Aduxa Opublikowano 23 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2021 Cześć, Prosiłbym o sprawdzenie czy w systemie nie ma żadnych infekcji lub jej podobnych rzeczy. Z niepokojących rzeczy zauważyłem, że pliki zdjęciowe i nagrania wideo w folderze 'KOPIA123' znajdującym się na pulpicie zostały zaszyfrowane (?), na końcu tych plików zostało dodane rozszerzenie .enc, co uniemożliwia ich otwarcie - jeżeli to nie jest infekcja, w jaki sposób mogę otworzyć te pliki? Około miesiąca temu mogłem normalnie z nich korzystać. Innych niepokojących rzeczy nie zauważyłem. Z góry dziękuje za pomoc i odpowiedź. Pozdrawiam FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Krzesimierz Opublikowano 24 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2021 Jest infekcja, wygląda na wirusa polimorficznego. Pobierz program adwcleaner. Uruchom windows w trybie awaryjnym. Odinstaluj SSOption Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler SSOption (HKLM-x32\...\Wonderful Mydepa) (Version: 3.3.6.5 - Wonderful Mydepa) <==== UWAGA R2 HeartelligenceCokave; C:\Program Files (x86)\HeartelligenceCokave\HeartelligenceCokave.exe [30246896 2018-05-04] (Apps Delivered Ltd -> Wonderful Mydepa) [Brak podpisu cyfrowego] [Plik w użyciu] (Apps Delivered Ltd -> Wonderful Mydepa) [Brak podpisu cyfrowego] [Plik w użyciu] C:\Program Files (x86)\HeartelligenceCokave\HeartelligenceCokave.exe HKU\S-1-5-21-2981095-1784054871-3565307091-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Fujitsu\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" HKU\S-1-5-21-2981095-1784054871-3565307091-1001\...\RunOnce: [Uninstall 21.139.0711.0001] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Fujitsu\AppData\Local\Microsoft\OneDrive\21.139.0711.0001" GroupPolicy: Ograniczenia ? <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA S2 HuaweiHiSuiteService64.exe; "C:\Program Files (x86)\HiSuite\HandSetService\HuaweiHiSuiteService64.exe" -/service [X] Task: {20C5E65F-F40F-4E33-BD15-A6C6B16033D6} - System32\Tasks\Driver Booster SkipUAC (Fujitsu) => C:\Program Files (x86)\IObit\Driver Booster\5.5.1\DriverBooster.exe Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono] Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono] Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono] Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono] CustomCLSID: HKU\S-1-5-21-2981095-1784054871-3565307091-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Fujitsu\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku FirewallRules: [TCP Query User{A936878F-9100-4FB5-880A-85959D2581F8}C:\riot games\league of legends\rads\projects\league_client\releases\0.0.0.192\deploy\leagueclient.exe] => (Allow) C:\riot games\league of legends\rads\projects\league_client\releases\0.0.0.192\deploy\leagueclient.exe => Brak pliku FirewallRules: [UDP Query User{E7C7E6BA-981D-4DF5-90C4-C1B260A3AE1E}C:\riot games\league of legends\rads\projects\league_client\releases\0.0.0.192\deploy\leagueclient.exe] => (Allow) C:\riot games\league of legends\rads\projects\league_client\releases\0.0.0.192\deploy\leagueclient.exe => Brak pliku FirewallRules: [{E11C5C04-CD40-446F-B703-34465D9BC8DB}] => (Allow) C:\Users\Fujitsu\AppData\Roaming\Zoom\bin\airhost.exe => Brak pliku FirewallRules: [TCP Query User{FD126C0F-D617-4F5B-BDB3-8D0A5E19FCBB}C:\program files\rstudio\bin\rsession.exe] => (Allow) C:\program files\rstudio\bin\rsession.exe => Brak pliku FirewallRules: [UDP Query User{75FDDEB6-FCDE-46E5-9CA0-748A950EFDA0}C:\program files\rstudio\bin\rsession.exe] => (Allow) C:\program files\rstudio\bin\rsession.exe => Brak pliku FirewallRules: [{DEAE2766-DEDB-4A61-9381-A4736FD4BF0E}] => (Allow) C:\Users\Fujitsu\AppData\Local\Programs\Opera\76.0.4017.154\opera.exe => Brak pliku FirewallRules: [TCP Query User{52B1C7F6-435F-43DE-B609-B822AA1A5DF3}C:\users\fujitsu\desktop\rstudios\rstudio\bin\rsession.exe] => (Allow) C:\users\fujitsu\desktop\rstudios\rstudio\bin\rsession.exe => Brak pliku FirewallRules: [UDP Query User{D3C6254F-A9D2-4BCB-8F6C-C55F99031AE6}C:\users\fujitsu\desktop\rstudios\rstudio\bin\rsession.exe] => (Allow) C:\users\fujitsu\desktop\rstudios\rstudio\bin\rsession.exe => Brak pliku FirewallRules: [TCP Query User{2A95049B-5CD7-47F8-993F-6A482B1F52B2}C:\users\fujitsu\desktop\r studio analiza\rstudio\bin\rsession.exe] => (Block) C:\users\fujitsu\desktop\r studio analiza\rstudio\bin\rsession.exe => Brak pliku FirewallRules: [UDP Query User{684F0916-7F5A-4375-915D-1BF2F1F74BD4}C:\users\fujitsu\desktop\r studio analiza\rstudio\bin\rsession.exe] => (Block) C:\users\fujitsu\desktop\r studio analiza\rstudio\bin\rsession.exe => Brak pliku Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R\R i386 4.1.0.lnk -> C:\Users\Fujitsu\Desktop\RSTUDIOS\R-4.1.0\bin\i386\Rgui.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R\R x64 4.1.0.lnk -> C:\Users\Fujitsu\Desktop\RSTUDIOS\R-4.1.0\bin\x64\Rgui.exe (Brak pliku) Shortcut: C:\Users\Fujitsu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\uTorrent Web.lnk -> C:\Users\Fujitsu\AppData\Roaming\uTorrent Web\utweb.exe (Brak pliku) Shortcut: C:\Users\Fujitsu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Discord Inc\Discord.lnk -> C:\Users\Fujitsu\AppData\Local\Discord\Update.exe (Brak pliku) RemoveDirectory: C:\Program Files (x86)\HeartelligenceCokave\ Zapisz zawartość notatnika. (Na klawiaturze naciśnij jednocześnie CTRL + S.) W FRST kliknij na Fix (NAPRAW). Uruchom wcześniej pobrany program adwcleaner, załącz skan i usuń pozostałości, które znajdzie. Uruchom ponownie system. Co do podejrzanych o zaszyfrowanie plików, to w folderze pewnie jest plik tekstowy, tzw "Plik z żądaniem okupu", jeśli zostały zaszyfrowane przez wirus. Użyj strony https://id-ransomware.malwarehunterteam.com/ aby zidentyfikować nazwę wirusa. Wtedy można szukać dekryptora. Napisz jakie są efekty i wklej świeże logi. Odnośnik do komentarza
Aduxa Opublikowano 25 Sierpnia 2021 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2021 Cześć, Wykonałem wszystkie kroki, w załączniku dołączam świeże logi. 22 godziny temu, Krzesimierz napisał: Napisz jakie są efekty Szczerze to na chwilę obecną nie widzę żadnej różnicy w działaniu systemu czy też internetu, wynikać to może z tego, że nawet nie wiedziałem że złapałem jakąś infekcję. Co do zaszyfrowanych plików, to błąd był po mojej stronie - są zabezpieczone aplikacją HiSuite od Huawei. Dziękuje bardzo za odpowiedź i czekam na dalsze wskazówki, jeśli coś jeszcze Pan zauważy. Pozdrawiam Shortcut.txt FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
Krzesimierz Opublikowano 25 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2021 Ok, usunęło wszystko co niebezpieczne. Logi wyglądają dobrze. Odnośnik do komentarza
Aduxa Opublikowano 25 Sierpnia 2021 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2021 Dziękuje bardzo za pomoc, jak zawsze jesteście niezastąpieni. Pozdrawiam ? Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się