jachu876 Opublikowano 17 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 17 Kwietnia 2015 Witam. Przez nieuwagę otworzyłem plik z wiadomości email. Gdy wyskoczył mi komunikat na pulpicie, sprawdziłem na forum co to jest. Trochę się załamałem, że odkodowanie plików jest awykonalne No cóż, mówi się trudno. Teraz proszę o pomoc, żeby to "dziadostwo" zniszczyć. Załączam obowiązkowe logi. gmer.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Addition.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
spawciu Opublikowano 19 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 19 Kwietnia 2015 Tak z ciekawości zapytam: co to za wiadomość, w jakim formacie przyszła, od kogo, jaki tytuł, czy wystarczyło jedno kliknięcie załącznika czy tez samo otwarcie listu? Pewnie wiele osób zastanawia się jak unikać takich wpadek i precyzyjna informacja jak @ wyglądał ustrzeże może niejedną osobę przed otwarciem takiej poczty. Pozdrawiam. Odnośnik do komentarza
jachu876 Opublikowano 20 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 20 Kwietnia 2015 Jestem na siebie wściekły! Zanim otworzyłem tego maila, pomyślałem że pewnie to jakiś wirus heh Ale głupia ciekawość wzięła górę, no i mam za swoje Co do wiadomości. Nie pamiętam tytułu wiadomości, ale była napisana w j. angielskim. Nazwa maila z zagranicznym imieniem i nazwiskiem. Też nie pamiętam, ale kojarze imię (chyba Elizabeth) W treści napisane było jedno zdanie, że autor wiadomości kogoś szuka czy coś potrzebuje (też nie pamiętam, bo nie przywiązywałem do tego uwagi) No i załącznik. Plik o małej pojemności (albo jako zdjęcie, albo jako dokument). Otworzyłem to i nic. Wiadomość zaraz skasowałem i ok. A po ok. 5 minutach zaczął się koszmar Czyli czarny ekran i komunikat na środku. Reszty pisać już nie muszę, bo spokojnie znajdziecie w necie wszystko na temat tego okropnego wirusa. Na moim przykładzie apeluje do wszystkich. Niech rozsądek bierzę górę a nie ciekawość bo podejrzane maile mogą przysporzyć naprawdę wiele kłopotów Odnośnik do komentarza
jachu876 Opublikowano 21 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 21 Kwietnia 2015 Otrzymałem kolejnego podejrzanego maila. Nie otworzę go tym razem Jednak pozwolę sobie Wam napisać dane na temat tej wiadomości. Nadawca: Sindy Arnoux (whump@ste-dso.com) Tytuł: Midlands UK Treść wiadomości:Afternoon,------Sindy Arnoux+44 2476 08 02 97 Załącznik: gme_springs_ltd.zip (26,31 kB) Tak to wygląda. Po otworzeniu maila nic się nie dzieje. Natomiast po otworzeniu załącznika może być różnie, dlatego nie będę otwierać. A jeżeli chcecie sprawdzić mogę przekazać odważnym na pocztę Odnośnik do komentarza
gajowy Opublikowano 22 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 22 Kwietnia 2015 Nazwy nadawcy są zmienne, podobnie jak adresy e-mail. Treść wiadomości najczęściej zawiera adres, nr telefonu, czasem nazwę firmy. Wszystko to, aby wzbudzić zaufanie odbiorcy. Załącznikami są pliki zip lub cab. Odnośnik do komentarza
Zappa Opublikowano 22 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 22 Kwietnia 2015 Odinstaluj z panelu programów ten śmieć, potem zrób nowy skan FRST i wstaw logi. YAC(Yet Another Cleaner!) Odnośnik do komentarza
jachu876 Opublikowano 22 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 22 Kwietnia 2015 Tego śmiecia już nie mam, skasowałem wcześniej. Oprócz tych logów zrobiłem skany programami: combofix mbam adwcleaner Nie wiem czy wirus już całkowicie jest skasowany czy nie, ale nic podejrzanego nie zauważyłem. Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
Zappa Opublikowano 22 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 22 Kwietnia 2015 Otwórz notatnik i wklej CloseProcesses:KLM-x32\...\Run: [] => C:\Users\Tomek\AppData\Local\Temp\wnqieun.exe <===== ATTENTIONHKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTIONHKU\S-1-5-21-1910233873-1700316264-2321489004-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTIONHKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchHKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhomeHKU\S-1-5-21-1910233873-1700316264-2321489004-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearchHKLM-x32\...\Run: [] => C:\Users\Tomek\AppData\Local\Temp\wnqieun.exe <===== ATTENTIONSearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =U4 Avgfwfd; system32\DRIVERS\avgfwd6a.sys [X]S3 catchme; \??\C:\ComboFix\catchme.sys [X]S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X]Task: {9C7A1883-C45A-4EFC-8AEC-F40607297F31} - System32\Tasks\bmicpen => C:\Users\Tomek\AppData\Local\Temp\wnqieun.exe <==== ATTENTIONTask: {C777653B-1170-4A35-B3F3-59049B783B5D} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvcEmptyTemp: plik zapisz jako fixlist.txt i umieść w C:\Users\Tomek\Downloads. Uruchom FRST i kliknij w Fix. Po usuwaniu powstanie raport fixlog.txt - przedstaw go. 2. Zrób nowy skan FRST. Odnośnik do komentarza
jachu876 Opublikowano 22 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 22 Kwietnia 2015 Robota wykonana. Addition.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
jachu876 Opublikowano 27 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 27 Kwietnia 2015 Czy mój komputer jest już bezpieczny? Czy mam jeszcze wykonać jakieś polecenia? Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 5 Maja 2015 Zgłoś Udostępnij Opublikowano 5 Maja 2015 Zappa Literówka w drugiej linii oraz został usunięty poprawny wpis: Task: {C777653B-1170-4A35-B3F3-59049B783B5D} - System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask => Sc.exe start osppsvc To część systemu licencjonowania pakietu Office - zadanie ma na celu restart usługi licencyjnej w predefiniowanytm czasie. Jeśli usługa nie działa, mogą się pojawić problemy typu "klucz niepoprawny" etc. jachu876 Wymagane kolejne poprawki. Po pierwsze: nadal komponenty adware w raporcie widoczne ("FIFA 14 Ultimate Edition Key Generator" w Autostarcie, szczątki przekonwertowanego przez adware Google Chrome, foldery adware na dysku). Po drugie: usunięcie szczątków po szyfratorze oraz zaszyfrowanych plików z wszystkich katalogów. 1. Te ważne zaszyfrowane pliki gdzieś skopiuj na zewnętrzny nośnik. Akcja tylko na wszelki wypadek, bo żadnych widoków na deszyfrację. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FIFA 14 Ultimate Edition Key Generator.lnk [2015-04-10] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Task: {201CF5A9-209E-4AD5-8FC0-EB0F6D3FCADB} - System32\Tasks\{F5541B6B-5842-4A8C-B2F7-24912C72A43F} => pcalua.exe -a "J:\Program Files\FIFA 14\__Installer\vc\vc2010sp1\redist\vcredist_x86.exe" -d "J:\Program Files\FIFA 14\__Installer\vc\vc2010sp1\redist" Task: {34C85192-9A1D-4E75-BA30-870E1818A350} - System32\Tasks\{5F7730DA-A7F3-4F08-B95D-ECF817C58644} => pcalua.exe -a "J:\Program Files\FIFA 14\__Installer\dotnet\dotnet35sp1\redist\dotnetfx35.exe" -d "J:\Program Files\FIFA 14\__Installer\dotnet\dotnet35sp1\redist" Task: {367068CF-787A-4AFE-9269-62CC93FB2179} - System32\Tasks\{F7A8569C-2EC7-4B6F-BAEB-4F4ABF9FF8C6} => pcalua.exe -a "C:\Program Files (x86)\SalePlus\0c9QbvsY7GF31y.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {D38044B5-53BA-408A-9371-D0D73C490DB4} - System32\Tasks\{C57F00E5-E9C7-4388-B6C1-203692462626} => pcalua.exe -a "C:\Program Files (x86)\Bookolio\Bookolio.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" C:\Program Files (x86)\Bookolio C:\Program Files (x86)\appfast C:\ProgramData\kwhempk.html C:\ProgramData\{5967b0a1-0bde-d483-5967-7b0a10bdc284} C:\ProgramData\{10a91f5a-b65e-8b69-10a9-91f5ab657d6a} C:\Users\Tomek\AppData\Local\Temp-log.txt Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: attrib -r -h -s C:\*aoayoqa* /s CMD: del /q /s C:\*aoayoqa* CMD: type C:\ComboFix.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
jachu876 Opublikowano 12 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 12 Maja 2015 Dopiero dzisiaj zalogowałem się i odczytałem post. Robota wykonana. Załączam logi. FRST.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
jachu876 Opublikowano 13 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2015 Dzisiaj rano włączam komputer i pojawiło się kolejne paskudztwo ;/ Odpaliłem combofixa. Załączam screeny i log. DECRYPT_INSTRUCTIONS.txtPobieranie informacji ... ComboFix.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
Rucek Opublikowano 13 Maja 2015 Zgłoś Udostępnij Opublikowano 13 Maja 2015 Co do używania Combofixa to tutaj masz info, dlaczego lepiej nie używać: https://www.fixitpc.pl/topic/7-dezynfekcja-narz%C4%99dzie-combofix/?p=34 Odnośnik do komentarza
jachu876 Opublikowano 13 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2015 Wiem Rucek. Źle postąpiłem Odnośnik do komentarza
jachu876 Opublikowano 25 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2015 Zrobiłem format partycji systemowej Odnośnik do komentarza
picasso Opublikowano 26 Maja 2015 Zgłoś Udostępnij Opublikowano 26 Maja 2015 Na zakończenie powiem, że to nowe "paskudztwo" to były dwa różne typy: 1. Kolejna infekcja szyfrująca "Crypt0L0cker", czyli mimo nazwy całkiem co innego, tzn. nowa wersja TorrentLocker: KLIK. Odszyfrowanie plików również awykonalne. 2. Adware nabyte poprzez próby poszukiwania dekoderów. Uruchomiłeś szkodnika, który był downloaderem ze śmieciami: 2015-05-13 07:22 - 2015-05-13 07:22 - 01525776 _____ (Dummy, Ltd.) C:\Users\Tomek\Downloads\Download decryptolocker exe_10924_i7728904_il345.exe Zrobiłeś format. Temat zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi