Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus CERBER! Jak się go pozbyć?!

MattJGN 02 Cze 2016 13:50 2520 5
  • #1 02 Cze 2016 13:50
    MattJGN
    Poziom 6  

    Witam! Jakieś 5 minut temu mój komputer wykrył wirusa CERBER + kilkanaście plików zaszyfrowanych przez to paskudztwo. Jak mogę w trybie błyskawicznym całkowicie pozbyć się wirusa? Kaspersky niestety nie jest w stanie nic zdziałać... jest jakiś program do pozbycia się tego? Boje się resetować komputer żeby mi go całkowicie nie zaszyfrował...

    0 5
  • #3 02 Cze 2016 14:30
    MattJGN
    Poziom 6  

    RADU23 napisał:
    Wykonaj skanowanie MBAM oraz ADWcleaner i usuń wszystko co wykryją
    https://www.malwarebytes.org/dl-confirm/
    http://www.bleepingcomputer.com/download/adwcleaner/
    Pobierz FRST zgodny z wersją twojego systemu, wykonaj skanowanie i zamieść logi FRST.txt i Addition.txt
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/


    Pousuwałem to, co wykrył MBAM, ADW nie wykrył nic po nim, załączam logi FRST. Co więcej Kaspersky coś tam próbuje usunąć i zarówno Kaspersky jak i MBAM każą mi restartować komputer. Boję się jednak, że po restarcie Cerber może mi zablokować dostęp...

    1
  • Pomocny post
    #4 02 Cze 2016 14:36
    Kolobos
    Spec od komputerów

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    HKU\S-1-5-21-1366957013-153107185-3090873925-1001\...\Run: [eudcedit] => "C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}\eudcedit.exe"
    HKU\S-1-5-21-1366957013-153107185-3090873925-1001\...\Run: [fontdrvhost] => "C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}\fontdrvhost.exe"
    HKU\S-1-5-21-1366957013-153107185-3090873925-1001\...\RunOnce: [eudcedit] => "C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}\eudcedit.exe"
    HKU\S-1-5-21-1366957013-153107185-3090873925-1001\...\RunOnce: [fontdrvhost] => "C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}\fontdrvhost.exe"
    HKU\S-1-5-21-1366957013-153107185-3090873925-1001\...\Policies\Explorer: [Run] "C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}\auditpol.exe"
    Startup: C:\Users\911\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\eudcedit.lnk [2016-06-02]
    ShortcutTarget: eudcedit.lnk -> C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}\eudcedit.exe (No File)
    Startup: C:\Users\911\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fontdrvhost.lnk [2016-06-02]
    ShortcutTarget: fontdrvhost.lnk -> C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}\fontdrvhost.exe (No File)
    CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
    CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
    2016-06-02 15:23 - 2016-06-02 15:25 - 00000000 ____D C:\AdwCleaner
    2016-06-02 14:37 - 2016-06-02 14:37 - 00012380 _____ C:\Users\911\# DECRYPT MY FILES #.html
    2016-06-02 14:37 - 2016-06-02 14:37 - 00010509 _____ C:\Users\911\# DECRYPT MY FILES #.txt
    2016-06-02 14:37 - 2016-06-02 14:37 - 00000216 _____ C:\Users\911\# DECRYPT MY FILES #.vbs
    2016-06-02 14:37 - 2016-06-02 14:37 - 00000085 _____ C:\Users\911\# DECRYPT MY FILES #.url
    2016-06-02 13:34 - 2016-06-02 13:34 - 00000451 _____ C:\Windows\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat
    2016-06-02 15:23 - 2015-10-30 09:18 - 00000000 __SHD C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}
    C:\Users\911\# DECRYPT MY FILES #.vbs
    EmptyTemp:

    W FRST wybierz Napraw.

    0
  • #5 02 Cze 2016 15:04
    MattJGN
    Poziom 6  

    Kolobos napisał:
    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    HKU\S-1-5-21-1366957013-153107185-3090873925-1001\...\Run: [eudcedit] => "C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}\eudcedit.exe"
    HKU\S-1-5-21-1366957013-153107185-3090873925-1001\...\Run: [fontdrvhost] => "C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}\fontdrvhost.exe"
    HKU\S-1-5-21-1366957013-153107185-3090873925-1001\...\RunOnce: [eudcedit] => "C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}\eudcedit.exe"
    HKU\S-1-5-21-1366957013-153107185-3090873925-1001\...\RunOnce: [fontdrvhost] => "C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}\fontdrvhost.exe"
    HKU\S-1-5-21-1366957013-153107185-3090873925-1001\...\Policies\Explorer: [Run] "C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}\auditpol.exe"
    Startup: C:\Users\911\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\eudcedit.lnk [2016-06-02]
    ShortcutTarget: eudcedit.lnk -> C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}\eudcedit.exe (No File)
    Startup: C:\Users\911\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fontdrvhost.lnk [2016-06-02]
    ShortcutTarget: fontdrvhost.lnk -> C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}\fontdrvhost.exe (No File)
    CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
    CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
    2016-06-02 15:23 - 2016-06-02 15:25 - 00000000 ____D C:\AdwCleaner
    2016-06-02 14:37 - 2016-06-02 14:37 - 00012380 _____ C:\Users\911\# DECRYPT MY FILES #.html
    2016-06-02 14:37 - 2016-06-02 14:37 - 00010509 _____ C:\Users\911\# DECRYPT MY FILES #.txt
    2016-06-02 14:37 - 2016-06-02 14:37 - 00000216 _____ C:\Users\911\# DECRYPT MY FILES #.vbs
    2016-06-02 14:37 - 2016-06-02 14:37 - 00000085 _____ C:\Users\911\# DECRYPT MY FILES #.url
    2016-06-02 13:34 - 2016-06-02 13:34 - 00000451 _____ C:\Windows\system32\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.bat
    2016-06-02 15:23 - 2015-10-30 09:18 - 00000000 __SHD C:\Users\911\AppData\Roaming\{446735F9-F1E4-AB96-82BE-F1B5556DCFB4}
    C:\Users\911\# DECRYPT MY FILES #.vbs
    EmptyTemp:

    W FRST wybierz Napraw.


    Zrobione, komputer zresetowany. Nie mniej nadal istnieje jeden problem:

    dodaję również logi

    0
  • Pomocny post
    #6 02 Cze 2016 15:47
    Kolobos
    Spec od komputerów

    Te wszystkie zaszyfrowane pliki musisz usunac recznie.

    0