Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja chińskimi, szkodliwymi programami.

Petraka

Przez Petraka
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Miszel03

Miszel03

Opublikowano
Opublikowano
malware / ransomware

 

 

Rasnomware to rodzaj infekcji szyfrującej dane, więc pewnie byś to zauważył.

 

 

W systemie widoczne infekcje, od razu przechodzimy do działań:

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-4037366159-1690126974-2979737429-1001\...\Run: [udvmedia] => regsvr32.exe C:\Users\Piotrek\AppData\Local\Udvmedia\sgjdatcr.dll 
HKU\S-1-5-18\...\Run: [] => 0
HKLM\...\Providers\hsch11h1: C:\Program Files (x86)\Sizayarigily Reports\local64spl.dll [292352 2017-01-05] ()
C:\Program Files (x86)\Sizayarigily Reports
ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku
ShellExecuteHooks: Brak nazwy - {05637422-CCFF-11E6-8821-64006A5CFC23} - C:\Users\Piotrek\AppData\Roaming\Shhoward\Arinuch.dll -> Brak pliku
CHR StartupUrls: Default -> "hxxp://www.oursurfing.com/?type=hp&ts=1436210060&z=c8760eec810d9d1f9cb3977g0z3c0qfo7g6efeaq2g&from=2sq1&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL","hxxp://www.mystartsearch.com/?type=hp&ts=1436210090&z=a9cec4e634c170ba8a1e71eg3z6cdqao7g5e3e2b4b&from=slbnew&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL"
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
Task: {0FE1ED1B-69E2-4468-B810-149DD172CEBF} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> Brak pliku 
Task: {126C4780-EBC7-49B1-893D-1742D5D38AB4} - \Microsoft\Windows\Media Center\OCURActivate -> Brak pliku 
Task: {250DAB8A-C4AB-4637-AF79-5E31F0742D58} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> Brak pliku 
Task: {29708982-A2F0-4510-AB6A-D38049B4160D} - \Microsoft\Windows\Media Center\PvrScheduleTask -> Brak pliku 
Task: {2EE10851-C5AF-4494-A363-BFF8352AB54D} - \Microsoft\Windows\Media Center\PBDADiscoveryW1 -> Brak pliku 
Task: {3727C66C-4574-4F83-A29E-04D7E6FF3DCA} - \Microsoft\Windows\Media Center\PeriodicScanRetry -> Brak pliku 
Task: {3B7627C6-96FD-4C34-BC58-E700C27DB5EA} - \Microsoft\Windows\Media Center\RegisterSearch -> Brak pliku 
Task: {475E0A49-71E2-4C83-B8D3-DAC8ED30E79E} - \Microsoft\Windows\Media Center\InstallPlayReady -> Brak pliku 
Task: {478CC213-402C-4F66-B8C3-DEA3105E0BAF} - \Microsoft\Windows\Media Center\PBDADiscoveryW2 -> Brak pliku 
Task: {5149EDB9-EC09-488F-8F75-4372BAA9EC1E} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> Brak pliku 
Task: {5AD52747-84FF-43D1-A67A-717F19E378E7} - \Microsoft\Windows\Media Center\ActivateWindowsSearch -> Brak pliku 
Task: {65FC7088-6D38-436A-8DC9-21B33A18DDA8} - \Microsoft\Windows\Media Center\PvrRecoveryTask -> Brak pliku 
Task: {68D333FA-5809-4857-98CD-1DCEAC974A0B} - \Microsoft\Windows\Media Center\OCURDiscovery -> Brak pliku 
Task: {958537A2-C418-4719-A22B-27CE2E5B8BA4} - \Microsoft\Windows\Media Center\ehDRMInit -> Brak pliku 
Task: {B3D79C6E-7C69-46BC-BBD1-2AB8AE1C127B} - \Microsoft\Windows\Media Center\RecordingRestart -> Brak pliku 
Task: {CBFD96B7-13EA-4093-A432-60614D352D1D} - \Microsoft\Windows\Media Center\PBDADiscovery -> Brak pliku 
Task: {CC333C6D-2E01-4286-A5E0-7E44E4752588} - \Microsoft\Windows\Media Center\DispatchRecoveryTasks -> Brak pliku 
Task: {CCF69E08-EB3D-4F38-94ED-2957C5B51ADE} - \Microsoft\Windows\Media Center\ReindexSearchRoot -> Brak pliku 
Task: {DAA5F001-C040-4061-8FC1-289F8AC8E86E} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> Brak pliku 
Task: {E909D3B5-8E2A-4EC0-94E3-90890C904D7E} - \Microsoft\Windows\Media Center\mcupdate -> Brak pliku 
Task: {F178738A-A064-47C6-A983-960398FEB13C} - \Microsoft\Windows\Media Center\UpdateRecordPath -> Brak pliku 
ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Piotrek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Piotrek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
Hosts:
EmptyTemp:

 

2. Przeskanuj całościowo system za pomocą programu Malwarebytes AntiMalware (masz go już zainstalowanego na dysku). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza
Miszel03

Miszel03

Opublikowano
Opublikowano

Wszystkie wyniki z Malwarebytes do kasacji, choć ten poniższy element jest związany z lewym aktywatorem do pakietu Microsoft Word, a został oznaczony jako potworna infekcja szyfrująca dane Ransomware.Cerber - KLIK.

 

Ransom.Cerber, C:\PROGRAM FILES (X86)\KMSPICO 10.0.6\01CBCAA0C4A1AB8923145543E2ED625E.EXE, Brak akcji, [10], [357273],1.0.948

 

Zapomniałem wcześniej się zapytać: czy są pliki z rozszerzeniem .cerber? Jeśli tak to nie jest ciekawie. 

 

 

CHR StartupUrls: Default -> "hxxp://www.oursurfing.com/?type=hp&ts=1436210060&z=c8760eec810d9d1f9cb3977g0z3c0qfo7g6efeaq2g&from=2sq1&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL","hxxp://www.mystartsearch.com/?type=hp&ts=1436210090&z=a9cec4e634c170ba8a1e71eg3z6cdqao7g5e3e2b4b&from=slbnew&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL"

 

To nadal siedzi, więc prawdopodobnie zostały zmodyfikowane preferencje Google Chrome. Szybciej będzie to przeinstalować niż czyścić ręcznie.

  • Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
  • Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
  • Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
  • Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK

 

Poniższy element to nowoczesne adware modyfikujące usługę Themes, ale to tylko szczątka. Czy działa Ci kompozycja Aero?

 

Adware.Elex.SHHKRST, HKLM\SOFTWARE\CLASSES\CLSID\{5F51FFFE-7463-4220-B711-E5B9ACB8EDFE}, Brak akcji, [2215], [357968],1.0.948

Odnośnik do komentarza
Petraka

Petraka

Opublikowano
  • Autor
Opublikowano

Aero działa, aczkolwiek nie korzystam, z faktu, iż mój lapek jest troszkę leciwy. Plików .cerber żadnych nie zauważyłem, zaznaczam również, że laptop został zainfekowany świeżutko po formacie. Zastosowałem się do instrukcji ws. Chrome, tudzież po pierwszym usuwaniu przez FRST nie zauważyłem żadnych otwierających się przeglądarek i innych syfów. 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...