Zainfekowany komputer - prośba o sprawdzenie loga

Axles · 10 Marzec 2016 11:47

Witam, mam zainfekowany komputer, z tym że nie wiem czy proces jest w trakcie czy antywirus G DATA zareagował i nie dopuścił do infekcji. Pliki na pulpicie są nieruszone, w dokumentach też.

Konto bez praw administratora, paskudstwo jakie wykrył gdata to: Trojan.GenericKD.3089414 maiaxmcwewmn.exe

Na komputerze jest pełno plików ReCoVeRy_+ryoit.txt (png, html) lub +fsfin z tymi rozszerzeniami. Nie ejstem w stanie stwierdzić czy one są same w sobie zaszyfrowanymi plikami czy to tylko pliki ‘informacyjne’ w których jest treść:

NOT YOUR LANGUAGE? USE https://translate.google.comWhat happened to your files ?All of your files were protected by a strong encryption with RSA4096More information about the encryption keys using RSA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)How did this happen ?!!! Specially for your PC was generated personal RSA4096 Key , both public and private.!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.!!! Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our Secret ServerWhat do I do ?So , there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW! , and restore your data easy wayIf You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a paymentFor more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:Proszę o pomoc, pliki z FRST w załączniku.Addition.txtFRST.txtEdycja:Tak obserwuje i proces został chyba na początku zatrzymany przez antywirusa, brak obciążenia systemu. Jedynie co to podczas uruchamiania systemu próbuje się uruchomić jakiś skrypt (4 razy na raz) lecz wyrzuca błąd bo w lokalizacji nie ma pliku o którym wspominałem czyli: maiaxmcwewmn.exe Niemniej same okna denerwują i nie potrafię znaleźć ich źródła.

Acorus · 10 Marzec 2016 14:02

s.txt

Axles · 11 Marzec 2016 07:09

Dzięki wielkie Acorus, jak się spotkamy w ramach podziękowania masz piwo ode mnie

Zastanawia mnie tylko jedno taki program np. Autoruns Sysinternals nie przedstawia wszystkich możliwych autostartujących się ‘syfów’ z systemu?

Jeszcze wrzucam nowego loga tak na wszelki wypadek, bo niektórych plików np.

2016-03-09 07:38 - 2016-03-09 07:39 - 0010256 _____ () C:\ProgramData_ReCoVeRy_+fsfin.html

nie wiedzieć czemu nie usunął mimo, że w fixliście były.

FRST.txt

Acorus · 11 Marzec 2016 08:49

t.txt

Axles · 14 Marzec 2016 07:17

Dzięki.

Co w mojej sytuacji właściwie wydarzyło się, infekcja została zablokowana przez Gdatę, ale dlaczego pliki _ReCoVerY… utworzyły się czy to oznacza, że jednak coś mogło zostać zaszyfrowane?