CryptoWall 3.0 - Komunikaty i dziwne pliki w folderach

[dontpanic]

zrobiłem tak jak jest napisane, ale po restarcie żaden raport sie nie wygenerował ;/ załączam fixlog i biorę się za dalsze kroki

Fixlog.txt

[picasso]

Fix wykonany pomyślnie. Czy MBAM cokolwiek znalazł? Czy nadal są problemy z łączeniem stron?

 

Teraz przeprowadź skanowanie za pomocą Hitman Pro i dostarcz wynikowy log.

[dontpanic]

odnośnie DNS, były ustawione na automatyczne wybieranie. (screen) 

ustawienie DNS, po wykonaniu polecenie "ipconfig /flushdns" dostałem odpowiedź:

"Konfiguracja IP systemu Windows 

Pomyślnie opróżniono pamiec podręczną programu rozpoznawania nazw DNS"

MBAM się nie otwiera "strona internetowa jest niedostępna"

odnośnie hitmana rozumiem, że pro 3.7 ?

[picasso]

Tak, chodzi o HitmanPro 3.7. Pozostałe to inne programy. I pytam ponownie czy to nadal występuje: "co do kasperskiego to: "Strona internetowa jest niedostępna"".

[dontpanic]

co do kasperskiego to teraz działa (w sensie mogę go po linku pobrac) ale pozostałe strony (fb, gumtree i od wczoraj gmail nie działają)

p.s nie mogę załaczyc log z hitman pro bo "Błąd Nie masz uprawnień do wysyłania tego typu plików"

 

p.s.2 zauważyłem, że nie mogę np. pobrac frst żeby zrobic raportu. widzę że jednak format C mnie czeka ;/

 

 

widzę że jednak format mnie czeka..

[pb2004]

p.s nie mogę załaczyc log z hitman pro bo "Błąd Nie masz uprawnień do wysyłania tego typu plików"

 

Zmień rozszerzenie pliku na txt to ten błąd się nie pojawi.

[dontpanic]

nie pomogło

[pb2004]

Upewnij się że w Eksploratorze Windows widzisz rozszerzenia nazw plików. Najprawdopodobniej nie widzisz ich i w rezultacie naprawdę zmieniłeś nazwę pliku na log.txt.log.

[dontpanic]

zapisałem całą treść w nowym notatniku. załączam raport

raport.txt

[picasso]

co do kasperskiego to teraz działa (w sensie mogę go po linku pobrac) ale pozostałe strony (fb, gumtree i od wczoraj gmail nie działają)

Hitman sugeruje instalację nowych śmieci. W usuwanych elementach widać m.in. szkodliwy most proxy Jelbrus Secure - tego nie było w poprzednich skanach FRST. Druga sprawa: logi FRST pochodzą z wersji 22-02-2015, to wersja która nie miała jeszcze skanu polityk IPSec. Proszę pobierz najnowszy FRST i zrób nowy skan.

 

 

EDIT:

 

leon665, proszę nie dopisuj się do cudzych tematów. Udzielam nadal pomocy, a przerwa jest dyktowana kłopotami ze zdrowiem. Odpowiadam, gdy mogę i mam czas.

[dontpanic]

też zauważyłem że jakieś nowe dziadostwo się na komputerze zainstalowało (nie tylko ja z niego korzystam) załączam screen, ten program w tekście poświetla wyrazy i robi hiperłącza,  najgorsze jest to że nawet podczas logowania do konta bankowego na przelewach takie kwiatki widac ;/

 

co do najnowszych logów, nie mogę ich pobrac. 

pojawia się błąd:

500 Internal Privoxy Error

 

p.s. szybkiego powrotu do zdrowia !!!!

[picasso]

Te hyperlinki to na pewno nowe aktywne adware. Natomiast "500 Internal Privoxy Error" pochodzi od wspominanego już szkodnika "Jelbrus Secure", który utylizuje legalny filtr Privoxy.

 

Jeśli to możliwe, pobierz najnowszy FRST z poziomu innego komputera i za pomocą pendrive go przetransportuj na ten komputer.

[dontpanic]

załączam raporty

 

co mam robic? walczyc dalej czy jednak na spokojnie formatowac ?

Addition.txt

FRST.txt

[posled]

Witam.

Od dłuższego czasu poszukuję dekodera do zakodowanych plików przez CryptoWall 3.0. Wiem że do poprzednich wersji tego wirusa są już dostępne narzędzia do rozkodowywania danych. Może ktoś z Was natknął się na coś takiego? Wiem że można przywrócić dane z kopii zapasowej ale jeśli ona nie istnieje to nie ma z czego. Jedynym i zarazem najlepszym rozwiązaniem na tego wirusa jest pełna reinstalacja systemu ze zdjęciem partycji dysku. Oczywiście dane zostaną utracone bezpowrotnie. Wyjąłem zainfekowany dysk, przeskanowałem kilkoma programami pod innym komputerem i zachowałem ważne dla mnie pliki (zakodowane niestety). Czekam teraz na pojawienie się czegoś do rozkodowania. Jeśli ktoś ma jakieś informację proszę o wiadomość. 

[picasso]

posled

 

Na przyszłość: proszę trzymaj się zasad działu. Każdy ma mieć osobny temat, mimo że problemem jest ta sama infekcja. Nie ma dekodera do CryptoWall. Zastanawia mnie też skąd informacja o dekoderze do "starszych wersji", bo nie licząc wysoko pozycjonowanych blogów z nierzetelnymi informacjami wciskającymi wątpliwy SpyHunter jako "usuwacz" i polecającymi użyć dekoder do innej infekcji (to nie działa), nie jest mi wiadome nic na temat istnienia takowego narzędzia do starszych wersji CryptoWall.

 

 

 

dontpanic

 

Tak sądziłam, problem z połączeniem ze stronami wynika z polityki IPSec wprowadzonej przez malware. W starszej wersji FRST polityka nie była skanowana:

 

HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{66f7f99a-e864-4c16-90dc-885445b72e32}

 

Ponadto jest aktywny Jelbrus Secure Web, o którym mówiłam, oraz kilka innych śmieci. Akcje do przeprowadzenia:

 

 

1. Przez Panel sterowania odinstaluj adware NetMon oraz przy okazji wszystkie stare wersje Adobe.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 Live Malware Protection; C:\windows\mlwps.exe [239104 2015-03-04] (AV Security Software) [File not signed] 
R2 PrivoxyService; C:\Program Files (x86)\Jelbrus Secure Web\privoxy.exe [371200 2015-03-07] (The Privoxy team - www.privoxy.org) [File not signed] 
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
Task: {5ECCE46D-12AC-4B29-8679-B80F178792DB} - System32\Tasks\Giga Perfect Uninstaller => C:\Program Files (x86)\PrivateVPN\gpup.exe [2015-03-04] ()
Task: {97321C05-0E82-4C01-87F1-B520F01FEB96} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {A17F9894-8E31-43AB-9A87-E91B7E2ADE04} - System32\Tasks\Malware Cleaner => C:\Users\Kuba\AppData\Roaming\65F3.tmp.exe 
Task: {F52ED5AF-2C3B-440C-B310-E6518C55342D} - System32\Tasks\Jelbrus Secure Web Task => C:\Program Files (x86)\Jelbrus Secure Web\jswtask.exe [2015-03-07] (Jelbrus) 
Task: {FB1E4864-E505-4E29-9297-93DBEB617894} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep"
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE ->
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE ->
BHO-x32: SecureWebBHO Class -> {D3C24E2B-C820-4492-9B69-11BF7163F998} -> C:\Program Files (x86)\Jelbrus Secure Web\jsie.dll [2015-03-07] (Jelbrus)
BHO-x32: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL No File
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll No File
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll No File
FF Extension: Firefox Helper - C:\Program Files (x86)\Mozilla Firefox\distribution\bundles\46e8892acb6c0d0e86909049e28d3dd5 [2015-03-07]
C:\Program Files (x86)\Jelbrus Secure Web
C:\Program Files (x86)\PrivateVPN
C:\Users\Kuba\AppData\Roaming\65F3.tmp
C:\Users\Kuba\AppData\Roaming\NetMon
C:\Windows\mlwps.exe
C:\windows\SysWOW64\temp.*
File: C:\windows\SysWOW64\tasks.dll
RemoveProxy:
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy ustąpiły problemy z ładowaniem stron i reklamami.

[dontpanic]

zanim wkleje tekst pytanie, czy nie będzie problemu skoro jakiś program poustawiał w nim hiperłącza i przez to niektóre wyrazy są pisane z dużej litery ? (załącznik)

 

pytanie nr. dwa (przepraszam, że tak rozdrabniam) pobierac nowego FRST (w sensie ktoś musi pobrac za mnie bo mi program blokuje taką opcję) czy użyc program z 12.03?

[picasso]

Wielkość liternictwa nie ma znaczenia w skryptach FRST. Ważne, by po przeklejeniu do Notatnika nie pojawiły się jakieś dodatkowe spacje. Po przeklejeniu skontroluj te słowa, które zostały zmanipulowane, i tam gdzie na stronie widać zielony znaczek w Notatniku nie ma być spacji.

 

Skorzystaj z tej wersji FRST, którą posiadasz.

[dontpanic]

problem z blokowaniem stron zniknął w 99% (gmail jeszcze nie otwiera się na chromie ale już na firefox tak)

załączam raporty

 

p.s. ten program co mi te zielone strzałki wrzuca wszędzie w treść (m.in. tam na screenie) jak się tego dziadostwa pozbyć? nie chcę zakładać nowego tematu

 

p.s. plik FRST jest za duży i nie mogę go do posta załączyć (48KB)

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Plik FRST.txt przeniosłam do załączników.

 

p.s. ten program co mi te zielone strzałki wrzuca wszędzie w treść (m.in. tam na screenie) jak się tego dziadostwa pozbyć?

Problem hiperlinków miał zostać usunięty już zadanymi działaniami... Obecnie w raportach brak jakichkolwiek oznak czynnego adware (do korekty będą tylko drobnostki), tak więc w której przeglądarce są te podkreślenia?

[dontpanic]

w google chrome

[picasso]

W raporcie FRST nie widać nic w przeglądarce Google Chrome, co nasuwa wnioski: prawdopodobnie adware zmodyfikowało / zainfekowało któryś globalny plik Google Chrome.

 

1. Powtórz krok reinstalacji z samego początku tematu:

 

- Z Google Chrome wyeksportuj tylko zakładki. Odinstaluj przeglądarkę. Przy deinstalacji zaznacz Usuń także dane przeglądarki.

Nie instaluj przeglądarki, dopóki nie zostanie wykonany punkt 2:

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {2C59BAB6-F996-4246-9258-20333B03696A} - \Jelbrus Secure Web Task No Task File 
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Google
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\extensions
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
RemoveDirectory: C:\Users\Kuba\AppData\Local\Google
CMD: del /q C:\Users\Kuba\Downloads\adwcleaner*.exe
CMD: del /q C:\Users\Kuba\Downloads\Chrome*.exe
CMD: del /q C:\Users\Kuba\Downloads\tdsskiller*.exe
CMD: del /q C:\Windows\SysWOW64\tasks.dll
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie plik fixlog.txt.

 

3. Zainstaluj najnowszą wersję Chrome: KLIK.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Zgłaszasz problem miejsca na załączniki - posłuż się wklej.org, a ja przeniosę pliki do załączników.

[dontpanic]

krok 3. (KLIK) nie jest odnośnikiem do pobrania google chrome tylko do dezynfekcja: kroki finalizujace temat. więc nie wiem czy to jest zamierzone czy może błąd w linkowaniu się wkradł ?

 

na razie google chrome nie instalowałem jeszcze

 

wszystko poszło na wklej.org ponieważ: Błąd Wysyłanie zakończone niepowodzeniem

 

http://www.wklej.org/id/1665273/

http://www.wklej.org/id/1665274/

[picasso]

krok 3. (KLIK) nie jest odnośnikiem do pobrania google chrome tylko do dezynfekcja: kroki finalizujace temat. więc nie wiem czy to jest zamierzone czy może błąd w linkowaniu się wkradł ?

Wszystko się zgadza, link podany celowo. Jest w nim ustęp Aktualizacje innych programów (Adobe Flash, Java, etc.). Tam są linki pobierania Google Chrome, wersja 32-bit lub 64-bit.

 

Zainstaluj przeglądarkę, zaimportuj zakładki, zrób nowy log FRST (bez Addition i Shortcut) - ma potwierdzić, że po reinstalacji nic się nie wstawiło np. z serwera Google.

[dontpanic]

przeglądarka zainstalowana. załączam raport:

 

http://wklej.org/id/1672645/

 

p.s. dlaczego teraz jest problem z załączeniem plików tekstowych ?

 

 

p.s. są jakieś bezpieczne strony skąd można pobrać instalke adobe reader? pytam bo przy linku "KLIK" jest tylko deinstalator

[cyrkiel85]

Jaki link "KLIK" masz na myśli?. W tym temacie masz odnośnik do pobierania Adobe Reader KLIK. Zwróć uwage przy pobieraniu na odznaczenie McAfee Security Scan Plus.

 

EDIT: Już widzę o jaki link chodziło. Przeoczyłeś po prostu odnośnik do instalatora Adobe Reader