Skocz do zawartości

Cyberprzestępczość Departament - wirus UKASH znów atakuje


Rekomendowane odpowiedzi

Witam, otrzymałem link do tego forum z powodu znajomości informatyków o tym wirusie. Mój komputer został zainfekowany tym weelsof dzisiaj o 1.00 w nocy. Wygląda on jednak inaczej niż jak miałem go kiedyś. Jest odliczanie 48 godzin, że jeśli nie zapłacę 400 zł to usuną mi pliki i na stałe zablokują komputer.

 

Komputer nie uruchamia się w:

-trybie normalnym

-trybie z obsługą sieci

-trybie awaryjnym

 

Uruchamia się natomiast tylko w trybie awaryjnym z wierszem polecenia, ale nie mogę użyć tam plików AUTORUNS, jak doradzał CERT POLSKA. Wyskakuje jakiś błąd.

 

Jedyne co mi świta na myśli, to wklejenie na forum LOGÓW, ale zupełnie nie wiem jak to się robi. Proszę o jaką kolwiek pomoc, liczę na waszą profesjonalność. Są święta a ja nawet nie mogę w gry pograć. Odłączenie internetu i wpisywanie kodów, również nie skutkuje...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Temat jest intensywnie analizowany w wątku użytkownika "Goska" -> http://www.fixitpc.p...erzeniem-block/

 

Weelsof Ransomware/ukash (w zasadzie spotkałem się kilkukrotnie z różnym nazewnictwem tego trojana), który dotychczas straszył policyjną planszą wyświetlaną na całym ekranie rozwija się i mutuje nieprzerwanie od maja 2012 (picasso natrafiła nawet na wzmianki z marca br.) na dzień dzisiejszy szyfruje pliki (min. graficzne i dokumenty, dopisuje rozszerzenie *.Block). Chciałbym Cię zapewnić, że temat nie stoi w miejscu i trwa międzynarodowa dyskusja na różnych forach (min. kaspersky) jak się odnaleźć w tej bardzo groźnej sytuacji. Oczywiście nie płacimy szantażyście żadnych pieniędzy za rzekome odblokowanie plików, oto przykład co spotkało osobę która zapłaciła: (po angielsku)

 

 

Posted 20 December 2012 - 10:27 AM

 

Okay, here is my experience with this virus (both the computer program and the person who made it). First I contacted the yahoo e-mail address (he uses the fake name Tarence Benefield), and the person wanted me to pay them using western union... I sent them the money, and the yahoo email address got blocked... now he uses the e-mail address removed (WARNING, DO NOT SEND HIM MONEY). So after I sent this guy my money, and his e-mail gets deleted by yahoo, I feel like and idiot... But then I was able to track down his new e-mail address and got in touch with him again. Now he wants me to send him another payment! This guy is a scammer and a low life (As if we didn't already know that); he doesn't care about you or your hard work. Please NO-ONE SEND HIM ANY MONEY! If we encourage this guy, then in the future we will only see more of these kind of viruses! I made a mistake, you should not make the same mistake!

These guys do not negotiate; they do not sympathise; all they care about is themselves, they would sell their mother to gangsters just for a few dollars.

Its seams that not too many people have fallen victim to this scam so far, which is good; but those that have fallen should NOT send any money no matter what!

Call your local police (FBI, RCMP, ect) fraud unit and report this; the more reports we make, the more likely they will start catching these guys! They already caught a few, only a few more to go!

 

James Man

 

pozdrawiam

Prince

Odnośnik do komentarza

ComboFixa nie wolno używać na własną rękę. Jest to napisane w temacie przyklejonym na tym forum. Mimo wszystko tu jest jeszcze co robić. Wykonuj ponizsze czynności.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Slajder\USTAWI~1\Temp\ASFWHide -- (ASFWHide)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\anvsnddrv.sys -- (anvsnddrv)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=6&barid={B4B58B19-F7B4-4C2A-94B5-8E37E0517859}"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = "http://www.startsearcher.com"
IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://www.startsearcher.com/?q={searchTerms}&src=IETB"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={B4B58B19-F7B4-4C2A-94B5-8E37E0517859}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://dts.search-results.com/sidebar.html?src=ssb&appid=0&systemid=2&sr=0"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=6&barid={B4B58B19-F7B4-4C2A-94B5-8E37E0517859}"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = "http://www.startsearcher.com"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&sr=0&q={searchTerms}"
IE - HKCU\..\SearchScopes\{7F4EFF06-7032-458e-AE16-1C1D8255C28A}: "URL" = "http://home.speedbit.com/search.aspx?aff=115&q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={B4B58B19-F7B4-4C2A-94B5-8E37E0517859}"
O3 - HKLM\..\Toolbar: (no name) - !{687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - !{E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKCU..\Run: [] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe File not found
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm File not found
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm File not found
 
:Files
C:\Documents and Settings\Slajder\wgsdgsdgdsgsd.dll
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\Slajder\Menu Start\Programy\Autostart\runctf.lnk
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / Internet Explorer Toolbar 4.6 by SweetPacks / uTorrentControl2 Toolbar

 

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook / SweetPacks Chrome Extension

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie jednak zaznacz w nim opcję "Pomiń pliki Microsoftu", tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Odnośnik do komentarza
  • 2 tygodnie później...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...