Prawdopodobnie zaatakował mnie Ransomware


(Tojo) #1

Witajcie!


(Acorus) #2

Brak loga extras.Aby powstał raport Extras.txt Opcja Rejestr skan dodatkowy musi być ustawiona na Użyj filtrowania


(Tojo) #3

Już się robi. Przepraszam za byka :slight_smile:

 

OTL

http://www.wklejto.pl/193895

EXTRAS

http://www.wklejto.pl/193896


(Acorus) #4

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch
O4 - HKU\.DEFAULT..\Run: [TabletWizard] File not found
O4 - HKU\Local-Svc-Altinst._ON_C..\Run: [TabletWizard] File not found
O4 - HKU\poldsk_ON_C..\Run: [klsuvqvhxathyfw] File not found
O4 - HKU\sscmni_Adm.emea_ON_C..\Run: [TabletWizard] File not found
O4 - Startup: C:\Documents and Settings\poldsk\Start Menu\Programs\Startup\qevrjba.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
[2014/03/06 16:14:58 | 000,142,377 | ---- | C] (Microsoft Corporation) -- C:\Documents and Settings\All Users\Application Data\abjrveq.cpp
[2014/03/07 12:22:49 | 095,027,928 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\qevrjba.fee
[2014/03/06 16:15:07 | 000,000,798 | ---- | M] () -- C:\Documents and Settings\poldsk\Start Menu\Programs\Startup\qevrjba.lnk

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.  Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).


(Tojo) #5

Zadania wykonane!

 

OTL po wykonaniu skryptu:

http://www.wklejto.pl/193903

Extras po wykonaniu skryptu

http://www.wklejto.pl/193904

Raport z kasowania

http://www.wklejto.pl/193906

 

Co dalej?


(Acorus) #6

Pokaż log z normalnego OTL-a http://forum.dobreprogramy.pl/temat/402063-analiza-i-dezynfekcja-zestaw-narzędzi-nieingerencyjnych/


(Tojo) #7

Proszę bardzo.

http://www.wklejto.pl/193911

 

Sorry wcześniej robiłem OTL-em w wersji wcześniejszej z płyty ratunkowej…


(Acorus) #8

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = http://startsear.ch/?q={searchTerms}

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.Po restarcie uruchom OTL i użyj opcji Sprzątanie.

Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/