Infekcja UKASH ( Weelsof, ransomware )
Charakterystyczny obrazek
( Proszę się nie sugerować opisem usuwania jaki jest opisany na wp.pl - jest on błędny )
1. (Działają tryby awaryjne) Utworzenie wpisu w autostarcie i folderów w C:\ProgramData( losowy plik i sygnatura ) co w logu z OTL będzie widoczne jako np.:
O4 - HKCU..\Run: [iamdfoyionnrfzi] C:\ProgramData\iamdfoyi.exe (Sharkoon) [2012-08-23 19:02:52 | 000,141,824 | ---- | C] (Sharkoon) -- C:\ProgramData\iamdfoyi.exe [2012-08-23 19:02:53 | 000,000,000 | ---D | C] -- C:\ProgramData\dnalnhkoougcqjh [2012-08-23 19:02:53 | 000,078,030 | ---- | M] () -- C:\ProgramData\yfcmoysbwjfdtil
- Procedura usuwania polega na utworzeniu skryptu w OTL'u, który zostanie wykonany przez poszkodowaną osobę, lub zlokalizowanie i ręczne usunięcie plików.
O4 - HKLM..\Run: [Wpc] C:\Documents and Settings\Zioberki\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1017\Wpc.exe ()
- Procedura usuwania polega na utworzeniu skryptu w OTL'u, który zostanie wykonany przez poszkodowaną osobę, lub zlokalizowanie i ręczne usunięcie pliku.
O20 - HKU\Mama_i_Tata_ON_C Winlogon: Shell - (C:\Documents and Settings\Mama i Tata\Dane aplikacji\msconfig.dat) - C:\Documents and Settings\Mama i Tata\Dane aplikacji\msconfig.dat ()
- Procedura usuwania polega na utworzeniu skryptu w OTL'u, który zostanie wykonany przez poszkodowaną osobę.
O4 - Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation) C:\ProgramData\lsass.exe C:\ProgramData\ism_0_llatsni.pad
- Procedura usuwania polega na utworzeniu skryptu w OTL'u, który zostanie wykonany przez poszkodowaną osobę.
Użytkownik pawel315 edytował ten post 28 12 2014 - 19:55
poprawa linków