Zainfekowanie wirusem Brontok. Logi OTL.

[Drotty]

Witam

Mój komputer prawdopodobnie został zainfekowany przez Brontoka. Sam jednak nie dam rady go usunąć dlatego proszę o pomoc. Komputer nie pokazuje błędów z wyjatkiem tego, że po zalogowaniu na użytkownia jest czarny ekran i kursor ale po uruchomieniu explorer.exe z poziomu menagera zadań niby wszystko wraca do normy. Obecność Bontoka pokazuje antywirus ale raczej nie jest w stanie nic z tym zrobić. Poniżęj zamieszczam logi OTL i logi z GMER:

log OTL: Dostępne tylko dla zarejestrowanych użytkowników

Extras: Dostępne tylko dla zarejestrowanych użytkowników

log 1 GMER: Dostępne tylko dla zarejestrowanych użytkowników

log 2 GMER: Dostępne tylko dla zarejestrowanych użytkowników

Mogę dodać, że mój system to Windows 7 32 bit. Z góry dziekuje za pomoc.

[djarta]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\XXX\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm File not found
O7 - HKU\S-1-5-21-1882665923-1742536009-1961637526-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: = 1
O7 - HKU\S-1-5-21-1882665923-1742536009-1961637526-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O4 - HKU\S-1-5-21-1882665923-1742536009-1961637526-1000..\Run: [Rundll32] C:\Users\XXX\AppData\Roaming\Microsoft\Windows\unicode2.nls ()
O3 - HKU\S-1-5-21-1882665923-1742536009-1961637526-1000\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
FF - HKLM\Software\MozillaPlugins\@playstation.com/PsndlCheck,version=1.00: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
IE - HKU\S-1-5-21-1882665923-1742536009-1961637526-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1882665923-1742536009-1961637526-1000\..\URLSearchHook: {32b29df0-2237-4370-9a29-37cebb730e9b} - No CLSID value found
IE - HKU\S-1-5-21-1882665923-1742536009-1961637526-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1882665923-1742536009-1961637526-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-1882665923-1742536009-1961637526-1000\..\SearchScopes\{18B172B9-9C1F-4B5D-BD92-A9D2B46AB5A0}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1882665923-1742536009-1961637526-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2704262
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT2704262
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\vmci.sys -- (vmci)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\XXX\AppData\Local\Temp\uxriqpow.sys -- (uxriqpow)

:Files
C:\Users\XXX\AppData\Local\Bron.tok-12-4
C:\Users\XXX\AppData\Local\Loc.Mail.Bron.Tok
C:\Users\XXX\AppData\Local\Ok-SendMail-Bron-tok
C:\Users\XXX\AppData\Local\Bron.tok-12-3
C:\Windows\System32\drivers\etc\hosts.ics
C:\Users\XXX\AppData\Local\BronNetDomList.bat
C:\Users\XXX\AppData\Local\Bron.tok.A12.em.bin
C:\Windows\tasks\*.job
C:\Windows\System32\proc-1037709799.bin
C:\Users\XXX\AppData\Roaming\Microsoft\Windows
netsh advfirewall reset /C

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptyflash]
[emptyjava]
[resethosts]
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

2. Wykonaj nowe logi z OTL. Dorzuć raport z usuwania.