Objawy zainfekowania:
przekierowało mnie na podejrzaną stronę ( załącznik ) - przeglądarka Google Chrome
Eset Nod nie zareagował
0 objawów zainfekowania - system działa normalnie
windows 8.1
dlaczego nie doszło do infekcji ? Wykonywane działania:
skan Eset Nod , HitmanPro , Kaspersky Rescue Disk 10 - nic nie wykazały Logi:
Tutaj umieść linki do logów z OTL i FRST
załączam log otl
Dokładna nazwa tego szkodnika to Trojan weelsoft lub Ransomalware
Dlaczego nie doszło do infekcji ? Dlatego że Eset Nod32 mógł skasować kawałek pliku np. Autostart wirusa przez co plik nie mógł się zapisać i uruchomić.
Wyłonczałes komputer ? niektóre trojan ukash uaktywniają się po restarcie systemu.
Dlatego podam ci dokładną instrukcję pobierz program ccleaner > zainstaluj > Wejdź w narzędzia > Autostart > I przeszukaj trojan będzie ukrywał się pod nazwą typu 4g3ghsjfhus nazwa nie będzie miała żadnego sensu będą to randomowe cyfry i litery > Gdy znalazłes coś takiego wyłoncz ten wpis i go usuń > Wyczyść tagże za pomocą tego programu histroie i ciasteczka bo coś w nich może być i podaj adres URL tej strony z tym trojankiem
Moderator i autoryzowany pomocnik w dziale Malware Fixitpc.pl
linku nie mogę podać bo zablokowało przeglądarkę na amen ( reset alt ctrl del )
komputer był resetowany kilka razy
do czyszczenia używam Glarego
w menadżer zadań / auto start jest czysto ( brak nieznanych mi aplikacji )
co do rejestru faktycznie nie podoba mi się to - załącznik
Norton power Eraser to program to usuwania głęboko zagnieżdżonych infekcji a wieć jak dla ciebie doskonale.
Potem jednak spróbowałbym hitmanPro malwarebytes anti malware eset online scanner comodo cleaning essentials Dr.web scanner jak to nic nie wykryje to na 99,99 % system jest czysty.
Choć ten rejestr też mi się zbytnio nie podoba. Jeżeli do nas piszesz to chyba masz drugą przeglądarkęjak nie napisz do mnie wyślę ci ją.
Dodano: 05 kwie 2014, 16:51
Snajpiq napisał(a):Dajcie się panowie tą sprawą zająć zawodowcom.
My tutaj próbujemy z grzeczności pomóc koledze a nie się kłócimy kto jest lepszy a kto gorszy każdy pomaga jak może i umie jak ci się coś nie podoba to idź na inny temat.
Moderator i autoryzowany pomocnik w dziale Malware Fixitpc.pl
Miszel03 napisał(a):Norton power Eraser to program to usuwania głęboko zagnieżdżonych infekcji a wieć jak dla ciebie doskonale.
Potem jednak spróbowałbym hitmanPro malwarebytes anti malware eset online scanner comodo cleaning essentials Dr.web scanner jak to nic nie wykryje to na 99,99 % system jest czysty.
Choć ten rejestr też mi się zbytnio nie podoba. Jeżeli do nas piszesz to chyba masz drugą przeglądarkęjak nie napisz do mnie wyślę ci ją.
Dodano: 05 kwie 2014, 16:51
Snajpiq napisał(a):Dajcie się panowie tą sprawą zająć zawodowcom.
My tutaj próbujemy z grzeczności pomóc koledze a nie się kłócimy kto jest lepszy a kto gorszy każdy pomaga jak może i umie jak ci się coś nie podoba to idź na inny temat.
W przypadku tego zagrożenie nie dochodzi do żadnej infekcji w systemie więc nie ma się czym przejmować.
Do blokady dochodzi jedynie za pomocą odpowiedniego spreparowanego na stronie java skryptu który blokuje tylko przeglądarkę,nazywa się ten rodzaj porywaczem przeglądarek.
W celu pozbycia się zagrożenia wystarczy w menadżerze zadań zamknąć odpowiedni proces danej przeglądarki lub proces zakładki i wyczyścić historię przeglądania jak i ciasteczka.
franc99 napisał(a):co do rejestru faktycznie nie podoba mi się
Nawet tego nie ruszaj bo są to wartości odpowiednie czyt. (oryginalne).
Miszel03 napisał(a):Dlatego podam ci dokładną instrukcję pobierz program ccleaner > zainstaluj > Wejdź w narzędzia > Autostart > I przeszukaj trojan będzie ukrywał się pod nazwą typu 4g3ghsjfhus nazwa nie będzie miała żadnego sensu będą to randomowe cyfry
Oczywiście ale i też nie do końca.
W przypadku innej odmiany tego zagrożenia dochodzi do takiej infekcji może to być ransomware urausy lub weelsof lub jeszcze jakieś inne,ogólnie jest więcej odmian,ale nie będę wymieniał ich,wystarczy przeglądnąć malware lab
Przypadek np. ransoma weelsof
Kod:
Created a mutex named: Local\!IETld!Mutex
Defined file type created in Windows folder: C:\Windows\explorer_new.exe
Defined file type created in Windows folder: C:\Windows\jdnmpqrzkxwacfnypbbv.exe
Defined file type created: C:\ProgramData\jdnmpqrzkxwacfnypbbv.exe
Defined file type created: C:\ProgramData\ugjuzuaefophikn\jquery.main.js
Defined file type created: C:\ProgramData\ugjuzuaefophikn\main.html
Defined registry AutoStart location created or modified: machine\software\microsoft\Windows NT\CurrentVersion\Winlogon\Shell = explorer_new.exe
Defined registry AutoStart location created or modified: machine\software\microsoft\Windows\CurrentVersion\Run\jdnmpqrzkxwacfn = C:\ProgramData\jdnmpqrzkxwacfnypbbv.exe
Defined registry AutoStart location created or modified: user\current\software\Microsoft\Windows\CurrentVersion\Run\jdnmpqrzkxwacfn = C:\ProgramData\jdnmpqrzkxwacfnypbbv.exe
Deleted activity traces
Detected process privilege elevation
File copied itself
Got computer name
Internet connection: Connects to "62.76.47.158" on port 80.
Internet connection: Connects to "euro-police.in" on port 80.