Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Cryptowall - MBAM nie daje rady

Malignvs 05 Gru 2015 17:56 870 6
  • #1 05 Gru 2015 17:56
    Malignvs
    Poziom 4  

    Złapałem cryptowalla, albo coś w tym stylu. Zaszyfrował mi sporo plików na dysku i poumieszczał .png z instrukcjami jak je odzyskać za opłatą.

    Przy uruchamianiu komputera pojawia mi się dwa pop-up'y, oba o podobnej treści:

    Cryptowall - MBAM nie daje rady

    Skan MBAM wykrywa dwa pliki zawierające trojan.miuref.thd. Usuwam, restartuję. I znowu to samo.

    W załączeniu logi z FRST i AdwCleaner.

    Proszę o pomoc :(

    0 6
  • Pomocny post
    #2 05 Gru 2015 18:06
    Kolobos
    Spec od komputerów

    Odinstaluj SpyBot.

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    Task: {55B4E385-63CE-407D-80D5-C9FD8F05617F} - System32\Tasks\Ynguscrx => Rundll32.exe "C:\Windows\SysWOW64\mssip320.dll",SRJNGMT
    Task: {64230CAC-5D51-4044-9E44-67E3E0F9B3AB} - System32\Tasks\GetNetworkInfo => C:\Users\Anonim\AppData\Local\Temp\setdebug.exe [2015-03-13] () <==== UWAGA
    Task: {AC245C51-A455-461B-8F3D-4B5DEFF32B7E} - System32\Tasks\b5NohOUbI3pp => C:\Users\Anonim\AppData\Roaming\b5NohOUbI3pp.exe <==== UWAGA
    Task: {ADF5D344-4180-493E-90D7-E195CE0ACD8F} - System32\Tasks\BYAIAMUF => C:\Users\Anonim\AppData\Roaming\BYAIAMUF.exe <==== UWAGA
    Task: {D549258C-1BE4-4A52-B3C6-9C5598CF9ED3} - \SmartWeb Upgrade Trigger Task -> Brak pliku <==== UWAGA
    Task: C:\Windows\Tasks\b5NohOUbI3pp.job => C:\Users\Anonim\AppData\Roaming\b5NohOUbI3pp.exe <==== UWAGA
    Task: C:\Windows\Tasks\BYAIAMUF.job => C:\Users\Anonim\AppData\Roaming\BYAIAMUF.exe <==== UWAGA
    Task: C:\Windows\Tasks\Ynguscrx.job => C:\Windows\system32\rundll32.exe C:\Windows\SysWOW64\mssip320.dll
    (hxxp://www.hiren.info) C:\Users\Anonim\AppData\Local\Oxics\pcds32.exe
    Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
    HKU\S-1-5-21-56831678-1162386871-2226646147-1000\...\Run: [Oxics] => C:\Users\Anonim\AppData\Local\Oxics\pcds32.exe [118784 2015-12-05] (hxxp://www.hiren.info)
    HKU\S-1-5-21-56831678-1162386871-2226646147-1000\...\Run: [APworks] => regsvr32.exe C:\Users\Anonim\AppData\Local\APworks\zmhdirdl.dll <===== UWAGA
    HKU\S-1-5-21-56831678-1162386871-2226646147-1000\...\Run: [Ufmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Anonim\AppData\Local\Oxics\fpwzitjk.dll
    HKU\S-1-5-21-56831678-1162386871-2226646147-1000\...\Run: [8797ead] => C:\Users\Anonim\AppData\Roaming\8797ead\d03ccc.exe [273920 2015-12-05] (Ashampoo)
    HKU\S-1-5-21-56831678-1162386871-2226646147-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [Oxics] => C:\Users\Anonim\AppData\Local\Oxics\pcds32.exe [118784 2015-12-05] (hxxp://www.hiren.info)
    HKU\S-1-5-21-56831678-1162386871-2226646147-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [APworks] => regsvr32.exe C:\Users\Anonim\AppData\Local\APworks\zmhdirdl.dll <===== UWAGA
    HKU\S-1-5-21-56831678-1162386871-2226646147-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [Ufmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Anonim\AppData\Local\Oxics\fpwzitjk.dll
    HKU\S-1-5-21-56831678-1162386871-2226646147-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\Run: [8797ead] => C:\Users\Anonim\AppData\Roaming\8797ead\d03ccc.exe [273920 2015-12-05] (Ashampoo)
    BootExecute: autocheck autochk * sdnclean64.exe
    CHR StartupUrls: Default -> "hxxp://www.gazeta.pl/0,0.html?p=150","hxxp://www.google.com/","hxxp://www.omniboxes.com/?type=hp&ts=1430761237&from=amt&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG181362Z","hxxp://www.istartsurf.com/?type=hp&ts=1430761432&from=obw&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG181362Z","hxxp://www.oursurfing.com/?type=hp&ts=1431444237&z=6e42a9e692acd2801b35293g2zbc0g1z9z7z7o3c0t&from=amt&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG181362Z","hxxp://www.oursurfing.com/?type=hppp&ts=1431444265&z=5899f9d39881fb882a525efg7z9cbgfzazez8o4qbm&from=amt&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG181362Z","hxxp://www.istartsurf.com/?type=hp&ts=1431455130&z=ff3e701ffa9c99b48c1d8ecgcz8cbgez8w5w1g1cbo&from=brd&uid=SamsungXSSDX850XEVOX120GB_S21UNSAG181362Z"




    CHR NewTab: Default -> "chrome-extension://llaficoajjainaijghjlofdfmbjpebpa/newtab.html"
    S2 benuryke; Brak ImagePath
    S2 bexoruqe; Brak ImagePath
    S2 lydeteku; Brak ImagePath
    S2 meresotu; Brak ImagePath
    R3 ALSysIO; \??\C:\Users\Anonim\AppData\Local\Temp\ALSysIO64.sys [X]
    S3 gdrv; \??\C:\Windows\gdrv.sys [X]
    2015-12-05 09:58 - 2015-12-05 09:58 - 00064319 _____ C:\Users\Anonim\AppData\Roaming\b25134
    2015-12-05 09:58 - 2015-12-05 09:58 - 00008524 _____ C:\j8hsxccl.4e
    2015-12-05 09:57 - 2015-12-05 09:57 - 00000000 ____D C:\Users\Anonim\AppData\Roaming\8797ead
    2015-12-05 09:47 - 2015-12-05 17:34 - 00000000 ____D C:\Users\Anonim\AppData\Local\Oxics
    2015-12-05 09:47 - 2015-12-05 16:56 - 00000000 ____D C:\Users\Anonim\AppData\Local\APworks
    2015-11-21 09:47 - 2015-12-05 17:33 - 00000310 _____ C:\Windows\Tasks\Ynguscrx.job
    2015-11-21 09:47 - 2015-12-05 16:56 - 00000000 ____D C:\Users\Anonim\AppData\Roaming\ProxyGate
    2015-11-21 09:47 - 2015-11-21 09:47 - 00520192 __RSH C:\Windows\SysWOW64\mssip320.dll
    2015-11-21 09:47 - 2015-11-21 09:47 - 00002590 _____ C:\Windows\System32\Tasks\Ynguscrx
    2015-12-05 17:33 - 2015-05-12 16:25 - 00001690 _____ C:\Windows\Tasks\BYAIAMUF.job
    2015-12-05 17:33 - 2015-05-04 18:33 - 00001000 _____ C:\Windows\Tasks\b5NohOUbI3pp.job
    2015-12-05 17:27 - 2015-10-28 18:01 - 00000000 ____D C:\AdwCleaner
    2015-12-05 09:58 - 2015-12-05 09:58 - 0064319 _____ () C:\Users\Anonim\AppData\Roaming\b25134
    2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Anonim\AppData\Roaming\b5NohOUbI3pp
    2015-03-09 22:30 - 2015-03-09 22:30 - 0005487 _____ () C:\Users\Anonim\AppData\Roaming\BYAIAMUF
    EmptyTemp:

    W FRST wybierz Napraw.

    Pliki sprobuj odszyfrowac przy pomocy:
    https://support.kaspersky.com/pl/viruses/disinfection/10556#block1
    Sprawdz czy w tym pliku nie ma hasel:
    2015-12-05 09:58 - 2015-12-05 09:58 - 00008524 _____ C:\j8hsxccl.4e
    ewentualnie w ktoryms z katalogow widocznych w tym co podalem do kasacji.

    0
  • #3 05 Gru 2015 18:26
    Malignvs
    Poziom 4  

    Dziękuję. Fix zadziałał. Niestety z rozpędu najpierw go uruchomiłem, a dopiero potem doczytałem, żeby podejrzeć pliki czy nie ma w nich haseł. Mea culpa.

    Tak czy tak, decryptor Kaspersky'ego nie widzi moich zaszyfrowanych plików. One wszystkie mają przypadkowe nazwy i rozszerzenia w stylu "0dr2ne7759.cy2". Czy coś jeszcze da się z tym zrobić?

    0
  • #4 05 Gru 2015 18:28
    Kolobos
    Spec od komputerów

    W tym programie sam wybierasz plik, wiec program nie musi "widziec".

    Pliki usuniete przez FRST masz w C:\FRST.

    0
  • #5 05 Gru 2015 18:40
    Malignvs
    Poziom 4  

    Właśnie nie pokazuje mi żadnego pliku, który mógłbym wybrać:

    Cryptowall - MBAM nie daje rady

    W tym katalogu mam całą kolekcję zaszyfrowanych plików o dziwych nazwach i rozszerzeniach. Wklejenie nazwy pliku też nic nie daje. :|

    0
  • #6 05 Gru 2015 18:44
    Kolobos
    Spec od komputerów

    W polu nazwa pliku sprobuj wpisac * i nacisnac enter, nastepnie wybrac plik.

    0
  • #7 05 Gru 2015 18:56
    Malignvs
    Poziom 4  

    Wpisanie * faktycznie odkrywa listę plików. Niestety po wybraniu któregoś, program kończy skanowanie od razu i wyświetla:

    Cryptowall - MBAM nie daje rady

    0