Petraka Opublikowano 6 Stycznia 2017 Zgłoś Udostępnij Opublikowano 6 Stycznia 2017 Witam, mój komputer został zainfekowany jakimś malware / ransomware, coś w ten deseń. Problem w tym, iż kompletnie zielony jestem w obsłudze programu FRST, którym podobno mogę pozbyć się kłopotu. Prosiłbym o jakąś pomoc w tym kierunku. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 7 Stycznia 2017 Zgłoś Udostępnij Opublikowano 7 Stycznia 2017 malware / ransomware Rasnomware to rodzaj infekcji szyfrującej dane, więc pewnie byś to zauważył. W systemie widoczne infekcje, od razu przechodzimy do działań: 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-4037366159-1690126974-2979737429-1001\...\Run: [udvmedia] => regsvr32.exe C:\Users\Piotrek\AppData\Local\Udvmedia\sgjdatcr.dll HKU\S-1-5-18\...\Run: [] => 0 HKLM\...\Providers\hsch11h1: C:\Program Files (x86)\Sizayarigily Reports\local64spl.dll [292352 2017-01-05] () C:\Program Files (x86)\Sizayarigily Reports ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku ShellExecuteHooks: Brak nazwy - {05637422-CCFF-11E6-8821-64006A5CFC23} - C:\Users\Piotrek\AppData\Roaming\Shhoward\Arinuch.dll -> Brak pliku CHR StartupUrls: Default -> "hxxp://www.oursurfing.com/?type=hp&ts=1436210060&z=c8760eec810d9d1f9cb3977g0z3c0qfo7g6efeaq2g&from=2sq1&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL","hxxp://www.mystartsearch.com/?type=hp&ts=1436210090&z=a9cec4e634c170ba8a1e71eg3z6cdqao7g5e3e2b4b&from=slbnew&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL" S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {0FE1ED1B-69E2-4468-B810-149DD172CEBF} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> Brak pliku Task: {126C4780-EBC7-49B1-893D-1742D5D38AB4} - \Microsoft\Windows\Media Center\OCURActivate -> Brak pliku Task: {250DAB8A-C4AB-4637-AF79-5E31F0742D58} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> Brak pliku Task: {29708982-A2F0-4510-AB6A-D38049B4160D} - \Microsoft\Windows\Media Center\PvrScheduleTask -> Brak pliku Task: {2EE10851-C5AF-4494-A363-BFF8352AB54D} - \Microsoft\Windows\Media Center\PBDADiscoveryW1 -> Brak pliku Task: {3727C66C-4574-4F83-A29E-04D7E6FF3DCA} - \Microsoft\Windows\Media Center\PeriodicScanRetry -> Brak pliku Task: {3B7627C6-96FD-4C34-BC58-E700C27DB5EA} - \Microsoft\Windows\Media Center\RegisterSearch -> Brak pliku Task: {475E0A49-71E2-4C83-B8D3-DAC8ED30E79E} - \Microsoft\Windows\Media Center\InstallPlayReady -> Brak pliku Task: {478CC213-402C-4F66-B8C3-DEA3105E0BAF} - \Microsoft\Windows\Media Center\PBDADiscoveryW2 -> Brak pliku Task: {5149EDB9-EC09-488F-8F75-4372BAA9EC1E} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> Brak pliku Task: {5AD52747-84FF-43D1-A67A-717F19E378E7} - \Microsoft\Windows\Media Center\ActivateWindowsSearch -> Brak pliku Task: {65FC7088-6D38-436A-8DC9-21B33A18DDA8} - \Microsoft\Windows\Media Center\PvrRecoveryTask -> Brak pliku Task: {68D333FA-5809-4857-98CD-1DCEAC974A0B} - \Microsoft\Windows\Media Center\OCURDiscovery -> Brak pliku Task: {958537A2-C418-4719-A22B-27CE2E5B8BA4} - \Microsoft\Windows\Media Center\ehDRMInit -> Brak pliku Task: {B3D79C6E-7C69-46BC-BBD1-2AB8AE1C127B} - \Microsoft\Windows\Media Center\RecordingRestart -> Brak pliku Task: {CBFD96B7-13EA-4093-A432-60614D352D1D} - \Microsoft\Windows\Media Center\PBDADiscovery -> Brak pliku Task: {CC333C6D-2E01-4286-A5E0-7E44E4752588} - \Microsoft\Windows\Media Center\DispatchRecoveryTasks -> Brak pliku Task: {CCF69E08-EB3D-4F38-94ED-2957C5B51ADE} - \Microsoft\Windows\Media Center\ReindexSearchRoot -> Brak pliku Task: {DAA5F001-C040-4061-8FC1-289F8AC8E86E} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> Brak pliku Task: {E909D3B5-8E2A-4EC0-94E3-90890C904D7E} - \Microsoft\Windows\Media Center\mcupdate -> Brak pliku Task: {F178738A-A064-47C6-A983-960398FEB13C} - \Microsoft\Windows\Media Center\UpdateRecordPath -> Brak pliku ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotrek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Piotrek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotrek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ Hosts: EmptyTemp: 2. Przeskanuj całościowo system za pomocą programu Malwarebytes AntiMalware (masz go już zainstalowanego na dysku). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Petraka Opublikowano 7 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2017 Dzięki wielkie, już teraz jest ogromna zmiana w pracy systemu. Dołączam pozostałe, wymagane logi oraz pozdrawiam. Addition.txt Shortcut.txt Fixlog.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 7 Stycznia 2017 Zgłoś Udostępnij Opublikowano 7 Stycznia 2017 A gdzie raport z Malwarebytes? Odnośnik do komentarza
Petraka Opublikowano 7 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2017 Ups, mój błąd, przepraszam najmocniej. malwarebytes.txt Odnośnik do komentarza
Miszel03 Opublikowano 8 Stycznia 2017 Zgłoś Udostępnij Opublikowano 8 Stycznia 2017 Wszystkie wyniki z Malwarebytes do kasacji, choć ten poniższy element jest związany z lewym aktywatorem do pakietu Microsoft Word, a został oznaczony jako potworna infekcja szyfrująca dane Ransomware.Cerber - KLIK. Ransom.Cerber, C:\PROGRAM FILES (X86)\KMSPICO 10.0.6\01CBCAA0C4A1AB8923145543E2ED625E.EXE, Brak akcji, [10], [357273],1.0.948 Zapomniałem wcześniej się zapytać: czy są pliki z rozszerzeniem .cerber? Jeśli tak to nie jest ciekawie. CHR StartupUrls: Default -> "hxxp://www.oursurfing.com/?type=hp&ts=1436210060&z=c8760eec810d9d1f9cb3977g0z3c0qfo7g6efeaq2g&from=2sq1&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL","hxxp://www.mystartsearch.com/?type=hp&ts=1436210090&z=a9cec4e634c170ba8a1e71eg3z6cdqao7g5e3e2b4b&from=slbnew&uid=ST9640423AS_5WS16EWLXXXX5WS16EWL" To nadal siedzi, więc prawdopodobnie zostały zmodyfikowane preferencje Google Chrome. Szybciej będzie to przeinstalować niż czyścić ręcznie. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK Poniższy element to nowoczesne adware modyfikujące usługę Themes, ale to tylko szczątka. Czy działa Ci kompozycja Aero? Adware.Elex.SHHKRST, HKLM\SOFTWARE\CLASSES\CLSID\{5F51FFFE-7463-4220-B711-E5B9ACB8EDFE}, Brak akcji, [2215], [357968],1.0.948 Odnośnik do komentarza
Petraka Opublikowano 8 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2017 Aero działa, aczkolwiek nie korzystam, z faktu, iż mój lapek jest troszkę leciwy. Plików .cerber żadnych nie zauważyłem, zaznaczam również, że laptop został zainfekowany świeżutko po formacie. Zastosowałem się do instrukcji ws. Chrome, tudzież po pierwszym usuwaniu przez FRST nie zauważyłem żadnych otwierających się przeglądarek i innych syfów. Odnośnik do komentarza
Miszel03 Opublikowano 8 Stycznia 2017 Zgłoś Udostępnij Opublikowano 8 Stycznia 2017 Jak oceniasz obecną sytuację? Czy problem ustąpił? Odnośnik do komentarza
Petraka Opublikowano 8 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2017 Owszem, tak jak Bozia nakazała Odnośnik do komentarza
Miszel03 Opublikowano 9 Stycznia 2017 Zgłoś Udostępnij Opublikowano 9 Stycznia 2017 W takim razie kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne |(są często aktualizowane, więc jednorazowe) oraz wyczyść punkty przywracania systemu (aby przypadkiem nie odtworzyć szkodnika z kopii) - KLIK / KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się