Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Prośba o sprawdzenie logów

bedrejczuk 28 Cze 2016 16:25 399 6
  • #1 28 Cze 2016 16:25
    bedrejczuk
    Poziom 4  

    Witam,
    w dniu wczorajszym otworzyłam wiadomość z dziwnym plikiem, który był na poczcie i dotyczył zamówienia, za które miałam zapłacić. Plik był formatu .exe, a całość się nie wyświetlała. Niby nic się nie działo, ale w dniu dzisiejszym przy robieniu przelewów dostałam tel z banku o zablokowaniu płatności internetowej i próbie kradzieży danych. W związku z tym przeskanowałam komputer Dr Web Scanner, potem Malvare, następnie Adw Cleaner i zrobiłam logi z frst. Proszę o pomoc w analizie logów i usunięciu wirusa. Wszystkie pliki spakowane w 1 rar.

    0 6
  • #2 28 Cze 2016 16:35
    Kolobos
    Spec od komputerów

    Czy to bylo to https://niebezpiecznik.pl/post/uwaga-na-maile...ture-nie-otwierajcie-dolaczonych-zalacznikow/ ?


    W logach nie widac infekcji.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    (© 2015 Microsoft Corporation) C:\Users\Dell\AppData\Local\Microsoft\BingSvc\BingSvc.exe
    (McAfee, Inc.) C:\Program Files\McAfee Security Scan\3.11.334\SSScheduler.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\Run: [BingSvc] => C:\Users\Dell\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-13] (© 2015 Microsoft Corporation)
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: E - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: F - F:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {3df96bca-effe-11e5-9613-8c705a0dc170} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {5d960f97-7b00-11e5-be33-8c705a0dc170} - F:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {5d960fa4-7b00-11e5-be33-8c705a0dc170} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {69808fb6-d6f6-11e5-b9b2-001e101fe5e1} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {7f5edf78-5928-11e5-83c3-001e101f8ed0} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {80b3ffed-7d4a-11e5-95a4-001e101f8aaa} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {8a016b49-ef7c-11e5-8fef-8c705a0dc170} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {8a016b55-ef7c-11e5-8fef-8c705a0dc170} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {96fe5e6b-8587-11e5-a5cc-8c705a0dc170} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {981fabab-d00e-11e5-9221-001e101f79c9} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {981fabb8-d00e-11e5-9221-001e101f79c9} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {981fabc2-d00e-11e5-9221-001e101f79c9} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {b3449d4b-5942-11e5-8ff1-001e101f9843} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {c0a24e8f-5892-11e5-911f-8c705a0dc170} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {c0a24ea2-5892-11e5-911f-8c705a0dc170} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {c21afc0c-f336-11e5-92f8-8c705a0dc170} - F:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {c32fcf67-7af3-11e5-8eea-001e101f82a0} - E:\AutoRun.exe
    HKU\S-1-5-21-3786669421-767851228-3943137293-1000\...\MountPoints2: {d174648c-d3dc-11e5-b931-001e101f4da1} - E:\AutoRun.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2016-06-27]
    ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files\McAfee Security Scan\3.11.334\SSScheduler.exe (McAfee, Inc.)
    2016-06-28 14:57 - 2016-06-28 16:14 - 00000000 ____D C:\AdwCleaner
    2016-06-28 10:18 - 2016-06-28 10:19 - 10273304 _____ (Simply Super Software ) C:\Users\Dell\Downloads\trjsetup-9x.exe
    2016-06-25 18:29 - 2016-06-25 18:29 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
    2016-06-27 16:29 - 2015-09-11 18:01 - 00001962 _____ C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
    2016-06-25 18:29 - 2015-11-21 19:02 - 00000000 ____D C:\Program Files\McAfee Security Scan
    2016-03-25 10:56 - 2016-03-25 10:56 - 6493696 _____ () C:\Users\Dell\AppData\Roaming\agent.dat
    2016-03-25 10:53 - 2016-03-25 10:53 - 0127488 _____ () C:\Users\Dell\AppData\Roaming\Installer.dat
    2016-03-25 10:56 - 2016-03-25 10:56 - 0018432 _____ () C:\Users\Dell\AppData\Roaming\Main.dat
    EmptyTemp:

    W FRST wybierz Napraw.

    Usun katalog C:\FRST.

    0
  • #3 28 Cze 2016 16:44
    bedrejczuk
    Poziom 4  

    Tak, to było dokładnie to samo, jak w opisie linku.

    0
  • #4 28 Cze 2016 16:50
    Kolobos
    Spec od komputerów

    Uwazaj na takie rzeczy, nie dosc, ze od poniedzialku wszedzie o tym pisza to jeszcze na pierwszy rzut oka widac, ze oszustwo. Nie wolno otwierac takich plikow.

    Sam rowniez otrzymalem takiego maila, numer faktury z tematu nie zgadzal sie z tym w tresci, brak polskich znakow (w tym spacje zamiast znakow w podpisie). Numer telefonu nie zgadzal sie z nazwa firmy, nie pasowal tez adres. Usunalem i nawet nie prbowalem otwierac zalacznika.

    0
  • Pomocny post
    #6 28 Cze 2016 17:22
    Kolobos
    Spec od komputerów

    Logi sa zbedne, juz w poprzednich nie bylo sladow infekcji.

    0
  • #7 28 Cze 2016 17:27
    bedrejczuk
    Poziom 4  

    Dzięki wielkie, mam nadzieję, że nie ma już zagrożenia.

    0