File c users user pictures about brontok a html что это
как избавится от вируса Brontok?
Другие названия
Email-Worm.Win32.Brontok.q («Лаборатория Касперского» ) также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), WORM_RONTOKBRO.F (Trend Micro), WORM/Brontok.C (H+BEDV), W32/Brontok.C@mm (FRISK), Win32:Rontokbr-B (ALWIL), I-Worm/VB.FY (Grisoft), Win32.Brontok.C@MM (SOFTWIN), Worm.Brontok.E (ClamAV), Win32/Brontok.F (Eset)
Детектирование добавлено 15 май 2006 19:08 MSK
Обновление выпущено 15 май 2006 20:24 MSK
Описание опубликовано 12 окт 2006
Поведение Email-Worm, почтовый червь
* Технические детали
* Деструктивная активность
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
При инсталляции червь изменяет следующие ключи системного реестра, отключая средства работы с реестром и подключение командной строки, установку режима отображения файлов и папок в проводнике:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
«DisableRegistryTools»=»1»
«DisableCMD»=»0»
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
«Hidden»=»0»
«HideFileExt»=»1»
«ShowSuperHidden»=»0»
Например, при запуске редактора реестра выводится следующее сообщение:
Далее червь получает путь к каталогу приложений Windows для текущего пользователя (%UserProfile%\Local Settings\Application Data) и копирует свое тело в этот каталог под следующими именами:
%UserProfile%\Local Settings\Application Data\br on.exe
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\svchost.exe
%UserProfile%\Local Settings\Application Data\winlogon.exe
Также червь копирует себя в каталог автозагрузки программ меню «Пуск» под именем Empty.pif:
%UserProfile%\%Autorun%\Empty.pif
и в каталог «Мои рисунки» каталога документов текущего пользователя:
%MyPictures%\Мои рисунки. exe
В этом каталоге также создается HTML-страничка с названием about.Brontok.A.html:
Данная страничка является содержимым писем, которые червь рассылает по найденным адресам электронной почты.
КОРОЧЕ ТЕПЕРЬ ВЫ РАССЫЛАЕТЕ ВИРУСЫ В ПОЧТЕ. УДАЛИТЕ
https://yadi.sk/d/p8xebcRpqHAVyg
Вирус-червь Brontok.a ПОМОГИТЕ.
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
Инсталляция
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\ ‘s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Bron-Spizaetus»=»%Windir%\ShellNew\bronstab.exe»
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Tok-Cirrhatus»=»%Documents and Settings%\User\Local Settings\Application Data\smss.exe»
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell»=»Explorer.exe %Windir%\eksplorasi.pif»
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок) :
Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
XX – 2 случайные цифры.
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
asp
cfm
csv
doc
eml
html
php
txt
wab
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Удаление Brontok-A: Удалите Brontok-A Навсегда
Что такое Brontok-A
Скачать утилиту для удаления Brontok-A
Удалить Brontok-A вручную
Получить проффесиональную тех поддержку
Читать комментарии
Описание угрозы
Имя исполняемого файла:
Brontok-A
RecoverFromReboot.exe
Worm
Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)
Метод заражения Brontok-A
Brontok-A копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла RecoverFromReboot.exe. Потом он создаёт ключ автозагрузки в реестре с именем Brontok-A и значением RecoverFromReboot.exe. Вы также можете найти его в списке процессов с именем RecoverFromReboot.exe или Brontok-A.
Если у вас есть дополнительные вопросы касательно Brontok-A, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.
Скачать утилиту для удаления
Скачайте эту программу и удалите Brontok-A and RecoverFromReboot.exe (закачка начнется автоматически):
* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Brontok-A в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.
Функции
Удаляет все файлы, созданные Brontok-A.
Удаляет все записи реестра, созданные Brontok-A.
Программа способна защищать файлы и настройки от вредоносного кода.
Программа может исправить проблемы с браузером и защищает настройки браузера.
Антивирусная поддержка в режиме 24/7 входит в комплект поставки.
Скачайте утилиту для удаления Brontok-A от российской компании Security Stronghold
Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Brontok-A.. Утилита для удаления Brontok-A найдет и полностью удалит Brontok-A и все проблемы связанные с вирусом Brontok-A. Быстрая, легкая в использовании утилита для удаления Brontok-A защитит ваш компьютер от угрозы Brontok-A которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Brontok-A сканирует ваши жесткие диски и реестр и удаляет любое проявление Brontok-A. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Brontok-A. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Brontok-A и RecoverFromReboot.exe (закачка начнется автоматически):
Функции
Удаляет все файлы, созданные Brontok-A.
Удаляет все записи реестра, созданные Brontok-A.
Программа может исправить проблемы с браузером.
Иммунизирует систему.
Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.
Наша служба поддержки готова решить вашу проблему с Brontok-A и удалить Brontok-A прямо сейчас!
Оставьте подробное описание вашей проблемы с Brontok-A в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Brontok-A. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Brontok-A.
Как удалить Brontok-A вручную
Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Brontok-A, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Brontok-A.
Чтобы избавиться от Brontok-A, вам необходимо:
1. Завершить следующие процессы и удалить соответствующие файлы:
Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления Brontok-A для безопасного решения проблемы.
2. Удалите следующие папки:
3. Удалите следующие ключи и\или значения ключей реестра:
Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления Brontok-A для безопасного решения проблемы.
Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:
4. Сбросить настройки браузеров
Brontok-A иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию «Сбросить настройки браузеров» в «Инструментах» в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Brontok-A. Для сброса настроек браузеров вручную используйте данную инструкцию:
Для Internet Explorer
Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: «inetcpl.cpl».
Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: «inetcpl.cpl».
Выберите вкладку Дополнительно
Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.
Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.
После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Найдите папку установки Google Chrome по адресу: C:\Users\»имя пользователя»\AppData\Local\Google\Chrome\Application\User Data.
В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.
Запустите Google Chrome и будет создан новый файл Default.
Настройки Google Chrome сброшены
Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Для Mozilla Firefox
В меню выберите Помощь > Информация для решения проблем.
Кликните кнопку Сбросить Firefox.
После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.
Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.
Brontok.A помогите удалить, пожалуйста, чайнику! (заявка № 8173)
Опции темы
Только не ругайтесь, пожалуйста. прочитала правила.
Но ни установить AVZ, ни проверить ни dr.Web, ни другими программами не удается. Сразу комп перезагружается. Прочитать посты, как удалить этот червь тоже не удается, тоже начинает перезагружаться. Как будто знает, что я его хочу удалить.
Последней каплей стало, когда попробовала, просканнить, как написано в правилах.
Уже устала, Сегодня уже раз 20 наверное перезагрузился, если не больше.
Объясните, пжста, на пальцах, что делать.
Благодарю заранее за любую помощь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Получить логи в безопасном режиме пробовали?
В начале загрузки Windows нажимаете клавишу F8 и выбираете пункт «Загрузка в безопасном режиме»
Спасибо большое. вчера сделала в безопасном режиме.
Но почему-то, на сайт не пускал меня и в своем почтовом ящике при нажатии на сообщение отсюда, окно сразу закрывалось, в смысле мой емейл.
PS/ А если я сделала не в той последовательности, как надо, это существенно? (сначала AVZ4 «скрипт лечения..», потом Hijack, и только потом AVZ4 «скрипт сбора. «)
а теперь не получается выслать файл с архивом.
пишет, «имейте совесть. » и сразу отключается. Это червь, или я такая бестолковая? Вроде бы все делаю правильно, как в правилах написано.
Может, его сюда прикрепить?
Насколько я вижу, пока никаких файлов, кроме тех, что Вы уже выслали, нами не запрошено.
Проводим анализ.
Выполните приведённый ниже скрипт. Как его выполнять ниже линк в подписи. После перегрузки пришлите содержимое карантина как описано в правилах, и сделайте новые логи.
попробовала.
комп перезагружается, даже в безопасном режиме
Он должен перезагрузится после выполнения скрипта, это правильно. После перегрузки пришлите содержимое карантина как описано в правилах, войдя в безопасный режим, если не можете загрузиться в нормальном.
нет, он перезагружается сразу же, как нажимаю «запустить». (как я понимаю выполнение скрипта не произошло. так и должно быть?
Все правильно, скрипт выполнен. Пришлите теперь карантин согласно правилам. И скачайте хотя бы КИС пробную версию, он вас немного защитит.
Вас еще просили прислать файл карантина. его не наблюдаем.
Стало лучше, или всё по старому?
Спасибо ОГРОМНОЕ.
Цены вам нет!
Продублированные папки исчезли. По поиску нашла какие-то файлы(типа about brontok. ) Спокойно удалились. А папку «свойства папки» так и не смогла вытащить.
Про карантин, если честно, я не поняла, какие файлы надо вкладывать. В приложении написано 2. В верхнем окне введите список файлов которые Вас просили прислать. А какие надо вводить?
Вроде бы стало все функционировать, DrWeb ничего не нашел (в сомнениях, потому что не верится 
)
Если проблемы исчезли то повторите логи из нормального режима (не из безопасного)
Все, отправила. А те логи, что в предыдущем сообщении, сделаны в безопасном режиме.
File c users user pictures about brontok a html что это
Доброго времени суток всем!
Единственное: я ограничил запуск проги под 64-разрядные системы, т.к. не было возможности ее в таких испытать (у меня везде 32 разряда).
Утилита этого класса никак не может детектироваться как малварь или адварь, потому и напрягают результаты сканирования.
1. Как в интерфейсе программы, так и в прилагаемой к ней инструкции указаны не только мое имя и город проживания, но и е-мейл, номер яндекс-кошелька и даже ссылка на страничку на «Стихире» (где, помимо моих стихов есть и мое фото!). Много ли Вы видели вирусов, авторы которых предоставляют ТАК много сведений о себе. Не один вир-мейкер в здравом уме не стал бы так щедро распыляться подобной информацией.