Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

CryptoWall 3.0 - Komunikaty i dziwne pliki w folderach

dontpanic

Przez dontpanic
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

picasso

picasso

Opublikowano
Opublikowano

W raporcie FRST nie widać już nic szkodliwego. Myślę, że możemy kończyć.

 

1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu. Instrukcje w tym samym linku, w którym podawałam linki pobierania aplikacji.

 

2. Na wszelki wypadek zmień hasła we wszystkich serwisach.

 

 

p.s. dlaczego teraz jest problem z załączeniem plików tekstowych ?

vs.

 

p.s. plik FRST jest za duży i nie mogę go do posta załączyć (48KB)

Wyczerpany limit załączników. Nie mogę przyznać więcej niż około 10MB na osobę.

 

 

p.s. są jakieś bezpieczne strony skąd można pobrać instalke adobe reader? pytam bo przy linku "KLIK" jest tylko deinstalator

Niedokładnie popatrzyłeś. Wszystkie programy mają linki pobierania w temacie. Odnośniki "Pobieranie (wersja ...)":

 

adobereader_logo.pngAdobe Reader

Aktualna wersja: Adobe Reader XI (11.0.10)

Biuletyny bezpieczeństwa: Security bulletins and advisories / Adobe Product Security Incident Response Team (PSIRT) Blog

 

Pobieranie (wersja online) - Pobieranie (wersja offline)

 

Uwaga: "Pobieranie (wersja online)" - na stronie są domyślnie zaznaczeni sponsorzy instalacji. Więcej informacji: Portale z oprogramowaniem / Instalatory - na co uważać. Na stronie należy odznaczyć pole wyboru sponsora.
Odnośnik do komentarza
  • 2 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
dontpanic

dontpanic

Opublikowano
  • Autor
Opublikowano

no i brak antywirusa zrobił swoje. komputer prawie wogóle nie chodzi. kilka stron na przeglądarce i praktycznie zatyka go na amen. firefox i opera już odinstalowane bo jakieś nakładki się na nie pobrały.

 

przesyłam raporty. zaraz po wyczyszczeniu komputera prosze mi doradzic jakim program antywirusowym się zainteresowac? 

 

Addition:

http://wklej.org/id/1686355/

FRST:

http://wklej.org/id/1686356/

gmer:

http://wklej.org/id/1686357/

Shortcuts:

http://wklej.org/id/1686359/

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

no i brak antywirusa zrobił swoje. komputer prawie wogóle nie chodzi. kilka stron na przeglądarce i praktycznie zatyka go na amen. firefox i opera już odinstalowane bo jakieś nakładki się na nie pobrały.

Sprecyzuj co to znaczy "prawie w ogóle nie chodzi". W raporcie brak oznak masowej czynnej infekcji, ale owszem widać, że adware znów było instalowane - to nie są automatyczne instalacje z powietrza, to były zatwierdzone przez Ciebie ręcznie instalacje z jakiegoś "downloadera" i tu wątpliwe by antywirus zdziałał cuda:

 

2015-04-05 11:17 - 2015-04-05 20:06 - 00000000 ____D () C:\Program Files (x86)\ShopperPro

2015-04-05 11:17 - 2015-04-05 17:22 - 00000000 ____D () C:\Program Files (x86)\globalUpdate

2015-04-05 11:17 - 2015-04-05 11:19 - 00000000 ____D () C:\Program Files (x86)\YouTube Accelerator

2015-04-05 11:17 - 2015-04-05 11:17 - 00003520 _____ () C:\windows\System32\Tasks\Inst_Rep

2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Public\Documents\YTAHelper

2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Public\Documents\ShopperPro

2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Public\Documents\GOOBZO

2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Kuba\AppData\Local\globalUpdate

2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Kuba\AppData\Local\CrashRpt

2015-04-05 11:09 - 2015-04-05 11:10 - 00000000 ____D () C:\Users\Kuba\AppData\Local\Gameo

2015-04-05 11:09 - 2015-04-05 11:09 - 01709792 _____ (Disc Soft Ltd.) C:\Users\Kuba\Downloads\DAEMON Tools Lite 5.0.1.0407 [1].exe

2015-04-05 11:09 - 2015-04-05 11:09 - 00000172 _____ () C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url

2015-04-05 11:08 - 2015-04-05 11:08 - 00713112 _____ (Program ) C:\Users\Kuba\Downloads\DAEMON Tools Lite 5.0.1.0407.exe

 

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {E6EF3D5E-5439-4067-BEE0-55962F36C230} - System32\Tasks\Inst_Rep => C:\Users\Kuba\AppData\Local\Installer\Install_20089\DCytaiesmt_smtyc_setup.exe [2015-04-05] ()
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\ShopperPro
C:\Program Files (x86)\YouTube Accelerator
C:\ProgramData\Temp
C:\Users\Kuba\AppData\Local\CrashRpt
C:\Users\Kuba\AppData\Local\Gameo
C:\Users\Kuba\AppData\Local\globalUpdate
C:\Users\Kuba\AppData\Local\Installer
C:\Users\Kuba\AppData\Local\Mozilla
C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url
C:\Users\Kuba\AppData\Roaming\Mozilla
C:\Users\Public\Documents\GOOBZO
C:\Users\Public\Documents\ShopperPro
C:\Users\Public\Documents\YTAHelper
CMD: netsh winsock reset
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Odnośnik do komentarza
dontpanic

dontpanic

Opublikowano
  • Autor
Opublikowano

no tak, instalowałem program. no ale bez przesady, człowieka szlag może trafić. teraz nie da się nic zainstalować z internetu razem z  całym dobrodziejstwem inwentarza ;/ miliard jakiś ukrytych programów i nakładek na przeglądarki ;/ strony takie jak dobreprogramy czy inne badziewie zaśmiecają komputer ;/

 

FRST:

http://wklej.org/id/1687395/

fixlog:

http://wklej.org/id/1687397/

 

jaki antyvirus polecasz?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

p.s. po wczorajszym spokojnym dniu dziś znowu pełny atak reklam. nie da się jednej strony spokojnie otworzyć żeby mnie na inną nie przekierował, albo otwierał reklam w nowych oknach. jak i gdzie to usunąć ?

W logu nic kompletnie nie widać. Jeśli problem jest w Google Chrome, to musi być gdzieś globalna modyfikacja, znowu. Skopiuj na Pulpit całe foldery do analizy:

 

C:\Program Files (x86)\Google

C:\Users\Kuba\AppData\Local\Google

 

Spakuj do ZIP, shostuj gdzieś i podeślij link do tego.

 

 

.s. z szacunku dla Pani czasu proszę mi doradzić jak zabezpieczyć się przed takimi sytuacjami na przyszłość żeby za każdym razem nie wracać na fixitpc.

W linkowanym już artykule w końcowej części wyłożyłam sprawę, gdzie jest podstawowe "zabezpieczenie" - trzeba wyrobić sobie określone odruchy skąd pobierać oraz co robić w oknach instalatorów. Niestety antywirusy nie są w stanie zatrzymać wszystkich instalacji tego typu, wiele antywirusów nawet nie reaguje na próby instalacji typu "PUP" i przepuści. Mógłbyś się ewentualnie zaopatrzyć w komercyjną wersję Malwarebytes Anti-Malware z monitorem, gdyż on ma dużo definicji tego rodzaju. Są jeszcze wirtualne środowiska typu SandBoxie.

Odnośnik do komentarza
  • 6 miesięcy temu...
semiconductor

semiconductor

Opublikowano
Opublikowano

Na pendrive znalazłem ślady działania crytpowalla 3.0 (wersji domyślam sie z porównania jego komunikatów ze zrzutami ekranów opublikowanymi w sieci) tzn. cryptowall zaszyfrował mi pendrive, ale na szczęście tam nie było nic ważnego. Z dat wynika że było to kilka dni temu w ciągu pół godziny mniej więcej (taki jest rozrzut czasu między plikami help_decrypt.* w różnych folderach) gdy włączyłem komputer rano na godzinkę, ale właściwie na nim nic nie robiłem, bo po włączeniu zająłęm się czymś innym, a potem zahibernowałem kompa. W następnych dniach komputer chodził po kilka godzin dziennie, były też restarty (update Windows).

Chciałem zapytać o parę rzeczy:

w c:\users\[user]\appdata\ znalazłem dwa foldery mniej więcej z tej samej godziny co zaszyfrowanie pendrive: 

OICE_15_974FA576_32C1D314_38A5 (zawiera zaszyfrowany już plik *.pptx i standardowe 4 pliki help_decrypt, pliki są z godziną taką jak szyfrowane pendrive, choć sam folder ma datę utworzenia sprzed paru miesięcy, ale modyfikację sprzed pół godziny) oraz folder OICE_15_974FA576_32C1D314_1313 z jakimiś plikami tmp sprzed kilku tygodni (pliki i folder z tej samej minuty nawet)

Z tego wygląda mi, że robal przerwał działanie, ale może się mylę, nie wiem czy to możliwe. 

Jeszcze w paru folderach \appdata\LocalLow i wszystkie z tej godziny gdy pendrive był szyfrowany

1 Jak sprawdzić czy on dalej działa i gdzie sprawdzić czy on w ogóle jest - bo może tylko z przeglądarki szyfrował bez instalowania się w systemie? W momencie infekcji tylko explorer chodził). O ile dobrze zrozumiałem, Cryptowall sukcesywnie szyfruje pliki folder po folderze, ale to przed użytkownikami ukrywa i dopiero na koniec, gdy już wszystko zaszyfrowane, to podmienia wszystkie oryginały na zaszyfrowane pliki)

2 czy muszę przystępować do usuwania Cryptowalla teraz? Nie bardzo mam czas teraz, a tego co widzę, jakby się zatrzymał, ale może bzdury opowiadam. 

3 Co CryptoWall robi z plikami które są w folderach synchronizowanych z chmurą przez Google Disk? Tak samo jak z innymi postepuje? Bo jeśli je zaszyfrował gdy synchronizacja była wyłączona, to wystarczy (po oczyszczeniu kompa) skasować pliki, zreinstalować GDisk i ściągnąć z chmury wszystko. 

4 jest jakaś dobra ogólna instrukcja usuwania tego syfu?

 

Wiele znalezionych stron o usuwaniu podaje instrukcje podejrzanie mi wyglądające i podobne do siebie, a podsuwąjace zawsze jakiś dziwny reklamowany soft do zainstalowania i ogólnie obawiam sie, że ten soft to coś w rodzaju Spy Huntera, czyli wypędzania diabła szatanem.  Mam jakieś doświadczenie z FRST coś już udało mi się kiedyś tym skutecznie usunąć, samemu tworząc odp wpisy na podstawie znalezionych na tym portalu przykładów. 

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

semiconductor, zasady działu: KLIK. Zakaz podpinania się pod cudze tematy (post zostanie wydzielony w osobny) i brak obowiązkowych logów.

 

 

1 Jak sprawdzić czy on dalej działa i gdzie sprawdzić czy on w ogóle jest - bo może tylko z przeglądarki szyfrował bez instalowania się w systemie? W momencie infekcji tylko explorer chodził). O ile dobrze zrozumiałem, Cryptowall sukcesywnie szyfruje pliki folder po folderze, ale to przed użytkownikami ukrywa i dopiero na koniec, gdy już wszystko zaszyfrowane, to podmienia wszystkie oryginały na zaszyfrowane pliki)

2 czy muszę przystępować do usuwania Cryptowalla teraz? Nie bardzo mam czas teraz, a tego co widzę, jakby się zatrzymał, ale może bzdury opowiadam.

3 Co CryptoWall robi z plikami które są w folderach synchronizowanych z chmurą przez Google Disk? Tak samo jak z innymi postepuje? Bo jeśli je zaszyfrował gdy synchronizacja była wyłączona, to wystarczy (po oczyszczeniu kompa) skasować pliki, zreinstalować GDisk i ściągnąć z chmury wszystko.

4 jest jakaś dobra ogólna instrukcja usuwania tego syfu?

1. Po to są obowiązkowe raporty, które dokładnie pokażą czy są jakieś elementy aktywne i gdzie.

2. Jeśli infekcja nie jest aktywna (a to właśnie nie jest wiadome), nie musisz, najgorsze się bowiem już stało.

3. Nie wiem czy Dysk Google także jest atakowany. Na pewno Dropbox.

4. Instrukcja usuwania / doboru odpowiednich działań zależy od tego jaki jest stan konkretnego systemu. Na razie nie mam żadnych wyobrażeń o tym jaki jest stan Twojego Windowsa.

 

 

Wiele znalezionych stron o usuwaniu podaje instrukcje podejrzanie mi wyglądające i podobne do siebie, a podsuwąjace zawsze jakiś dziwny reklamowany soft do zainstalowania i ogólnie obawiam sie, że ten soft to coś w rodzaju Spy Huntera, czyli wypędzania diabła szatanem.

Z pewnością to są te serie fałszywych blogów o usuwaniu malware, których celem głównym jest nakierowanie użytkownika na pobranie reklamowanego tam narzędzia.

Odnośnik do komentarza
  • 5 miesięcy temu...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...