Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

CryptoWall - Na jednym z ważniejszych komputerów w firmie.

Killlu 03 Gru 2015 13:01 708 6
  • #1 03 Gru 2015 13:01
    Killlu
    Poziom 24  

    Witam. No niestety ktoś pobrał plik i zainfekował komputer firmowy. Poleciały wszystkie pliki na dysku oraz niektóre pliki z dysku sieciowego. Komputer skanuje na bieżąco przeróżnymi skanerami antywirusowymi, lecz coś czuję, że szanse na odzyskanie plików będą marne. Wrzucam logi FRST.
    Proszę o pomoc.

    0 6
  • #3 03 Gru 2015 18:42
    Killlu
    Poziom 24  

    Tak, lecz niestety nic nie mogę przywrócić.

    0
  • Pomocny post
    #4 03 Gru 2015 20:01
    Kolobos
    Spec od komputerów

    Odinstaluj Opere.

    Infekcje sie usuwa, a nie wylacza w msconfig:
    MSCONFIG\startupreg: 5A98C9 => C:\Users\Basia\AppData\Roaming\5A98C9\971351.exe
    MSCONFIG\startupreg: Authtmon => C:\Users\Basia\AppData\Roaming\apdssnap\d3drutil.exe
    MSCONFIG\startupreg: svchost => C:\Users\Basia\AppData\Roaming\JVmVl7d.exe

    Wlacz te wpisy.

    Nie sciagaj programow z dobrychprogramow, a jak juz musisz to TYLKO z bezposrednich linkow, a nie przy pomocy menadzera pobierania, ktory instaluje szkodliwe dodatki.

    Fixlist.txt dla FRST:
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-3546858136-2877977916-971650688-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [Authtmon] => C:\Users\Basia\AppData\Roaming\apdssnap\d3drutil.exe [520192 2015-12-02] ()
    FF DefaultSearchEngine: webssearches
    FF SelectedSearchEngine: webssearches
    2015-12-03 12:36 - 2015-12-03 12:39 - 00000000 ____D C:\AdwCleaner
    2015-12-03 11:57 - 2015-12-03 11:57 - 00003266 _____ C:\Windows\System32\Tasks\Opera N Sunday
    2015-12-03 11:57 - 2015-12-03 11:57 - 00000000 ____D C:\Users\Basia\AppData\Roaming\Shortcut
    2015-12-03 11:56 - 2015-12-03 11:56 - 00003874 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1449140194
    2015-12-03 11:56 - 2015-12-03 11:56 - 00003266 _____ C:\Windows\System32\Tasks\Opera N Saturday
    2015-12-03 11:56 - 2015-12-03 11:56 - 00001135 _____ C:\Users\Public\Desktop\Opera.lnk
    2015-12-03 11:56 - 2015-12-03 11:56 - 00001135 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
    2015-12-03 11:55 - 2015-12-03 11:55 - 00962128 _____ (Installer Soft Program ) C:\Users\Basia\Downloads\Adobe-Reader-XI-21590-dp.exe
    2015-12-01 13:26 - 2015-12-01 13:26 - 00000000 ____D C:\Users\Basia\AppData\Roaming\apdssnap
    2015-12-01 09:54 - 2015-12-03 12:42 - 00000000 __SHD C:\Users\Basia\AppData\Roaming\5A98C9

    Po wykonaniu daj nowy log z FRST, ze skanowania.

    0
  • #5 03 Gru 2015 21:02
    Killlu
    Poziom 24  

    @Kolobos rano od razu wykonam skrypt. Problem w tym, że ja z tego komputera korzystam tylko wtedy, gdy coś się z nim dzieje. Pliki pobiera kto inny. Po przeprowadzeniu wywiadu środowiskowego dowiedziałem się, że przyszedł jakiś podejrzany mail, którego nie dało się otworzyć i ktoś coś tam rzekomo z tym kombinował, także raczej tu leży przyczyna. No nic, bardzo dziękuję za fixlista, rano dam znać. Pozdrawiam.

    0
  • Pomocny post
    #7 04 Gru 2015 10:11
    Kolobos
    Spec od komputerów

    Nowy Fixlist.txt dla FRST:


    Task: {0B342211-D68F-4803-9572-E7AAD3F808CD} - \Opera N Saturday -> Brak pliku <==== UWAGA)
    Task: {B611C888-3297-47F4-97E5-3824CE5A7274} - \Opera N Sunday -> Brak pliku <==== UWAGA
    HKLM-x32\...\Run: [5A98C9] => C:\Users\Basia\AppData\Roaming\5A98C9\971351.exe
    HKU\S-1-5-21-3546858136-2877977916-971650688-1000\...\Run: [svchost] => C:\Users\Basia\AppData\Roaming\JVmVl7d.exe [158134 2015-12-03] ()
    HKU\S-1-5-21-3546858136-2877977916-971650688-1000\...\Run: [Authtmon] => C:\Users\Basia\AppData\Roaming\apdssnap\d3drutil.exe
    C:\Users\Basia\AppData\Roaming\JVmVl7d.exe
    EmptyTemp:

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0