Skocz do zawartości

Infekcja CryptoWall 3.0


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Istotnie, jest tu bagno infekcyjne tej konkretnej grupy CryptoWall, w tym trojan Sathurbot. Przymierzałeś się do uruchomienia SpyHunter - to program z czarnej listy!

 

Działania wstępne:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
ShellIconOverlayIdentifiers: [0WinSecurityProvider] -> {F76FA5C2-3B6A-451E-8CA5-34C8D0AE0637} => C:\ProgramData\Microsoft\Security\Client\SecurityProvider.dll ()
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [ubqjmedia] => C:\Users\PC\AppData\Local\Ubqjmedia\tmp175A.exe [430080 2015-02-23] (Fly Project Blood)
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [uPHmedia] => regsvr32.exe C:\Users\PC\AppData\Local\UPHmedia\WMP.DLL 
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [Ofvics] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\PC\AppData\Local\Ubqjmedia\mDNSResponder.dll
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [rasautou] => C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe [290304 2009-07-14] (©Wyebugur)
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [Console Protect Service] => C:\Users\PC\AppData\Roaming\Microsoft\Protect\conhost.exe [360960 2015-02-24] (©Ceysajolxofat)
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [Actisapi] => C:\Users\PC\AppData\Local\Temp\DHCPplay.exe 
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [68668FD2] => C:\Users\PC\AppData\Roaming\68668FD2\bin.exe [77824 2015-02-25] (ForceCausally # CockiestDisassociateDisarmament FireguardConviction)
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\RunOnce: [rasautou] => C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe [290304 2009-07-14] (©Wyebugur)
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Policies\Explorer: [Run] "C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe"
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Command Processor: "C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe" 
Startup: C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rasautou.lnk
Task: {8697A8EF-869D-49AA-9C39-E35B7CFE3349} - System32\Tasks\rasautou => C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe [2009-07-14] (©Wyebugur)
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{9a1954fa-5db4-40e5-8397-013295993819} 
CMD: del /q /s C:\HELP_DECRYPT.*
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\APN
C:\ProgramData\Microsoft\Security
C:\Users\PC\AppData\Local\{75A2DCDF-222F-4890-AC46-4C6C3C589A80}
C:\Users\PC\AppData\Local\BITD91F.tmp
C:\Users\PC\AppData\Local\Ubqjmedia
C:\Users\PC\AppData\Local\UPHmedia
C:\Users\PC\AppData\Roaming\20dc23ac.dat
C:\Users\PC\AppData\Roaming\68668FD2
C:\Users\PC\AppData\Roaming\Microsoft\Protect\conhost.exe
C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate
C:\Users\PC\AppData\Roaming\System
C:\Users\PC\Downloads\C5D8D000
C:\Users\PC\Downloads\pobierz_*.exe
C:\Users\PC\Downloads\SpyHunter-Installer.exe
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows.. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Opuść Tryb awaryjny. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition). Sprawdź czy możesz uruchomić GMER. Dołącz też plik fixlog.txt .

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...