Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Съмнение за злонамерен софтуер. Компютърът ми е бавен и засича.


Препоръчан отговор


Здравейте, компютърът ми засича, windows defender-a ми постоянно пищи, дори и да премахна файла, след няколко минутки пак излиза че има проблем, също така, от време на време от браузъра ми изкачат реклами (автоматично се отваря нов tab[имам адблокър в браузъра])

Най-често дефендера пищи, защото е намерил
"Trojan:Script/Wacatac.C!ml"

Също така ми изкачат рандом "питания" от системата дали да позволя на някакъв файл да се използва с администраторски права

Благодаря предварително

FRST.txt Addition.txt

Сега забелязох, че почти всички файлове са криптирани и ми искат пари, за да ги декриптират. Има ли как да ги върна или направо преинсталация?

Линк към този отговор
Сподели в други сайтове

Здравейте,

Системата е сериозно заразена. Можем да опитаме да я почистим, но това няма да възстанови криптираните файлове. Но то и преинсталацията няма да помогне при тях. За да разберем с какво си имаме работа изпратете някои от криптираните файлове тук и публикувайте линка с резултатите:

https://id-ransomware.malwarehunterteam.com/

Видях че имате и активни рууткити. По това, че единия е WDF предполагам, че криптираните файлове ще са дело на STOP DJVU Ransomware, защото той идва с този ransomware и за който няма декриптор (поне не за новите версии). За старите такива има един от Emsisoft, който скоро не е обновяван.

Преди да действаме със скрипт нека да направим следното:

Моля изтеглете Malwarebytes Anti-Rootkit и запазете архива на десктопа.

Стартирайте файла и посочете папка в която да се разархивира съдържанието на архива и след това стартирайте файла mbar.exe.

Натиснете Next и после натиснете Update.

Натиснете Next и после натиснете Scan.

Изчакайте проверката да завърши и натиснете бутона Cleanup за да премахнете всички намерени паразити (ако има такива).

Ако бъдете попитан да рестартирате, съгласете се.

Два файла (mbar-log-YYYY-MM-DD, system-log.txt) ще бъдат създадени в папката, където сте разархивирали програмата.

Публикувайте съдържанието на тези файлове в следващия си коментар и след това направете нова проверка с FRST и прикачете новите резултати.

 

Поздрави!

Линк към този отговор
Сподели в други сайтове

Изглежда при вас всичко е тръгнало от наглед според форума elitepvpers безопасен файл SFCollector.exe, който уж бил фалшива тревога и хората трябвало да го поставят в изключенията. Темата там е от 2018-та и това означава, че или те са го променили за други зловредни цели или някой друг го е използвал за прикритие и е внедрил в него зловреден файл. Windows Defender се е сборил с него:

Цитат

Windows Defender:
===================================
Date: 2020-09-06 04:30:01.560
Description:
Windows Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Script/Wacatac.C!ml&threatid=2147749377&enterprise=0
Name: Trojan:Script/Wacatac.C!ml
ID: 2147749377
Severity: Severe
Category: Trojan
Path: file:_C:\Users\Rustislav\AppData\Roaming\aibgiib; file:_C:\Users\Rustislav\Downloads\SFCollector.exe
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
Process Name: C:\Windows\System32\svchost.exe
Security intelligence Version: AV: 1.323.583.0, AS: 1.323.583.0, NIS: 1.323.583.0
Engine Version: AM: 1.1.17400.5, NIS: 1.1.17400.5

Това е създало планирана задача в системата:

Task: {02D8822E-F3BD-4A00-B8BB-EF5406CBFDBB} - System32\Tasks\NvNgxUpdateCheckDaily_{2A68F03E-F03E-F03E-F03E-2A68F03EF03E} => C:\Users\Rustislav\AppData\Roaming\aibgiib [206336 2020-04-15] () [File not signed] [File is in use]

и скрита папка:

2020-04-15 13:49 - 2020-04-15 13:49 - 000206336 ___SH () C:\Users\Rustislav\AppData\Roaming\aibgiib

След това нещата са ескалирали:

Цитат

Date: 2020-09-06 04:18:21.527
Description:
Windows Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Wacatac.D7!ml&threatid=2147757786&enterprise=0
Name: Trojan:Win32/Wacatac.D7!ml
ID: 2147757786
Severity: Severe
Category: Trojan
Path: file:_C:\Program Files\46XX70XH82\46XX70XH8.exe; process:_pid:3480,ProcessStart:132438269277389905; regkey:[email protected]\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Z7CKX4CHDO60LRN; runkey:[email protected]\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\Z7CKX4CHDO60LRN
Detection Origin: Local machine
Detection Type: FastPath
Detection Source: System
Process Name: C:\Program Files\46XX70XH82\46XX70XH8.exe
Security intelligence Version: AV: 1.323.583.0, AS: 1.323.583.0, NIS: 1.323.583.0
Engine Version: AM: 1.1.17400.5, NIS: 1.1.17400.5

И да, оказах се прав. Ransomware е STOP DJVU:

C:\Users\Rustislav\AppData\Local\bowsakkdestx.txt

Като приключите с почистването с Malwarebytes Anti-Rootkit съм ви създал скрипт за FRST за допълнително почистване.

След това можем да пробваме и с декриптора на Emsisoft, но се съмнявам да проработи при толкова нов вариант.

Добре сте се нахендрили точно преди началото на учебната година ми се струва (видях, че имате MS Teams и други за отдалечено обучение и оттам заключих, че или сте ученик или имате такъв у вас).

Но така се получава като използвате съмнителни инструменти като

Цитат

C:\users\rustislav\appdata\roaming\bol\client\bolstudio.exe
C:\program files\megadownloader\megadownloader.exe
C:\program files (x86)\nerusdev\nerusbot\nerusbot.exe
C:\Users\Rustislav\Desktop\SFCollector.exe


Поздрави!

Линк към този отговор
Сподели в други сайтове

Да и аз разгледах и се оказа, че е точно STOP DJVU с онлайн ключ (пробвах с декриптора на Emsisoft, но трябвало да е с офлайн ключ, така че няма спасение за файловете)

Та въпросът е преинсталация или ще могат да се изтрият всички заразени/криптирани файлове (ако има и системни такива, да не даде някакъв проблем във системата)

mbar-log-2020-09-06 (18-45-34).txt Addition.txt FRST.txt

Линк към този отговор
Сподели в други сайтове

Няма нужда да се бърза с преинсталация, защото вярвам, че можем да излекуваме системата, а файловете, че няма да можем да ги възстановим също писах по-нагоре (без значение дали ще преинсталирате или не).

Явно обаче не сте изпълнили стъпките за MBAR коректно, защото не сте обновили дефинициите на инструмента преди сканирането и затова повторете проверката като преди това ОБНОВИТЕ дефинициите!

Цитат

Database version:
  main:    v2017.10.25.11
  rootkit: v2017.10.14.01

Цитат

Стартирайте файла и посочете папка в която да се разархивира съдържанието на архива и след това стартирайте файла mbar.exe.

Натиснете Next и после натиснете Update.

Натиснете Next и после натиснете Scan.

Изчакайте проверката да завърши и натиснете бутона Cleanup за да премахнете всички намерени паразити (ако има такива).

С дефиниции на 3 години трудно ще почисти рууткит на няколко месеца. ;) Дори засечените неща в това сканиране са били според мен фалшиви тревоги, но те са лесно поправими.


Линк към този отговор
Сподели в други сайтове

Така е много по-добре:

Цитат

C:\WINDOWS\SYSTEM32\drivers\Wdf66289.sys (Rootkit.Agent) -> Delete on reboot. []

Но има още какво да се желае. Но вие продължавайте да теглите пиратски софтуер и ще се върнем в изходна позиция!

Цитат

C:\Users\Rustislav\Desktop\CCleaner v5.65.7632 All Editions Final + Keygen
C:\Users\Rustislav\Desktop\MICROSOFT Office PRO Plus 2016 v16.0.4266.1003 RTM + Activator [TechTools.NET]

Явно след премахването на рууткита, Windows Defender е "прогледнал" и е почистил системата доста добре, защото се наложи да редактирам създадения от мен скрипт от преди сканирането с MBAR.

 

 Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (C:\Users\Rustislav\Desktop\fak)

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

Това е засега.

Поздрави!

Линк към този отговор
Сподели в други сайтове

Почти сме готови.

 

Нека да направим няколко финални проверки и се ориентираме към приключване.

 

СТЪПКА 1

 

1.Изтеглете Hitman Pro.

За 32-битова система - dEMD6.gif.
2.Стартирайте програмата.
3.След като сте стартирали програмата като кликнете върху иконата 5vo5F.jpg и натиснете бутона „Напред“ като се съгласите с лицензионното споразумение (EULA).

4.Сложете отметка пред "Не, искам да завърша еднократно сканиране на компютъра".

5.Натиснете бутона „Напред“.

6.Програмата ще започне да сканира. Времето за сканиране е около 2 минути.

7.След завършване на сканирането от списъка с намерените неща (ако има такива) изберете Apply to all => Ignore.

8.Натиснете "Next" и след това натиснете "Изнеси резултата в XML file" и запазете лог файла на десктопа.

9.Архивирайте файла и го прикачете в следващия си коментар или копирайте съдържанието му в следващия си коментар.
 
Забележка: Ако няма падащо меню, където да изберете ignore както на снимката:
 
6-scanfin-choose.jpg
 
Тогава просто затворете програмата след края на проверката (без да премахвате нищо)...след това отворете C:\Programdata\HitmanPro\Logs, отворете и публикувайте съдържанието на лог файла в следващия си коментар. Пак повтарям, не трийте нищо с програмата, защото е доста мощна и може да бъде опасна!

Забележка: Папката C:\ProgramData е скрита и затова трябва да направите скритите файлове видими по-следния начин:

От My Computer => Tools => Folder Options => View:

Сложете отметка пред "Show hidden files, folders and drives"

и махнете отметката пред "Hide protected operating system files (recommended)".

Натиснете Apply.

Сега проверете за лог файла в папката C:\Programdata\HitmanPro\Logs и го прикачете в следващия си коментар.

Или просто поставете C:\Programdata\HitmanPro\Logs в адресния бар на Windows Explorer и пак би трябвало да се отвори.

 

СТЪПКА 2

 

emsisoft_emergency_kit.pnglogo.png

  • Моля изтеглете EmsisoftEmergencyKit, стартирайте exe файла и посочете къде да се разархивира програмата - например в (C:\EEK), натискайки бутона Extract.
  • Стартирайте иконата на файла Start Emsisoft Emergency Kit от десктопа за да стартирате приложението.
  • Натиснете бутона"Yes", когато бъдете подканени да обновите дефинициите на програмата.
  • След като процеса по обновяването на дефинициите приключи натиснете бутона "Scan".
  • Натиснете бутона "Yes", когато бъдете попитани дали да програмата да включи засичането на потенциално нежелани приложения (Potentially Unwanted Applications).
  • Сега вече изберете бутона Custom Scan. Премахнете от списъка всички дялове без C:\ (т.е. нека да остане само дял C:\ в списъка).
  • Натиснете Next за да започне проверката.
  • Когато проверката приключи натиснете бутона View Report.
  • Копирайте съдържанието на лог файла в следващия си коментар.

 

Поздрави!

Линк към този отговор
Сподели в други сайтове

Системата изглежда чиста вече, но силно препоръчвам да стартирате последния скрипт за да премахнете и последните съмнителни инструменти от пиратски и друг произход, но както си решите.

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (C:\Users\Rustislav\Desktop\fak)

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

След това пишете как е положението и какво е състоянието на системата. Получавате ли още реклами в браузърите, системата още ли е бавна и засича?

Windows Defender намира ли още зловредни обекти? Предполагам, че да, но те ще са от карантинната папката на FRST -> C:\FRST\Quarantine. Ако искате я изтрийте и след това направете и една проверка с Windows Defender.

Пишете за резултатите и приключваме.

Не споменахте и какво ще правим с криптираните файлове? Ако искате да ги изтрием трябва да ми кажете какво е разширението на файловете, защото нещо не го видях в лог файловете. След това ще ви създам batch файл за да ги изтрием с един замах. Алтернативата е да ги преместите на външен носител за да не ви заемат място в системата и да чакате един ден евентуално да се появи декриптор за този вариант.

Поздрави! ;)

Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

  • Разглеждащи това в момента   0 потребители

    Няма регистрирани потребители разглеждащи тази страница.

  • Горещи теми в момента

  • Подобни теми

    • от nikolaustirol
      Здравейте. Имам съмнение, че компютъра е заразен защото в мултитаскинг менюто виждам, че процесора е винаги натоварен поне на 46%, а паметта е заета над 65%. Случва ми се често страници да пишат, че липсва достатъчно памет и да искат обновяване. Компютърът е Фуджицо Сименс Еспримо с процесор Intel Core Duo E7600 3,06 GHz. Инсталирана памет 8 ГБ, но пише, че само 3 ГБ са използваеми. ОС е Уиндоус 7 Про, 32 бита. Имам оригинален диск.
      FRST.txt Addition.txt
    • от Усмихни_Се :)
      Компютъра днес стана страшно бавен , и отделно имам 7 папки, които не могат да се изтрият по никакъв начин ( пробвах през Safe Mode, и с програма за триене на папки )  Не се получава, стоят си папките на DSKTOPA..
      FRST.txt Addition.txt
    • от doktorkartar
      Здравейте, и честит Никулден на всички празнуващи!
       
      Преди няколко дни почистих с AdwCleaner и от тогава Mozilla се шашна.  Отварям си някой сайт (без значение кой), и си го преглеждам в продължение на няколко мин. Изведнъж спира да ми зарежда страницата все едно няма нет. Каквото и да се опитам да отворя в сайта е без успех. Тръгва да зарежда но все не успява. Даже и да презаредя страницата пак не се получава. Обаче ако реша да отворя същия сайт или друг в нов раздел, всичко си е нормално до следващото забиване.
      Пример с youtube:
      Пускам някой клип върви си нормално и по едно време клипа спира и се опитва да го зареди но без успех. Цъкам на някой друг клип и се опитва да зареди в адресната лента но не успява. Общо взето от този раздел не може да се отвори нищо повече. Цъкам със скрола на мишката върху друг клип, за да го отвори в нов раздел и всичко си се зарежда нормално до следващото забиване на новия раздел.
       
      С Хром страниците се отварят нормално и няма този проблем.
      Изтрих мозилата и я инсталирах на ново и пак същото.
      Пробвах с изключени добавки и отново без резултат.
       
      Пусках JRT и malwarebytes, така че ето и техния доклад.
      Разполагам с диск за ОС.
       
       
      JRT.txt mb1.txt Addition.txt FRST.txt
    • от Венцислав Бориславов
      Здравейте, току що си сложи флашката за да прегледам стара снимки и забелязах че има са заключени с .harma фаил и не помага нищо. 
      Пусках лаптопа в safe mode, свалях няколко тоолкита но нище помага, други решения има ли за проблема или утре да му бия преинстала, че и без това му е наближило. 😀
    • от grizly
      Здравейте, преди няколко дни пробвах едни дискове в какво състояние са и в един от тях ми се залепиха някакви вируси, касперски започва да ги дезинфектира и изтрива но мисля че не успя да се справи с тях напълно.
      Долу в систем трея иконата на касперски стои червена постоянно и пише защитата е застрашена,
      Открито MEM:Virus.Win32.Sality.Gen Обект: Системна памет, срещу него като чукна на бутон Изтрий не се случва абсолютно нищо и стои червен знак за внимание.
      Общо взето системата ми се държи добре и нормално но ме дразни много тази червена икона на касперски в систем трея долу.
      https://dox.abv.bg/download?id=8257cebfb2# - Линк за сваляне
  • Дарение

×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване