maciek1938 Opublikowano 16 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Witam. Mam problem. Od wczoraj mam zainfekowanego kompa wirusem który zaszyfrował mi bardzo dużo plików na komputerze. Na pulpicie ustawiła mi się tapeta z takim napisem:Attention! Your computer was attacked by virus-encoder .All your files are encrypted cryptographically strong, without the original key recovery is impossible!To get the decoder and the original key, you need to write us at the e-mail fud@india.com with the subject “encryption” stating your id.Write on the case, do not waste your and our time on empty threats.Responses to letters onlyappropriate people are not adequate ignore.fudx@lycos.comAvast nie wykrył mi tego wirusa. Kompletnie nie wiem co zrobić zeby się pozbyć tego dziadostwa i przywrócić zaszyfrowane pliki. Na googlach jest dość mało informacji o tym wirusie.W załączniku przesyłam logi z programu FRST. Bardzo proszę o pomoc Shortcut.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 17 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 17 Kwietnia 2015 Niestety "fud@india.com" to jest kolejny wariant szyfratora "decode@india.com" (KLIK), do którego nie ma dekodera i nie jest możliwe odszyfrowanie plików... Infekcja jest aktywna, więc zajmę się jej usuwaniem, ale zaszyfrowane dane to sprawa która jest nie do rozwiązania, jeśli nie posiadasz kopii zapasowej cennych danych. Poboczne problemy: źle doczyszczone komponenty adware oraz ślady używania SpyHunter (to wątpliwy program z czarnej listy!). W kwestii usuwania infekcji per se i reszty problemów: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Documents and Settings\Maciek\Menu Start\Programy\Autostart\16B.tmp () Startup: C:\Documents and Settings\Maciek\Menu Start\Programy\Autostart\sign.bmp () R1 tStLibG; C:\WINDOWS\System32\drivers\tStLibG.sys [55232 2014-04-16] (StdLib) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] R3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-1229272821-789336058-1801674531-1003\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x5F000000 HKU\S-1-5-21-1229272821-789336058-1801674531-1003\...\Policies\Explorer: [] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420993831&from=cor&uid=SAMSUNGXHD252HJ_S17HJDWQA06107" CHR HKLM\...\Chrome\Extension: [aaaaojmikegpiepcfdkkjaplodkpfmlo] - C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\APN\GoogleCRXs\apnorjtoolbar.crx [Not Found] CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKU\S-1-5-21-1229272821-789336058-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420993831&from=cor&uid=SAMSUNGXHD252HJ_S17HJDWQA06107&q={searchTerms} SearchScopes: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=CFF8E933-8E17-4C7D-8158-65C2CF33152E&apn_sauid=9AC4230A-F7C9-449D-BFE5-7BA08C1F44B2 SearchScopes: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=CFF8E933-8E17-4C7D-8158-65C2CF33152E&apn_sauid=9AC4230A-F7C9-449D-BFE5-7BA08C1F44B2 SearchScopes: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Toolbar: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{7027C693-118E-487F-8C19-D2869A5E62CE} C:\Documents and Settings\Maciek\daemonprocess.txt.id-7656544852_fudx@lycos.com C:\Documents and Settings\Maciek\Dane aplikacji\Babylon C:\Documents and Settings\Maciek\Dane aplikacji\sign.bmp C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Maciek\Moje dokumenty\Optimizer Pro C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Program Files\Enigma Software Group C:\Program Files\Malwarebytes Anti-Malware C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\455F074C814E4520B69B5584BD90400C.TMP C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\drivers\tStLibG.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Maciek\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Jeśli po powyższym usywaniu tło Pulpitu zrobi się "puste", wejdź do opcji ustawiania tapety i wybierz dowolny niezaszyfrowany obraz. 3. Przez Dodaj/Usuń programy odinstaluj stare wersje i zbędniki: Java 7 Update 45, McAfee Security Scan Plus. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus oraz niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
maciek1938 Opublikowano 17 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 17 Kwietnia 2015 bardzo dziękuje za dotychczasowa pomoc, przesyłam nowy plik FRST.txt i Fixlog.txt jednocześnie prosząc o dalszą rade. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 5 Maja 2015 Zgłoś Udostępnij Opublikowano 5 Maja 2015 Poprzednie zadania wykonane. Ważne zaszyfrowane dane skopiuj na jakiś izolowany nośnik, szans na odszyfrowanie obecnie brak, ale na wszelki wypadek to zrób. Będę masowo usuwać wszystkie pliki z sufiksami *_fudx@lycos.com: Otwórz Notatnik i wklej w nim: CMD: attrib -r -h -s C:\*_fudx@lycos.com /s CMD: del /q /s C:\*_fudx@lycos.com HKLM\...\Run: [GEST] => = HKLM\...\Run: [Disc Detector] => C:\Program Files\Creative\ShareDLL\CtNotify.exe HKLM\...\Run: [CTAvTray] => C:\Program Files\Creative\SBLive\Program\CTAvTray.EXE C:\Documents and Settings\All Users\Dane aplikacji\APN C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\McAfee C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan C:\Documents and Settings\All Users\Dane aplikacji\Sun C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\Maciek\Dane aplikacji\PerformerSoft C:\Documents and Settings\Maciek\Dane aplikacji\Sun C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Chromium C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Lollipop C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Sun C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Program Files\Java C:\Program Files\McAfee Security Scan C:\Program Files\Mobogenie C:\Program Files\Optimizer Pro C:\Program Files\SoftEther VPN Client C:\Program Files\Common Files\Java Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
maciek1938 Opublikowano 18 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 18 Maja 2015 Dziękuje. Wykonane. Wysyłam wynikowy fixlog.txt Fixlog.txt Odnośnik do komentarza
Rekomendowane odpowiedzi