Jak usunąć wirusa Brontok oraz z Facebook ?

[PATIX14]

Witam, mam pytanie jak usunąć wirusa Brontok, ponieważ kiedy tylko chce coś pobrać to laptop się resetuje i włącza się zielona strona z jakimiś napisami. Proszę o pomoc ! [-o<
Logi z OTL Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}" = Skype Toolbars
"conduitEngine" = Conduit Engine
"IncrediMail_MediaBar_2 Toolbar" = IncrediMail MediaBar 2 Toolbar
AVG
ESET
Avast
DRV - [2006-07-05 14:46:06 | 000,063,352 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfdrv01a.sys -- (sfdrv01a) StarForce Protection Environment Driver (version 1.x.a)
DRV - [2006-06-14 16:56:56 | 000,013,680 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x)

To zbędne oprogramowanie. Pierwsze 5 to paski narzędziowe. Odinstaluj je. Kolejne 3 to uszkodzone antywirusy (bądź resztki po nich). Oidnstaluj je, używając tego -> Dostępne tylko dla zarejestrowanych użytkowników, tego -> Dostępne tylko dla zarejestrowanych użytkowników i tego -> Dostępne tylko dla zarejestrowanych użytkowników. Ostatnie wpisy to wpisy sterowników starych zapor StarForce. Należy je usunąć. W tym celu pobierz to -> Dostępne tylko dla zarejestrowanych użytkowników -> wypakuj -> i uruchom plik sfdrvrem.exe.

O4 - HKLM..\Run: [AdslTaskBar] C:\WINDOWS\System32\stmctrl.dll (STMicroelectronics )
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\ALCMTR.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [Monitor] C:\WINDOWS\PixArt\Pac207\Monitor.exe (PixArt Imaging Incorporation)
O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\daemon.exe (DT Soft Ltd)
O4 - HKCU..\Run: [IPLA!] C:\Program Files\ipla\ipla.exe (Redefine Sp z o.o.)

To zbędniki w autostarcie, które usunę później skryptem.

Logi.

Ze względu na to, że w logu widać ślady, tzw. "wirusa z Facebook`a", oraz, co najważniejsze wszystko wskazuje na to, że jest tu również Brontok zalecam użycie Combofix`a -> http://www.hotfix.pl/articles.php?article_id=41. Po jego użyciu podaj raport z jego pracy. Następnie użyj TDSSKiller`a -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm, z którego również podaj raport. Po tym wszystkim podaj nowe logi z OTL -> http://hotfix.pl/articles.php?article_id=143.

[PATIX14]

Proszę o dalsze kroki logi z OTL
Dostępne tylko dla zarejestrowanych użytkowników
jeszcze w moich obrazach mam about.Brontok.A i jak na to nacisnę to się włącza zielona strona brontok

[kominekl]

Proszę o dalsze kroki logi z OTL

Dobrze, ale brakuje mi logów z Combofix`a i TDSSKiller`a. OTL miało zostać użyte po ich działaniu, wraz ze wskazaniem ich raportów. Użyj obu wspomnianych programów. Następnie podaj raport z Nich i na końcu podaj nowe logi z OTL.

jeszcze w moich obrazach mam about.Brontok.A i jak na to nacisnę to się włącza zielona strona brontok

To część Brontok`a.

[PATIX14]

Raport z combofix Dostępne tylko dla zarejestrowanych użytkowników
logi z OTL Dostępne tylko dla zarejestrowanych użytkowników
a ten inny program nie działa ;(

[kominekl]

a ten inny program nie działa ;(

Szczegóły proszę.

Malwarebytes Anti-Malware.
DRV - [2006-07-05 14:46:06 | 000,063,352 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfdrv01a.sys -- (sfdrv01a) StarForce Protection Environment Driver (version 1.x.a)
DRV - [2006-06-14 16:56:56 | 000,013,680 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x)

To zbędne oprogramowanie, gdyż jest zainstalowane w złej formie. Odinstaluj go na razie. Co do tego drugiego to nadal nie odinstalowałaś zapór StarForce. Odinstaluj je przed następnym podaniem logu (wyżej masz instrukcję).

Combofix.

Po uzyciu Combofix`a należy Go odinstalować. Wejdź w START -> URUCHOM i wklej tam -> "c:\documents and settings\Natalia\Pulpit\ComboFix.exe" /uninstall .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Adapter | On_Demand | Unknown] -- -- (Winsock - Google Desktop Search Backup Before Last Install)
DRV - File not found [Adapter | On_Demand | Unknown] -- -- (Winsock - Google Desktop Search Backup Before First Install)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\System32\drivers\dwshd.sys -- (dwshd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (amlnxu1n)
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={5F3FA2CB-4412-4CC8-8502-1F8EC35F901B}
IE - HKCU\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&f=4
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7_____en
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&loc=search_box&u=92260170016936862
IE - HKCU\..\SearchScopes\{E54A5529-A26A-4F54-AF7D-CC1B85CB43AC}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=9F&apn_dtid=YYYYYYYYPL&apn_uid=CFE06FB5-71B5-4922-9557-4E168604A40F&apn_sauid=D41BDC98-95E1-4FFF-A1F8-DE62E8D57CB9
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={5F3FA2CB-4412-4CC8-8502-1F8EC35F901B}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.suggest.enabled: false
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
O4 - HKLM..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs File not found
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} Dostępne tylko dla zarejestrowanych użytkowników (Shockwave ActiveX Control)
O16 - DPF: {361E6B79-4A69-4376-B0F2-3D1EBEE9D7E2} Dostępne tylko dla zarejestrowanych użytkowników (RtspVaPgCtrl Class)
O16 - DPF: {4B4513E2-43DF-4E57-9496-FCD37E9DFA64} Dostępne tylko dla zarejestrowanych użytkowników (GameDesire Sea Battle)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_26)
O16 - DPF: {A9ED6AA2-4D71-D9D4-9586-E293E2E3580B} Dostępne tylko dla zarejestrowanych użytkowników (GameDesire Marbles&Diamonds&Runes)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} Dostępne tylko dla zarejestrowanych użytkowników (Zylom Games Player)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} Dostępne tylko dla zarejestrowanych użytkowników (Shockwave Flash Object)

:Files
RECYCLER /alldrives
C:\ComboFix
C:\WINDOWS\ERDNT
C:\Program Files\Malwarebytes' Anti-Malware
C:\Documents and Settings\Natalia\Pulpit\mbam-setup-1.61.0.1400.exe
C:\WINDOWS\System32\drivers\mbam.sys
C:\WINDOWS\tasks\*.job
c:\documents and settings\Natalia\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk
c:\documents and settings\mama\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk
C:\Documents and Settings\Natalia\Pulpit\3hepozsd.exe
C:\Documents and Settings\All Users\Dane aplikacji\DCE5593052.sys
C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\{97400993-2161-46A2-A79D-0F8A576FCE22}
C:\Documents and Settings\Natalia\Ustawienia lokalne\Dane aplikacji\{36A55814-8454-444A-8BE9-B9B3D749F880}
c:\documents and settings\mama\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok
c:\documents and settings\mama\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok
c:\documents and settings\mama\Ustawienia lokalne\Dane aplikacji\ConduitEngine
c:\documents and settings\mama\Ustawienia lokalne\Dane aplikacji\IncrediMail_MediaBar_2
c:\documents and settings\mama\Ustawienia lokalne\Dane aplikacji\d3d9caps.tmp

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
"DAEMON Tools Lite"=-
"IPLA!"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=-
"Persistence"=-
"RTHDCPL"=-
"QuickTime Task"=-
"TkBellExe"=-
"SSBkgdUpdate"=-
"PaperPort PTD"=-
"IndexSearch"=-
"PPort11reminder"=-
"BrMfcWnd"=-
"ControlCenter3"=-
"AdslTaskBar"=-
"Monitor"=-
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-
"Adobe ARM"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
[-HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL (oba) + log z TDSSKiller.

[PATIX14]

Nowe logi z Otl Dostępne tylko dla zarejestrowanych użytkowników
Logi z TDSSKiller Dostępne tylko dla zarejestrowanych użytkowników
Logi po usuwaniu Dostępne tylko dla zarejestrowanych użytkowników
Dziękuje za pomoc i proszę o dalsze kroki

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a1a3pjb6)

:Files
C:\Documents and Settings\Natalia\Pulpit\TDSSKiller.exe
RECYCLER /alldrives
C:\Documents and Settings\Natalia\Pulpit\sfdrvrem.exe
C:\Documents and Settings\Natalia\Pulpit\tdsskiller.zip
C:\Documents and Settings\Natalia\Pulpit\sfdrvrem.zip

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[PATIX14]

Logi po usuwaniu Dostępne tylko dla zarejestrowanych użytkowników
Nowe logi Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (aewtto7w)
O15 - HKCU\..Trusted Domains: facebook.pl ([.pl-pl] https in Zaufane witryny)

:Files
RECYCLER /alldrives

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ESET Online Scanner]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03
"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java(TM) 6 Update 26

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"Adobe Acrobat 5.0" = Adobe Acrobat 5.0 CE
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl)

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> http://www.hotfix.pl/infusions/pro_down ... r-p158.htm.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> http://www.hotfix.pl/infusions/pro_down ... e-p164.htm, jeśli coś znajdzie usuń i daj raport.

[PATIX14]

Malwarebytes nic nie znalazł i co teraz ?

[kominekl]

Malwarebytes nic nie znalazł i co teraz ?

Jeśli wykonałaś wszystkie instrukcje i nie ma już żadnych problemów to jest to już wszystko .