Cerber 3 usuwanie pozostałości
#1
Dzień Dobry,

Jestem szczęśliwym posiadaczem ronsmomware cerber3. Sprawdzcie czy się go ostatecznie pozbyłem. Dziękuję

Farbar

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#2
Pozwolę sobie dopisać brakuje dwóch dodatkowych logów.
Cytat:2. Uruchom, zaznacz opcję Shortcut.txt kliknij Scan. Po zakończeniu zostaną wygenerowane raporty FRST.txt, Addition.txt oraz Shortcut.txt.
Odpowiedz
#3
Dzięki, Pośpiech to największy wróg ! :-)

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut

[Aby zobaczyć linki, zarejestruj się tutaj]


A i musze pousuwać pliki readme :-) Do usunięcia szkodnika wykorzystałem: hitmanpro, malwarebytes oraz adw cleaner.

Jeszcze raz dzieki :-)
Odpowiedz
#4
Oczywiście na ten typ ransoma nie ma dekodera, czy zakodowane pliki mają zostać usunięte ?
Odpowiedz
#5
Pliki muszą zostać - może znajdzie się jeszcze większy cwaniak który to odkoduje :-)
Odpowiedz
#6
ok

Odinstaluj:
Java 7 Update 45
Qtrax Connection Manager
Sentinel Protection Installer 7.6.6

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1712635404-4187540058-2035219687-1000\...\Run: [YdcPack] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\W7HP\AppData\Local\Ujmedia\hgjwixcw.dll
SearchScopes: HKU\S-1-5-21-1712635404-4187540058-2035219687-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = 
Toolbar: HKU\S-1-5-21-1712635404-4187540058-2035219687-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
FF Keyword.URL: hxxp://www.bing.com/search?FORM=UP97DF&PC=UP97&q=
FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
S3 AdobeFlashPlayerUpdateSvc; C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [X]
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 mdareDriver_48; \??\C:\Program Files (x86)\Fortinet\FortiClient\mdare64_48.sys [X]
S3 mdareDriver_52; \??\C:\Program Files (x86)\Fortinet\FortiClient\mdare64_52.sys [X]
S3 mdareDriver_61; \??\C:\Users\W7HP\AppData\Local\Temp\FCPreScan\mdare64_61.sys [X]
S3 mdareDriver_62; \??\C:\Users\W7HP\AppData\Local\Temp\FCPreScan\mdare64_62.sys [X]
S3 mdareDriver_63; \??\C:\Users\W7HP\AppData\Local\Temp\FCPreScan\mdare64_63.sys [X]
S3 mdareDriver_64; \??\C:\Windows\system32\Drivers\mdare64_64.sys [X]
C:\autoexec.bat
C:\Users\W7HP\AppData\Local\YmjPack
C:\Users\W7HP\AppData\Local\Ujmedia
C:\Users\W7HP\AppData\Roaming\winmgr.txt
C:\Users\Zdalny\Desktop\@[email protected]
C:\Users\W7HP\Downloads\@[email protected]
C:\Users\W7HP\Documents\@[email protected]
C:\Users\W7HP\Desktop\@[email protected]
C:\Users\W7HP\@[email protected]
C:\Users\Zdalny\Desktop\@[email protected]
C:\Users\W7HP\Downloads\@[email protected]
C:\Users\W7HP\Documents\@[email protected]
C:\Users\W7HP\Desktop\@[email protected]
C:\Users\W7HP\@[email protected]
C:\Users\Zdalny\Desktop\@[email protected]
C:\Users\W7HP\Downloads\@[email protected]
C:\Users\W7HP\Documents\@[email protected]
C:\Users\W7HP\Desktop\@[email protected]
C:\Users\W7HP\@[email protected]
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeAAMUpdater-1.0
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
Task: {62633F80-2961-48C8-8B96-BDA5AAC25731} - \ReimageUpdater -> Brak pliku <==== UWAGA
Task: {B8F75705-A41C-4162-8D16-C500B29C2578} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {ED9B8023-30DB-4919-81AA-49247FB0A0EF} - System32\Tasks\{10EF5062-FADE-4238-95E4-4EA61663B88F}-Kodak Share Button App Camera detect => C:\Program Files (x86)\Kodak\KODAK Share Button App\Listener.exe [2012-10-11] (Eastman Kodak Company)
Task: {EFFE451C-E64E-4A5E-BA4A-3A7AD6659780} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-09-08] (Adobe Systems Incorporated)
CMD: netsh advfirewall reset
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST 
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.

Google Chrome
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Odpowiedz
#7
Addition.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]


Dzięki
Odpowiedz
#8
Podaj mi jeszcze raport z wykonania, jak i zrób logi z dodatkowych kont które posiadasz.

I nie przełączaj się pomiędzy kontami, tylko wyloguj się i zaloguj ponownie na każde konto.
Odpowiedz
#9
OK, LOG Z głównego konta:
Shortcut

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#10
Logi co dałeś ostatnie już nie musisz podawać. Pisałem żebyś mi podał logi FRST.txt Addition.txt jak i Shortcut.txt z innych kont.

Brak jeszcze pierwszego wynikowego raportu, który miałeś dostarczyć po wykonaniu skryptu !
Odpowiedz
#11
Reszta kont nie jest w ogóle używana. Dodatkowo nie znam hasła na komputer hasła Smile
Raport po leczeniu.

[Aby zobaczyć linki, zarejestruj się tutaj]


Logi z konta gość:
Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut

[Aby zobaczyć linki, zarejestruj się tutaj]


Pozdrawiam
Odpowiedz
#12
Poprzedni skrypt nie był skopiowany tak jak trzeba i wykonany.

Zaloguj się na konto (nie przełączaj) W7HP

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 mdareDriver_48; \??\C:\Program Files (x86)\Fortinet\FortiClient\mdare64_48.sys [X]
S3 mdareDriver_52; \??\C:\Program Files (x86)\Fortinet\FortiClient\mdare64_52.sys [X]
S3 mdareDriver_61; \??\C:\Users\W7HP\AppData\Local\Temp\FCPreScan\mdare64_61.sys [X]
S3 mdareDriver_62; \??\C:\Users\W7HP\AppData\Local\Temp\FCPreScan\mdare64_62.sys [X]
S3 mdareDriver_63; \??\C:\Users\W7HP\AppData\Local\Temp\FCPreScan\mdare64_63.sys [X]
S3 mdareDriver_64; \??\C:\Windows\system32\Drivers\mdare64_64.sys [X]
C:\autoexec.bat
C:\Users\W7HP\AppData\Local\YmjPack
C:\Users\W7HP\AppData\Local\Ujmedia
C:\Users\W7HP\AppData\Roaming\winmgr.txt
C:\Users\Zdalny\Desktop\@[email protected]
C:\Users\W7HP\Downloads\@[email protected]
C:\Users\W7HP\Documents\@[email protected]
C:\Users\W7HP\Desktop\@[email protected]
C:\Users\W7HP\@[email protected]
C:\Users\Zdalny\Desktop\@[email protected]
C:\Users\W7HP\Downloads\@[email protected]
C:\Users\W7HP\Documents\@[email protected]
C:\Users\W7HP\Desktop\@[email protected]
C:\Users\W7HP\@[email protected]
C:\Users\Zdalny\Desktop\@[email protected]
C:\Users\W7HP\Downloads\@[email protected]
C:\Users\W7HP\Documents\@[email protected]
C:\Users\W7HP\Desktop\@[email protected]
C:\Users\W7HP\@[email protected]
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdobeAAMUpdater-1.0
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
Task: {62633F80-2961-48C8-8B96-BDA5AAC25731} - \ReimageUpdater -> Brak pliku <==== UWAGA
Task: {B8F75705-A41C-4162-8D16-C500B29C2578} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe
Task: {ED9B8023-30DB-4919-81AA-49247FB0A0EF} - System32\Tasks\{10EF5062-FADE-4238-95E4-4EA61663B88F}-Kodak Share Button App Camera detect => C:\Program Files (x86)\Kodak\KODAK Share Button App\Listener.exe [2012-10-11] (Eastman Kodak Company)
Task: {EFFE451C-E64E-4A5E-BA4A-3A7AD6659780} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-09-08] (Adobe Systems Incorporated)
CMD: netsh advfirewall reset
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości