Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Złośliwy trojan z wiadomości email z szantażem i wyłudzaniem pieniędzy

Evilhey 18 Sty 2016 16:42 1206 4
  • #1 18 Sty 2016 16:42
    Evilhey
    Poziom 3  

    Witam, dostałem dzisiaj podejrzanego maila niby od firmy kurierskiej. Z racji, że często robię zakupy w internecie bez zastanowienia kliknąłem w plik z niby "fakturą" dodany do wiadomości. Okazał się to plik nie .pdf a .exe niestety włączyłem go. Po tym komputer został automatycznie uruchomiony ponownie. Stron internetowych praktycznie nie da się przeglądać bo cały czas wyskakują jakieś złośliwe okna do tego non stop wyświetla mi się odliczanie i groźba z nakazem zapłaty. Poniżej wstawię screena tego co się dzieje.
    Dołączam także pliki Addition i frst.
    Bardzo proszę o pomoc co z tym ustrojstwem począć.

    0 4
  • #2 18 Sty 2016 16:48
    Kucharsky
    Poziom 9  

    Wyłącz PCta i odpalaj w awaryjnym z obsługą sieci. Sprawdź ile danych Ci zaszyfrowało, to tak na start.

    Jeśli miałeś jakieś naprawdę ważne dane na komputerze i zostały zaszyfrowane a ty chcesz je odzyskać, to masz marne szanse.

    0
  • Pomocny post
    #3 18 Sty 2016 16:55
    Kolobos
    Spec od komputerów

    Tak sie konczy bezmyslne klikanie, dhl_factura_8400908.pdf.exe przeciez widac, ze to nie pdf.

    Fixlist.txt dla FRST:
    Task: {14CE0DE8-D6D2-4E05-A829-ED7ED9EAA7C5} - System32\Tasks\{DFBD015F-E7F4-4FE1-BCD3-76A062517006} => pcalua.exe -a C:\Users\Adamu\Desktop\Setup.exe -d C:\Users\Adamu\Desktop
    Task: {1DF3E23D-A855-4259-A479-546584E7DCBD} - System32\Tasks\{3867A2F8-F981-4B93-A522-9F3443305C3E} => C:\Program Files (x86)\LEGO Media\Games\LEGO Racers\LEGORacers.exe [1998-12-07] ()
    Task: {4112DD55-991B-4852-A588-55268B585F1E} - System32\Tasks\kssbpnd => C:\Users\Adamu\AppData\Local\Temp\Rar$EXa0.151\dhl_factura_8400908.pdf.exe [2016-01-17] (Small iSoft ) <==== UWAGA
    Task: {84ADC20A-D4C7-4290-BB08-06367E4F740A} - System32\Tasks\{EFBE4702-A8D3-4185-8836-48AF51802904} => F:\Program Files\Mortal Kombat X\Binaries\Retail\MK10.exe
    Task: {964AE080-47E4-495E-9B84-FCBD19B9A083} - System32\Tasks\{2A1C62AC-20FC-4396-A077-2411ED4BBB04} => C:\Users\Adamu\Desktop\Diablo 2\Diablo II\Diablo II.exe
    Task: {CC7440B3-9B16-4399-9120-B42F2A283BCA} - System32\Tasks\{DEDED6D7-5B6F-46D7-85E2-2CCBB421BC49} => F:\Program Files\Fallout3.exe [2008-09-18] (Bethesda Softworks)
    Task: {CCCEAED8-D421-4D31-B81E-DE8A55BA2D7C} - System32\Tasks\{1B33C496-CDAE-445B-A506-A403E2775144} => C:\Program Files (x86)\Rock of Ages\Binaries\Win32\RoA.exe [2011-09-07] (Epic Games, Inc.)
    Task: {FE5633C1-2BAA-4DE4-9823-BD6D4588DBAC} - System32\Tasks\{B9999E36-1D85-4476-8F2D-451DEF16893F} => C:\Program Files (x86)\LEGO Media\Games\LEGO Racers\LEGORacers.exe [1998-12-07] ()
    (Small iSoft ) C:\Users\Adamu\AppData\Local\Temp\Rar$EXa0.151\dhl_factura_8400908.pdf.exe
    HKU\S-1-5-21-960565503-3299042733-3261600059-1000\...\MountPoints2: {6bd0069a-8df4-11e5-8628-4c8093365fb9} - H:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-960565503-3299042733-3261600059-1000\...\MountPoints2: {6bd006ba-8df4-11e5-8628-4c8093365fb9} - H:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-960565503-3299042733-3261600059-1000\...\MountPoints2: {7a5d8f27-acb4-11e4-b388-4c8093365fb9} - G:\setup.exe
    HKU\S-1-5-21-960565503-3299042733-3261600059-1000\...\MountPoints2: {8d3c06ec-a423-11e5-bfca-4c8093365fb9} - H:\AutoRun.exe
    HKU\S-1-5-21-960565503-3299042733-3261600059-1000\...\MountPoints2: {8d3c06fd-a423-11e5-bfca-4c8093365fb9} - H:\AutoRun.exe
    HKU\S-1-5-21-960565503-3299042733-3261600059-1000\...\MountPoints2: {8d3c0709-a423-11e5-bfca-4c8093365fb9} - H:\AutoRun.exe
    HKU\S-1-5-21-960565503-3299042733-3261600059-1000\...\MountPoints2: {8d3c0725-a423-11e5-bfca-4c8093365fb9} - H:\AutoRun.exe
    2016-01-18 13:42 - 2016-01-18 13:42 - 00001266 _____ C:\Users\Adamu\Documents\!Decrypt-All-Files-oakypmb.txt
    2016-01-18 13:17 - 2016-01-18 13:24 - 00000000 ____D C:\AdwCleaner
    2016-01-18 13:11 - 2016-01-18 13:42 - 00916786 _____ C:\ProgramData\sdffdba.html
    2016-01-18 13:03 - 2016-01-18 13:03 - 00003064 _____ C:\Windows\System32\Tasks\kssbpnd
    EmptyTemp:


    Zaszyfrowanych plikow raczej nie odzyskasz.

    1
  • Pomocny post
    #4 18 Sty 2016 17:01
    rastafara
    Poziom 17  

    Nie chce Cię smucić, jeśli zaszyfrowało Ci wszystkie dokumenty i zdjęcia to małe prawdopodobieństwo aby udało Ci się je odszyfrować. Kilka miesięcy temu walczyłem z tym w pewnej firmie (straty były dość duże). Nie udało mi się, możliwe, że "technika" poszła do przodu i ktoś podsunie Ci pomysł jak odzyskać dane. Pewnego czasu tyle trąbili w TV aby uważać na tego wirusa.

    0
  • #5 18 Sty 2016 17:33
    Evilhey
    Poziom 3  

    Jak sprawdzić ile danych zostało zaszyfrowane? Jak na razie zauważyłem że wszystkie zdjęcia, obrazki i dokumenty na uczelnię są zaszyfrowane. Nie wiem jak reszta plików.
    Fixlist już wykonane, na razie wszystko się wydaje w porządku poza zaszyfrowanymi plikami. Czy powinienem jeszcze coś zrobić, czegoś się obawiać?
    W sumie tych plików trochę szkoda ale nie były to rzeczy bez których nie mogę żyć.
    Czy moje hasła zapisane w przeglądarce oraz dane bankowe mogły zostać przejęte?
    Wybaczcie ale jestem kompletnie zielony w tej materii...

    0