Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Cerber - Usuwanie/dekrypcja [LOGI FRST]

xSzwagier 11 Cze 2016 14:49 924 9
  • #2 11 Cze 2016 19:22
    Kolobos
    Spec od komputerów

    Plikow nie da sie odszyfrowac.

    Odinstaluj:
    YellowSend
    Tongbu uzywasz? Jezeli nie to tez odinstaluj.

    Skrypt zresetuje Hosts, jezeli sam dodales wpisy:
    127.0.0.1 t1.symcb.com
    127.0.0.1 t2.symcb.com
    127.0.0.1 th.symcd.com
    127.0.0.1 tl.symcb.com
    127.0.0.1 tl.symcd.com

    To po wykonaniu dodaj je ponownie.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {2246A228-F17C-484D-AFCA-0B50296B74A3} - System32\Tasks\{21D8B17A-E546-4F89-A17F-F8A67F682694} => C:\Program Files (x86)\Windows Loader\StubInstallerCleanUp.bat [2016-06-11] () <==== ATTENTION
    Task: {4A0D6BD5-AACB-4FDC-8458-C5BD184B4E80} - System32\Tasks\PPI Update => "hxxp://insightlk.com/download/index.php?mn=9995" <==== ATTENTION
    Task: {5845914D-C74E-43AF-8640-8CC7A6430D8A} - System32\Tasks\{BECCA8F1-2382-4FE6-9888-E43586A4D6AD} => C:\Program Files (x86)\CSGODouble Simulator\CSGODouble Simulator.exe
    Task: {B49C3B15-37D7-4F97-AC10-07029DC9B734} - System32\Tasks\{BCFDADFB-3F77-4FB5-AA7B-0792EB8EF655} => C:\Program Files (x86)\Windows Loader\StubInstallerCleanUp.bat [2016-06-11] () <==== ATTENTION
    Task: {C56B7F11-73D4-48F5-AFA0-0AEFCEAD10FE} - System32\Tasks\{4A1FB200-2C69-4935-BE78-47B29D791109} => Firefox.exe hxxp://www.skype.com/go/downloading?source=li...mp;amp;ver=7.23.0.105&amp;LastError=12002
    Hosts:
    (I Obit ) C:\Users\xLukizel\AppData\Roaming\{650E5658-CE95-8715-EFBF-AF74C02166E0}\autochk.exe
    HKLM-x32\...\Run: [apphide] => C:\Program Files (x86)\badu\qq.exe
    HKLM-x32\...\RunOnce: [{04fa3a35-1f49-4510-8051-819cdc1e6e01}] => C:\ProgramData\Package Cache\{04fa3a35-1f49-4510-8051-819cdc1e6e01}\vs_community.exe [2371680 2016-06-02] (Microsoft Corporation)
    HKU\S-1-5-21-3028858157-4135781969-3455889965-1001\...\Run: [YkPack] => C:\Users\xLukizel\AppData\Local\YkPack\7c1e6682f88edc2b4f707307ee4330e3.exe [131952 2016-06-06] ()
    HKU\S-1-5-21-3028858157-4135781969-3455889965-1001\...\Run: [Okics] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\xLukizel\AppData\Local\YkPack\nbjgyqrt.dll
    HKU\S-1-5-21-3028858157-4135781969-3455889965-1001\...\Run: [Obics] => regsvr32.exe C:\Users\xLukizel\AppData\Local\Obics\fdkkyqxr.dll <===== ATTENTION
    HKU\S-1-5-21-3028858157-4135781969-3455889965-1001\...\Run: [autochk] => C:\Users\xLukizel\AppData\Roaming\{650E5658-CE95-8715-EFBF-AF74C02166E0}\autochk.exe [405765 2010-11-21] (I Obit )
    HKU\S-1-5-21-3028858157-4135781969-3455889965-1001\...\RunOnce: [autochk] => C:\Users\xLukizel\AppData\Roaming\{650E5658-CE95-8715-EFBF-AF74C02166E0}\autochk.exe [405765 2010-11-21] (I Obit )
    HKU\S-1-5-21-3028858157-4135781969-3455889965-1001\...\Policies\Explorer: [Run] "C:\Users\xLukizel\AppData\Roaming\{650E5658-CE95-8715-EFBF-AF74C02166E0}\autochk.exe"




    HKU\S-1-5-21-3028858157-4135781969-3455889965-1001\...\MountPoints2: {ac16367f-2aec-11e6-8639-90e6ba501de0} - V:\autorun.exe
    HKU\S-1-5-21-3028858157-4135781969-3455889965-1001\...\MountPoints2: {d0595ace-0f5b-11e6-b69c-806e6f6e6963} - F:\autorun.exe
    HKU\S-1-5-21-3028858157-4135781969-3455889965-1001\...\Command Processor: C:\Users\xLukizel\AppData\Roaming\{650E5658-CE95-8715-EFBF-AF74C02166E0}\autochk.exe [405765 2010-11-21] (I Obit ) <===== ATTENTION
    HKU\S-1-5-21-3028858157-4135781969-3455889965-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\xLukizel\AppData\Roaming\{650E5658-CE95-8715-EFBF-AF74C02166E0}\autochk.exe [405765 2010-11-21] (I Obit )
    HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\SysWOW64\scrnsave.scr
    Startup: C:\Users\xLukizel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\autochk.lnk [2016-06-11]
    ShortcutTarget: autochk.lnk -> C:\Users\xLukizel\AppData\Roaming\{650E5658-CE95-8715-EFBF-AF74C02166E0}\autochk.exe (I Obit )
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    HKU\S-1-5-21-3028858157-4135781969-3455889965-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    HKU\S-1-5-21-3028858157-4135781969-3455889965-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://youareanidiot.org/
    2016-06-11 14:09 - 2016-06-11 14:09 - 00012381 _____ C:\Users\xLukizel\# DECRYPT MY FILES #.html
    2016-06-11 14:09 - 2016-06-11 14:09 - 00010510 _____ C:\Users\xLukizel\# DECRYPT MY FILES #.txt
    2016-06-11 14:09 - 2016-06-11 14:09 - 00000219 _____ C:\Users\xLukizel\# DECRYPT MY FILES #.vbs
    2016-06-11 14:09 - 2016-06-11 14:09 - 00000085 _____ C:\Users\xLukizel\# DECRYPT MY FILES #.url
    2016-06-11 14:06 - 2016-06-11 14:06 - 00012381 _____ C:\Users\xLukizel\Downloads\# DECRYPT MY FILES #.html
    2016-06-11 14:06 - 2016-06-11 14:06 - 00012381 _____ C:\Users\xLukizel\Documents\# DECRYPT MY FILES #.html
    2016-06-11 14:06 - 2016-06-11 14:06 - 00010510 _____ C:\Users\xLukizel\Downloads\# DECRYPT MY FILES #.txt
    2016-06-11 14:06 - 2016-06-11 14:06 - 00010510 _____ C:\Users\xLukizel\Documents\# DECRYPT MY FILES #.txt
    2016-06-11 14:06 - 2016-06-11 14:06 - 00000219 _____ C:\Users\xLukizel\Downloads\# DECRYPT MY FILES #.vbs
    2016-06-11 14:06 - 2016-06-11 14:06 - 00000219 _____ C:\Users\xLukizel\Documents\# DECRYPT MY FILES #.vbs
    2016-06-11 14:06 - 2016-06-11 14:06 - 00000085 _____ C:\Users\xLukizel\Downloads\# DECRYPT MY FILES #.url
    2016-06-11 14:06 - 2016-06-11 14:06 - 00000085 _____ C:\Users\xLukizel\Documents\# DECRYPT MY FILES #.url
    2016-06-11 14:04 - 2016-06-11 14:04 - 01096192 _____ C:\Users\xLukizel\Desktop\Steam MultiAccount Generator v3.0.exe
    2016-06-11 13:58 - 2016-06-11 14:05 - 00000000 ____D C:\AdwCleaner
    2016-06-11 13:54 - 2016-06-11 13:54 - 00347956 _____ (YellowSend.com) C:\Users\xLukizel\AppData\Local\nsw433D.tmp
    2016-06-11 13:52 - 2016-06-11 13:52 - 00000000 ____D C:\Program Files (x86)\Flasharts-TSA
    2016-06-11 13:44 - 2016-06-11 13:44 - 00000000 ____D C:\Users\xLukizel\AppData\Local\Obics
    2016-06-11 13:41 - 2016-06-11 13:44 - 00000000 ____D C:\Users\xLukizel\AppData\Local\YkPack
    2016-06-11 13:41 - 2016-06-11 13:41 - 00003468 _____ C:\Windows\System32\Tasks\{BCFDADFB-3F77-4FB5-AA7B-0792EB8EF655}
    2016-06-11 13:41 - 2016-06-11 13:41 - 00000000 _____ C:\Windows\puna
    2016-06-11 13:39 - 2016-06-11 13:44 - 00000000 ____D C:\Program Files (x86)\Windows Loader
    2016-06-11 13:39 - 2016-06-11 13:39 - 01257472 _____ C:\Users\xLukizel\Downloads\Windows Loader 2.6.iso
    2016-06-11 13:39 - 2016-06-11 13:39 - 00003536 _____ C:\Windows\System32\Tasks\PPI Update
    2016-06-11 13:39 - 2016-06-11 13:39 - 00003468 _____ C:\Windows\System32\Tasks\{21D8B17A-E546-4F89-A17F-F8A67F682694}
    2016-06-11 13:54 - 2016-06-11 13:54 - 0347956 _____ (YellowSend.com) C:\Users\xLukizel\AppData\Local\nsw433D.tmp
    C:\Users\xLukizel\AppData\Roaming\{650E5658-CE95-8715-EFBF-AF74C02166E0}\autochk.exe
    C:\Users\xLukizel\# DECRYPT MY FILES #.vbs
    C:\Users\xLukizel\SKlauncher 2.8.exe
    EmptyTemp:

    W FRST wybierz Napraw.

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    0
  • #4 11 Cze 2016 21:05
    Kolobos
    Spec od komputerów

    Usun katalog C:\FRST i to wszystko.

    0
  • #5 12 Cze 2016 21:43
    xSzwagier
    Poziom 22  

    Wykonane. Thx.

    Żal plików (łącznie z serwerem plików którego nie zdążyłem odłączyć), ~30tb.

    0
  • #6 12 Cze 2016 21:45
    Robert B
    Poziom 43  

    Tak z ciekawości:
    Jakiego masz antywirusa, że przepuścił Cerbera?

    0
  • #7 12 Cze 2016 21:46
    xSzwagier
    Poziom 22  

    Eset Smark Security 9.
    Dziwne, ale prawdziwe.

    0
  • #8 12 Cze 2016 22:05
    Robert B
    Poziom 43  

    xSzwagier napisał:
    Dziwne,

    Faktycznie. Pewnie w mailu dostałeś?

    0
  • #9 14 Cze 2016 20:10
    xSzwagier
    Poziom 22  

    Nie.
    Nie ma co do mnie przyjść, nie pobieram załączników.
    Prawdopodobnie z jakiegoś installera, bo nic innego ostatnio nie robiłem.

    0
  • #10 04 Sie 2016 09:29
    xSzwagier
    Poziom 22  

    Na koniec:
    Z tej lekcji wyciągnąłem dużo, przede wszystkim ABY NIE POBIERAĆ plików z dziwnych stron.
    BTW:
    "Steam MultiAccount Generator v3.0.exe " - program w vb.net mojej produkcji ;)
    Zamykam, bo "bes sęsu" aby temat tak stał i był niezamknięty.

    0