Skocz do zawartości

CryptoWall 3.0 - Komunikaty i dziwne pliki w folderach


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Niestety mam bardzo niedobre wieści - tu jest CryptoWall 3.0 - infekcja szyfrująca dane. Opis infekcji: KLIK. Odszyfrowanie danych jest niemożliwe, ani nie da się ich nawet odzyskać za pomocą programów do odzyskiwania danych, gdyż CryptoWall w nowszych wersjach wykonuje tzw. "bezpieczne usuwanie danych" nadpisując miejsca na dysku.

 

 

Moja ingerencja będzie ograniczona tylko do usuwania infekcji. Logi z przestarzałego OTL nie są już obowiązkowe (usuwam), przecież zasady działu są już od dawna zaktualizowane. Posługujesz się starym FRST:

 

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 24-01-2015 01 (ATTENTION: ====> FRST version is 28 days old and could be outdated)

 

Ten program jest tak często aktualizowany (czasami wręcz dzień po dniu, lub kilka wersji w ten sam dzień), że wymagane pobieranie za każdym razem od nowa. Proszę pobierz najnowszą wersję i zrób nowe raporty (wszystkie trzy): KLIK.

Odnośnik do komentarza

Zaszyfrowane dane raczej nie powinny wyciec nigdzie, a zmian haseł na pewno nie wykonuj teraz, gdy działa infekcja. A jest tu spora kolekcja, nie tylko CryptoWall, ale także Sathurbot, Ropest i inne. Poza tym, ale to już szczegół w kontekście szyfratora danych, jest adware i malware w Firefox + adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompletna reinstalacja Chrome. Pytanie: czy Vidalia Bundle z Torem to Twoja celowa instalacja?

 

Zaczynamy:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll ()
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [Ocpics] => C:\Users\Kuba\AppData\Local\Ocpics\tmpF3F4.exe [264472 2015-02-17] (The Eraser Project )
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [Oprzics] => regsvr32.exe C:\Users\Kuba\AppData\Local\Oprzics\ASMga215A.dll 
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [usnzmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Kuba\AppData\Local\Ocpics\DataCD.dll
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [fsutil] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\fsutil.exe"
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [GoogleUpdate] => C:\Users\Kuba\AppData\Roaming\FrameworkUpdate\GoogleUpdate.exe [120320 2015-02-21] ()
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [autoconv] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\autoconv.exe"
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [wecutil] => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe [168448 2014-03-04] ()
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [5555y555] => C:\Users\Kuba\AppData\Roaming\5555y555.exe [801792 2015-02-22] (Cortado AG)
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [wecutil] => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe [168448 2014-03-04] ()
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\CurrentVersion\Windows: [Load] C:\Users\Kuba\LOCALS~1\Temp\ccceoh.exe 
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Policies\Explorer: [Run] "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe"
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Command Processor: "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" 
HKU\S-1-5-18\...\RunOnce: [Del13882996] => cmd.exe /Q /D /c del "C:\windows\TEMP\0.del" 
HKU\S-1-5-18\...\RunOnce: [Del19802392] => cmd.exe /Q /D /c del "C:\windows\TEMP\0.del" 
Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\autoconv.lnk
Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fsutil.lnk
Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wecutil.lnk
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File
FF Plugin-x32: @adobe.com/FlashPlayer -> C:\windows\system32\Macromed\Flash\NPSWF32.dll No File
FF Plugin-x32: @java.com/DTPlugin -> C:\Program Files (x86)\Java\jre6\bin\npDeployJava1.dll No File
FF Plugin-x32: @pandasecurity.com/activescan -> C:\Program Files (x86)\Panda Security\ActiveScan 2.0\npwrapper.dll (Panda Security, S.L.)
CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {2B84E39A-9E12-4F6E-83E2-16F509B35920} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-3839221274-3043303846-3843884880-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe
Task: {348E0006-F45E-40B7-896B-3CC0E7297DCD} - System32\Tasks\wecutil => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe [2014-03-04] ()
Task: {35A5B8FB-2838-418A-940A-234A8C682D8A} - System32\Tasks\{57B4245E-7230-476F-AAA1-0A63869F6E05} => C:\HP Universal Print Driver\PCL5 v5.2.6.9321\win_xp_vista\Install.exe
Task: {64FF4900-DF11-47A9-B1DC-A3A404CEF770} - System32\Tasks\{185500A7-E25E-4606-922A-BB38B5B4BE68} => pcalua.exe -a C:\Users\Kuba\Downloads\SetupDWGTrueView2012_32bit.exe -d C:\Users\Kuba\Downloads
Task: {7BFE18D4-D541-4845-9469-A549DB101C18} - System32\Tasks\{E05F641C-C744-42F9-A595-57D3B8BDA61F} => C:\HP Universal Print Driver\PCL5 v5.2.6.9321\win_xp_vista\Install.exe
Task: {839EFA3E-9D7E-4C74-8B12-3FFCC3A51802} - System32\Tasks\{536E68D4-F40B-4225-80B0-CFFCFE1DF58B} => pcalua.exe -a C:\Users\Kuba\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor
Task: {9DE88BAB-3699-4BEF-A16A-7B31155264A4} - System32\Tasks\{9F77A418-EA46-426E-9B32-36D8D5D93AFF} => C:\HP Universal Print Driver\PCL5 v5.2.6.9321\win_xp_vista\Install.exe
Task: {AC1E29C2-10F7-4454-B3FA-48266A31CB98} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-3839221274-3043303846-3843884880-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe
Task: {DCE64F9D-2E6B-4337-B1E1-C5AEB6944A40} - System32\Tasks\{F77D6037-6CD4-4292-83FE-7AE0DD1FB09A} => pcalua.exe -a E:\setup.exe -d E:\
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S1 ujtzlwkw; \??\C:\windows\system32\drivers\ujtzlwkw.sys [X]
C:\ProgramData\@system3.att
C:\ProgramData\@system.temp
C:\ProgramData\kjhy64.txt
C:\ProgramData\systemskey.ini
C:\ProgramData\Microsoft\Secure
C:\Users\Kuba\AppData\Local\Ocpics
C:\Users\Kuba\AppData\Local\Oprzics
C:\Users\Kuba\AppData\Roaming\麽鎒駓覜
C:\Users\Kuba\AppData\Roaming\5555y555.exe
C:\Users\Kuba\AppData\Roaming\Gadu-Gadu 10
C:\Users\Kuba\AppData\Roaming\FrameworkUpdate
C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate
C:\Users\Kuba\Downloads\yet_another_cleaner_munbd.exe
C:\windows\system32\Drivers\etc\hosts.txt
Hosts:
CMD: del /q /s C:\HELP_DECRYPT.*
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent Packages" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt zapisz obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Operacje z przeglądarkami:

- Z Google Chrome wyeksportuj tylko zakładki. Odinstaluj przeglądarkę. Przy deinstalacji zaznacz Usuń także dane przeglądarki.

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.

 

3. Zrób nowy log FRST z opcji Scan (zaznacz ponownie Addition) oraz GMER. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Odpowiedz na pytanie czy Vidalia z Torem to była celowa świadoma instalacja, bo nie mam pewności czy szyfrator tego nie zamontował.

 

Niestety infekcja jest oporna, nie wszystko się usunęło i już nastąpiły rekonstrukcje. Mam też podejrzenie, że tu jest jakiś rootkit do kompletu, poprzednio GMER zaciemniony działaniem licznych procesów infekcji i miałam porównać ile aktywności się ulotni po usunięciu widocznych procesów startowych. Miałeś tylko odinstalować Google Chrome i nie instalować ponownie, a tu widzę że przeglądarka jest na miejscu i padł na łeb plan doczyszczania - nie mogę już zrobić tego co było pierwotnie planowane.

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Task: {10B77EDF-C057-403D-A743-CAC4B85058EA} - System32\Tasks\wecutil => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [wecutil] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe"
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [79m1gM3g] => C:\Users\Kuba\AppData\Roaming\79m1gM3g.exe [801792 2015-02-22] (Cortado AG)
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Policies\Explorer: [Run] "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe"
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Command Processor: "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" 
Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wecutil.lnk
C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate
C:\Users\Kuba\AppData\Roaming\79m1gM3g.exe
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt (tym razem nie musisz już robić akcji z UTF-8) i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt.

 

2. Uruchom Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, przyznaj Skip i tylko log zaprezentuj.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

tak jak wspominałem wcześniej tor i Vidalia Bundle to moja inicjatywa.

jeśli chodzi o kaspersky to ani strona domowa ani po linku się nie otwiera, na żadnej przeglądarce. 

załączam logi

 

moje uwagi: dziwna sprawa z niektórymi stronami, np. ta z kasperskym czy fb nie ładują się w ogóle, a jak sie ładują to nie wszystkie elementy się wyświetlają. Reszta stron działa szybko i bez zarzutu. Tak jakby były blokowane

Addition.txt

Fixlog.txt

FRST.txt

Odnośnik do komentarza

tak jak wspominałem wcześniej tor i Vidalia Bundle to moja inicjatywa.

Dopisałeś tę informację w którymś momencie, nie widziałam tego wcześniej w poście.

 

 

jeśli chodzi o kaspersky to ani strona domowa ani po linku się nie otwiera, na żadnej przeglądarce.

Infekcja blokuje. Infekcja nie chce się w ogóle usunąć i cały czas powraca. Kolejne podejście:

 

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
Task: {10B77EDF-C057-403D-A743-CAC4B85058EA} - System32\Tasks\wecutil => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [wecutil] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe"
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [K79gM] => C:\Users\Kuba\AppData\Roaming\K79gM.exe [801792 2015-02-22] (Cortado AG)
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Policies\Explorer: [Run] "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe"
HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Command Processor: "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" 
Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wecutil.lnk
C:\Users\Kuba\AppData\Roaming\*.exe
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny, powstanie kolejny fixlog.txt.

 

2. Sprawdź czy możesz pobrać i uruchomić TDSKiller. Zrób też nowy log FRST z opcji Scan (z Addition) i dołącz fixlog.txt.

Odnośnik do komentarza

z moich obserwacji wynika że wirus poczynił straszne szkody na komputerze. nie otwierają się: plik pdf, word, excell, pliki mp3, jpg i film

Bardzo mi przykro, nie jestem w stanie zaradzić na zaszyfrowane dane.

 

Czy nadal jest problem z pobraniem Kasperskiego? Poproszę też o kolejne szukanie w rejestrze, gdyż malware mogło startować także z innych ścieżek nie skanowanych przez FRST. Uruchom FRST, w polu Search wklej:

 

IEUpdate

 

Klik w Search Registry i przedstaw wynikowy log.

Odnośnik do komentarza

Tak się zastanawiam czy nie wystarczy na nowo przeinstalować programy odpowiedzialne za ich otwieranie (pakiet office)

Nie wiem czy dobrze rozumiem. Ty chcesz przeinstalować Office, by ... otworzyć zaszyfrowane pliki? Po zaszyfrowaniu pliki są martwe i nieotwieralne, jedyne co z nimi można zrobić to je usunąć.... Listę zaszyfrowanych plików powinien podać ListCWall.

 

 

co do kasperskiego to: "Strona internetowa jest niedostępna"

Odpowiedz na zaległe pytania:

 

Czy na pewno odinstalowałeś przez Panel sterowania filtr stron Polipo? Czy w konfiguracji przeglądarki jest ustawione jakieś proxy?

 

Szukanie FRST ujawniło kolejne wpisy infekcji. Kolejna porcja działań:

 

1. Otwórz Notatnik i wklej w nim:

 

Reg: reg delete "HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\Control Panel\Desktop" /v SCRNSAVE.EXE /f
Reg: reg delete "HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\97fd52bd_0" /f
CMD: netsh advfirewall reset
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

p.s.2 "Czy w konfiguracji przeglądarki jest ustawione jakieś proxy?" nie wiem jak to sprawdzic

Chodzi o sprawdzenie w opcjach przeglądarek ustawień połączenia. Pobierz TDSSKiller tymczasowo przehostowany na innym serwisie: KLIK

 

 

czyli mam rozumiec że straciłem wszystkie pliki (te które wymieniłem) bezpowrotnie? zdjęcia, dokumenty itd ?????

Wróć do opisu CryptoWall 3.0, który podałam na początku, chyba go nie przeczytałeś, skoro wpadł Ci do głowy pomysł z "przeinstalowaniem Office".

 

1. Pliki są zaszyfrowane i brak dekodera (nie jest możliwe stworzenie go, nie jest możliwe złamanie szyfrowania w domowych warunkach).

 

2. Infekcja wykonuje również specjalne operacje uniemożliwiające odzysk poprzednich niezaszyfrowanych wersji:

- "Bezpieczne usuwanie" oryginałów przy zastępowaniu zaszyfrowanymi kopiami, by zapobiec odzyskowi plików za pomocą programów typu PhotoRec i innych recovery.

- Usuwanie punktów Przywracania systemu (dotyczy tylko dysku C, domyślnie Przywracanie nie jest czynne dla innych dysków niesystemowych). Pliki "HELP_DECRYPT" powstały 21 lutego, ale infekcja i proces szyfrowania były w toku znacznie wcześniej, tylko nie byłeś tego świadomy, bo widoczność elementów z żądaniem okupu to już faza, gdy szyfrowanie się w pełni dokonało. Początkowo dostępne punkty przywracania z 17 i 19 to były prawdopodobnie punkty utworzone już po likwidacji przez infekcję starszych, a obecnie i tak już ich nie ma.

 

Jeśli dane zostały zaszyfrowane, nie ma innego ratunku niż kopia zapasowa. Jeśli jej nie posiadasz, pliki zostały utracone. Sprawdź co widzi ListCWall - wszystko co wykryje program zostało utracone. ListCWall może nic nie pokazać, jeśli jakiś skaner usunął z rejestru flagę infekcji, ale pliki zaszyfrowane i tak rozpoznasz - nie da się ich otworzyć.

Odnośnik do komentarza

Kolejna porcja zadań:

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [Vidalia] => "C:\Program Files (x86)\Vidalia Bundle\Vidalia\vidalia.exe"
Tcpip\..\Interfaces\{0DE42E25-054D-425F-BC86-59392B66E805}: [NameServer] 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8
Tcpip\..\Interfaces\{3C6BEDAC-295D-4CCA-B7C0-D29B9025112B}: [NameServer] 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8,192.168.1.1
Tcpip\..\Interfaces\{CB5D6BA0-94D2-4A97-8CF9-B104A9ECE634}: [NameServer] 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8
Tcpip\..\Interfaces\{FEAE69A1-3628-4C7C-A8F7-4A9567B1A7A2}: [NameServer] 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8
CMD: netsh winsock reset
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, powstanie kolejny fixlog.txt - przedstaw go.

 

2. Ustaw DNS Windows (dla każdego z połączeń z osobna): KLIK. Wybierz opcję "Uzyskaj automatycznie".

 

3. Uruchom Malwarebytes Anti-Malware (przy instalacji odznacz trial) i wykonaj pełne skanowanie systemu. Jeśli coś znajdzie, dostarcz raport.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...