qwer110 Opublikowano 7 Marca 2017 Zgłoś Udostępnij Opublikowano 7 Marca 2017 Witam. Proszę o pomoc w usunięciu wirusa SPORA. Dołączam logi.Pozdrawiam. Addition.txt FRST.txt Shortcut.txt gmer.txt Odnośnik do komentarza
Miszel03 Opublikowano 7 Marca 2017 Zgłoś Udostępnij Opublikowano 7 Marca 2017 Niestety, system jest zainfekowany przez złośliwe oprogramowanie z gatunku Ransomware. Na tą chwilę jestem w stanie powiedzieć, że to mogą być dwa warianty wirusa - Tesla 3 lub nowy (wykryty w styczniu) Spora. Jeśli to wariant Spora to deszyfracja plików jest awykonalna, nie opracowano dotychczas skutecznego dekodera Dane polecam skopiować na jakiś dysk i poczekać - może kiedyś będzie dekoder. Uprzedzam: szanse są znikome, praktycznie żadne. Wykonaj diagnostykę uploudując jakikolwiek zaszyfrowany plik do analizy do usługi ID Ranosmware. Podaj wynik tej analizy. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.99\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.25.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.79\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.23.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.30.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.31.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.29.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.24.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.115\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.29.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.28.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.24.7\psuser.dll => Brak pliku HKLM\...\Policies\Explorer: [NoDriveTypeAutoRun_KL_notset] 1 HKU\S-1-5-21-1722780723-3043351753-1960536026-1000\...\Run: [{C0A1C94A-A5AC-41D6-8978-3D61105F262D}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\TWTFGRB').LSEPNTY))); Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\POA98-85OZH-KTKXH-TZTRX-TXZXT-XZKYY.html [2017-03-06] () Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs [2016-08-12] () C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\POA98-85OZH-KTKXH-TZTRX-TXZXT-XZKYY.html C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs SearchScopes: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.google.pl/cse?q={searchTerms}&cx=partner-pub-2489206448026482%3A4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms} S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Usuń notatki z instrukcją dot. deszyfracji plików, w tym celu zastosuj RansomNoteCleaner. Dostarcz raport z tego działania. 3. Całościowo przeskanuj system przez Malwarebytes AntiMalware. Skasuj wszystkie wykryte przez niego infekcję z wyjątkiem zaszyfrowanych plików. Dostarcz raport z przeprowadzenia tego zadania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się