Reklamy - system blokuje instalacje antywirusa

Witam. Wróciłem z kilkudniowej przerwy od komputera i zastałem wirusa. Prawdopodobnie ktoś z domowników go zainfekował. Nowe rzeczy pojawiły się na pulpicie “Grbage Cleaner do czyszczenia komputera którego nawet nie da się włączyć”
o lokalizacji: “C:\ProgramData\Garbage Cleaner\Garbage Cleaner.exe”
oraz “installpack.exe” C:\Users\Dybka\AppData\Local\Temp\0886606962.exe
Są to ikony skrótów. W dodaj usuń programy nie ma tego.

Problemem jest to, ze ciągle mam jakieś reklamy, wyszukiwarka google nie potrafi znaleźć tego co szukam. Antywirusa anti malvare, avast nie da się zainstalować. Wyskakuje, komunikat, że dla bezpieczeństwa systemu akcja została zablokowana.

W procesach jedynie co mnie niepokoi to proces “3s02FziDqo3QOpYbj.exe” z ikonką prezentu.
Nie chcę przywracać systemu gdyż mam dużo programów oraz projektów. Proszę o jakieś wskazówki

FRST.txt (220,7 KB)

1 polubienie

Może sprobuj przeskanowac system antywirus em online i zainstaluj któryś z programów do odistalowywania programów one usuwają programy jak windowsowski nie daje rady i odinstalowuje pozostałości po nieostniejacych programach

Witaj @zurius
Bazując na dołączonym pliku mógłbym utworzyć plik naprawczy, ale według zasad obowiązujących na tym Forum należy umieszczać trzy pliki po skanowaniu FRST według poradnika
Nie uruchamiaj innych programów i nie zmieniaj konfiguracji komputera do czasu ukończenia naprawy.
Czekam na nowe pliki do wglądu.
Napisz również, czy w międzyczasie jednak wykonałeś jakieś działania na komputerze.

1 polubienie

Zanim odczytałem ostatniego posta to wykonałem skanowanie komputera ESET Online Scanner. Wykryto 55 zagrożeń.
Zamieszczam Pliki:
Addition.txt (41,0 KB) FRST.txt (211,9 KB) Shortcut.txt (55,0 KB)

1 polubienie

Nie mam dobrych wieści.
Masz wiele zainfekowanych plików STOP Ransomware z rozszerzeniem .nakw
Przez to straciłeś dostęp do .jpg, .mp3, .mp4, .zip i wielu innych.
Nie będę Ci wypominał powodów, gdyż sama strata ważnych plików jest problemem.
Będziemy próbować je odzyskać.
Ransomware nie będzie się już rozszerzać na nowe pliki, ale musimy powstrzymać inne infekcje.

Wykonaj polecenia:

  1. Odinstaluj z listy programów Multitimer version 1.0
  2. Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\Dybka\Downloads
    fixlist.txt (15,9 KB)
    “Plik naprawczy, tylko dla Ciebie, został wykonany w FiRST Editor 1.09b © ijuliusz.pl”
  3. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
  4. Po restarcie wklej plik wynikowy.
  5. Pobierz ADWCleaner, uruchom z Uprawnieniami Administratora, uruchom skanowanie.
    Jeśli znajdzie linie z Preinstalled to odznacz, resztę oczyść, wklej plik wynikowy.
1 polubienie

Dziękuję ślicznie.

Fixlog.txt (37,8 KB)
AdwCleaner[C00].txt (2,4 KB)

Teraz gdy wpisuje różne adresy stron w wyszukiwarce to wyskakuje mi trojan w komunikatach
trojan

Działamy dalej.

  1. Uruchom Chrome, wyeksportuj Zakładki, następnie w Ustawieniach wybierz Zaawansowane -> Resetowanie komputera i czyszczenie danych -> Przywróć ustawienia do wartości domyślnych, zamknij Chrome i odinstaluj.
  2. Przez inną przeglądarkę pobierz RKill
  3. Uruchom RKill, przeskanuj system, może pojawić się czarny ekran przed zakończeniem skanowania. Zapisz plik wynikowy do późniejszego wglądu.
    Nie restartuj komputera po skończonym skanowaniu
  4. Zamknij wszystkie aktywne programy i przeglądarki.
  5. Uruchom MBAM, rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, zapisz plik wynikowy na później.
  6. Po restarcie wklej pliki RKill i MBAM do wglądu.
1 polubienie

mbam.txt (27,3 KB) Rkill.txt (2,0 KB)

Mam nadzieje, że jeszcze da radę odratować te zablokowane pliki? Wszystkie pliki z nagrywek zablokowane :smiley:

Weź też pozmieniaj sobie hasła z niezainfekowanego urządzenia. Te Ransomware w niektórych nowszych odmianach potrafi też instalować oprogramowanie do wykradania haseł.
Jeżeli logowałeś się z tego komputera po infekcji lub miałeś jakieś hasła w menadżerze haseł zapisane lub aktywną sesję logowania (byłeś niewylogowany) zmień te hasła z innego PC/smartfona.

2 polubienia
  1. Usuń ręcznie katalog
    C:\Users\Dybka\AppData\Local\Google\Chrome

  2. Zrób skanowanie

  • Pobierz ESET Online Scanner
  • Uruchom z Uprawnieniami Administratora
  • Naciśnij Skanowanie komputera
  • Naciśnij Pełne skanowanie
  • Wybierz Włącz wykrywanie …
  • Rozpocznij skanowanie
  • Gdy wykryje jakiekolwiek zagrożenia zapisz raport
  • Program zapyta o Skanowanie okresowe odznacz i wyłącz
  • Udostępnij plik raportu
  1. Wklej plik C:\SystemID\PersonalID.txt do wglądu, lub odszukaj na dysku jeden z plików _readme.txt i wklej.
1 polubienie

Nie udało mi się usunąć tego katalogu w całości. Został folder SwReporter. Uprawnienia mam wszystkie zaznaczone bez “uprawnień specjalnych” których nie da się zaznaczyć.
Przechwytywanie2

Skanowanie zrobiłem dwa razy i nic nie znalazło.
Malwarebytes również robiłem

PersonalID.txt (42 bajty)

Wirusy z kwarantanny w programie Malwarebytes usunąć czy na razie zostawić?

Tym spróbuj go przejąć

Frst nie dał rady @ijuliusz?

1 polubienie

@krystian3w wyskakuje mi powiadomienie z Trojanem i aby nie pobierać. Powiadomienie od Malwarebytes

@krystian3w będzie dodane w kolejnym fixlist :wink:
@zurius plik zawiera kod prawdopodobnie w wersji Online, którym może się nie udać odszyfrować plików.
Zrób nowe skanowanie FRST, wklej pliki do wglądu.

Addition1.txt (35,0 KB) FRST1.txt (205,8 KB) Shortcut1.txt (49,0 KB)

  1. Uruchom FRST z Uprawnieniami Administratora i użyj poniższego pliku.
    fixlist.txt (374 bajty)
  2. Wklej plik wynikowy.
  3. Pobierz i uruchom Emsisoft Decryptor for STOP Djvu
  4. Potwierdź Licencję Yes, następnie kliknij OK
  5. W oknie, które się pojawi wskaż dysk lub katalog, w którym masz zainfekowane pliki.
  6. Kliknij Decrypt
  7. Jeśli program posiada właściwy klucz, to pliki zostaną odszyfrowane.
  8. Powinien pojawić się plik wynikowy, wstaw do wglądu, ewentualnie poinformuj o wynikach.

decriptC.txt (43,9 KB) Fixlog.txt (1,9 KB)

nie udało się odszyfrować

Jeśli chodzi o FRST to nic więcej nie trzeba robić.

Zaszyfrowane pliki (te potrzebne) możesz przenieść do oddzielnego katalogu.
Niestety jest znikoma szansa na odszyfrowanie, możesz spróbować przesłać pliki do analizy, choć skrót z zaszyfrowanego pliku nie jest na liście.
STOP Djvu Decryption
Jeśli masz plik, np. mp3 zaszyfrowany i identyczny niezaszyfrowany, pobrany z bezpiecznego źródła, prześlij go.

Co dalej? Można to oddać do jakiegoś specjalisty? Mam około 2TB dosyć mocno wartościowych materiałów do odzyskania

Dostałem email. Email był wysłany ode mnie do mnie.

Hello,

My name is Jeanson Ancheta.
I am an experienced software developer and I am the best hacker.

10 months ago, I hacked this email address. You can check it. I am sending this email from your email address now. (xxxxx@wp.pl)

I injected my code to this device and I started to monitor your activity. My first idea was to block and encyript your files. And than I would ask for a small fee to release them back. But than one day, You visited some dirty websites. You know what I mean naughty thing. And I silently activated your front camera and recorded You. Yes! You were playing with yourself. What a funny video.

Now, I stole contact list of yourself. I have all the friends list. A lot of information is downloded to my system.

I am asking from you a small fee of 650 USD. If you don’t pay, all the naughty screen videos will be sent to your friends and family.
I will distribute them to everywhere. I spent a lot of time monitoring you. This is the cost of my time.
I promise that I will delete these files as soon as I receive the payment. I don’t need it.

Send the amount to my bitcoin address:
1Jp2FCqPWrgrVcSwTSn97LtSpTAYkVfsrA

I give you 36 hours to complete the transfer. When you open that message, I will know it and the countdown starts.

Be smart, do not ignore me! Do not click on every link you see. Always use stronger passwords on the internet. Never trust anybody!

Good Luck
Your time has already started…

Wpłacać?