Skocz do zawartości

komputer zainfekowany wirus spora


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Niestety, system jest zainfekowany przez złośliwe oprogramowanie z gatunku Ransomware. Na tą chwilę jestem w stanie powiedzieć, że to mogą być dwa warianty wirusa - Tesla 3 lub nowy (wykryty w styczniu) Spora.

Jeśli to wariant Spora to deszyfracja plików jest awykonalna, nie opracowano dotychczas skutecznego dekodera :( Dane polecam skopiować na jakiś dysk i poczekać - może kiedyś będzie dekoder. Uprzedzam: szanse są znikome, praktycznie żadne.

 

Wykonaj diagnostykę uploudując jakikolwiek zaszyfrowany plik do analizy do usługi ID Ranosmware. Podaj wynik tej analizy. 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.99\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.25.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.79\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.23.9\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.30.3\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.31.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.29.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.24.15\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.115\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.29.1\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.28.15\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.24.7\psuser.dll => Brak pliku
HKLM\...\Policies\Explorer: [NoDriveTypeAutoRun_KL_notset] 1
HKU\S-1-5-21-1722780723-3043351753-1960536026-1000\...\Run: [{C0A1C94A-A5AC-41D6-8978-3D61105F262D}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\TWTFGRB').LSEPNTY)));
Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\POA98-85OZH-KTKXH-TZTRX-TXZXT-XZKYY.html [2017-03-06] ()
Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs [2016-08-12] ()
C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\POA98-85OZH-KTKXH-TZTRX-TXZXT-XZKYY.html
C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs
SearchScopes: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.google.pl/cse?q={searchTerms}&cx=partner-pub-2489206448026482%3A4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}
S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X]
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Usuń notatki z instrukcją dot. deszyfracji plików, w tym celu zastosuj RansomNoteCleaner. Dostarcz raport z tego działania.

 

3. Całościowo przeskanuj system przez Malwarebytes AntiMalware. Skasuj wszystkie wykryte przez niego infekcję z wyjątkiem zaszyfrowanych plików. Dostarcz raport z przeprowadzenia tego zadania.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...