklej.eu/index.php?id=0243ac3453

Dodam, że problem już prawdopodobnie niewystępuje.

[mateo8898]

Jednak wszystko powróciło. W takim razie użyj ComboFix i daj log z niego.
Następnie podaj także nowe logi z OTL.