Zainfekowany laptop,wyłącza się

[Luxter 0]

Komputer przy ściąganiu plików się zaczyna wyłączać załączam logi, proszę o pomoc.

gmer: http://wklej.org/id/2870800/

frst: http://wklej.org/id/2870801/

shortcut: http://wklej.org/id/2870802/

additions: http://wklej.org/id/2870803/

[filutka78 11]

Error: (09/27/2016 09:24:21 AM) (Source: Ntfs) (EventID: 55) (User: )

Description: Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku.

Uruchom narzędzie chkdsk na woluminie C:.

Wyłączanie się komputera może mieć związek z tym powyższym.

Ale to nie do tego działu forum.

 

Jest infekcja BRONTOK.

1) Otwórz Notatnik i wklej w nim:

testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika <===== UWAGA

DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus

C:\Users\KrissKZ\AppData\Local\smss.exe

C:\Users\KrissKZ\AppData\Local\winlogon.exe

C:\Users\KrissKZ\AppData\Local\services.exe

C:\Users\KrissKZ\AppData\Local\lsass.exe

Task: {18565724-C4B8-45D2-A83B-4D798EE565F6} - System32\Tasks\{55105F96-9581-46F2-BD81-5497D814844D} => pcalua.exe -a "E:\Pulpit\All MTK USB Driverv.9.2.PDanet.Adb 2015\FeaturePhoneDriver\v1.1032.1\InstallDriver.exe" -d "E:\Pulpit\All MTK USB Driverv.9.2.PDanet.Adb 2015\FeaturePhoneDriver\v1.1032.1"

C:\ProgramData\hpe242.dll

C:\Users\KrissKZ\AppData\Local\Update.12.Bron.Tok.bin

C:\Users\KrissKZ\AppData\Local\Kosong.Bron.Tok.txt

C:\Users\KrissKZ\AppData\Local\inetinfo.exe

C:\Users\KrissKZ\AppData\Local\Bron.tok.A12.em.bin

DPF: HKLM-x32 {9AA03FEC-6582-48B1-BC62-821D4A7B9461} hxxp://83.238.167.136:85/N9DvrOcx.cab?V1167

RemoveDirectory: C:\Users\KrissKZ\AppData\Local\Loc.Mail.Bron.Tok

RemoveDirectory: C:\Users\KrissKZ\AppData\Local\Ok-SendMail-Bron-tok

RemoveDirectory: C:\Users\KrissKZ\AppData\Local\Bron.tok-12-27

S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]

S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]

S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]

S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]

S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X]

S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]

S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]

S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]

S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]

S3 usbbus; system32\DRIVERS\lgx64bus.sys [X]

S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [X]

S3 USBModem; system32\DRIVERS\lgx64modem.sys [X]

S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]

S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]

DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes

DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes

DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes

Startup: C:\Users\KrissKZ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif [2011-12-14] ()

GroupPolicyScripts: Ograniczenia <======= UWAGA

GroupPolicyScripts\User: Ograniczenia <======= UWAGA

HKU\S-1-5-21-4048518426-1663524134-1578455944-1000\...\Run: [Tok-Cirrhatus] => C:\Users\KrissKZ\AppData\Local\smss.exe [42713 2011-12-14] ()

cmd: netsh advfirewall firewall

HOSTS:

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Masz już MBAM - użyj go.

 

3) Zrób nowe logi FRST - już bez Shortcut.

 

F.

[Luxter 0]

FRST: http://wklej.to/xLCSr

Additional: http://wklej.to/LMTbR

fixlog: http://wklej.to/ks76V

Mbam usunął kilkanaście plików (w tym również kilka .brontok)

[filutka78 11]

Otwórz Notatnik i wklej w nim:

2016-09-27 12:38 - 2016-09-27 12:38 - 0041241 ____C () C:\Users\KrissKZ\AppData\Local\Bron.tok.A12.em.bin

2016-09-27 12:39 - 2016-09-27 12:39 - 0000051 ____C () C:\Users\KrissKZ\AppData\Local\Kosong.Bron.Tok.txt

2016-09-27 12:38 - 2016-09-27 12:38 - 0041241 ____C () C:\Users\KrissKZ\AppData\Local\Update.12.Bron.Tok.bin

2016-09-15 14:45 - 2015-10-23 11:38 - 00000000 ___DC C:\ProgramData\boost_interprocess

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

Potem kończymy:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).

przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

F.

[Luxter 0]

Dziękuję bardzo, wszystko jest już ok ^^, Pomoc jak zwykle szybka i skuteczna ^^. Dziękuje bardzo i pozdrawiam!