Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus CryptoLocker podszywają się pod Pocztę Polską

bolekf2 21 Lip 2015 22:51 1242 8
  • #2 21 Lip 2015 23:43
    Kolobos
    Spec od komputerów

    Daj logi z FRST w zalaczniku.

    0
  • Pomocny post
    #4 22 Lip 2015 08:38
    Domino_2
    Pomocny dla użytkowników

    Przeskanuj komputer programem MBAM i usuń wszystko co znalazł. Jeśli znajdziesz zaszyfrowane pliki to już raczej marne szanse na ich odzyskanie.

    1
  • Pomocny post
    #5 22 Lip 2015 09:26
    Kolobos
    Spec od komputerów

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    StandardProfile\GloballyOpenPorts: [3909:TCP] => Enabled:cxsajz
    ( ) C:\Documents and Settings\domdom\Menu Start\Programy\Autostart\system.pif
    HKU\S-1-5-21-776561741-2049760794-1177238915-1003\...\RunOnce: [shoot_through_current] => C:\Program Files\Adobe\Reader 11.0\Esl\capacitive_voltage\click_pop_reduction.exe [168960 2015-05-29] (MATCODE Software)
    Startup: C:\Documents and Settings\domdom\Menu Start\Programy\Autostart\system.pif [2015-07-21] ( )
    S2 radio_frequency_interface; C:\WINDOWS\assembly\GAC_MSIL\Microsoft.VisualBasic.Vsa\8.0.0.0__b03f5f7f11d50a3a\civil_engineering\scart.exe [206336 2015-04-17] (Lucersoft) [File not signed]
    EmptyTemp:

    W FRST wybierz Fix.

    1
  • #7 22 Lip 2015 22:36
    Kolobos
    Spec od komputerów

    Nadal widac jakas infekcje, wykonaj nowy fixlist.txt:
    HKLM\...\Run: [optical_network_terminator] => C:\Program Files\Ashampoo\Ashampoo Burning Studio 2013\themes\autoruneditor\mosfet\econoreset.exe [252320 2015-06-30] ()
    HKU\S-1-5-21-776561741-2049760794-1177238915-1003\...\RunOnce: [shoot_through_current] => C:\Program Files\Adobe\Reader 11.0\Esl\capacitive_voltage\framers.exe

    Po wykonaniu daj fixlog.txt oraz nowy log ze skanowania z FRST.

    Zrob tez pelny skan przy pomocy mbam.

    0
  • #9 22 Lip 2015 23:43
    Kolobos
    Spec od komputerów

    System nadal jest zainfekowany, zrob skan przy pomocy cureit i usun to co wykryje.

    Nowy Fixlist.txt:
    HKU\S-1-5-21-776561741-2049760794-1177238915-1003\...\RunOnce: [shoot_through_current] => C:\Program Files\Adobe\Reader 11.0\Esl\capacitive_voltage\framers.exe
    S2 electron_volt; C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Build.Utilities.resources\2.0.0.0_pl_b03f5f7f11d50a3a\civil_engineering\ampacity.exe [219357 2014-12-04] (Lucersoft) [File not signed]
    2015-07-21 22:16 - 2015-07-21 22:16 - 00551191 _____ C:\WINDOWS\yehjfog.wtg
    2015-07-21 22:16 - 2015-07-21 22:16 - 00000420 _____ C:\Documents and Settings\domdom\out.bin
    2015-07-21 22:15 - 2015-07-21 22:15 - 00236814 _____ C:\WINDOWS\oqr.bbv
    2015-07-21 22:15 - 2015-07-21 22:15 - 00008422 _____ C:\WINDOWS\fly.edl
    2015-07-21 22:15 - 2015-07-21 22:15 - 00000995 _____ C:\WINDOWS\xzrxrw.qzx
    2015-07-21 22:14 - 2015-07-22 23:13 - 00001405 _____ C:\WINDOWS\kqyfgv.ewd
    2015-07-21 22:14 - 2015-07-22 23:13 - 00001184 _____ C:\WINDOWS\vdjfteo.sxo
    C:\WINDOWS\assembly\GAC_MSIL\Microsoft.Build.Utilities.resources\2.0.0.0_pl_b03f5f7f11d50a3a\civil_engineering\
    C:\Program Files\Adobe\Reader 11.0\Esl\capacitive_voltage\

    0