RobertM15 Opublikowano 4 Maja 2015 Zgłoś Udostępnij Opublikowano 4 Maja 2015 Witam Wszystkich serdecznie, Niestety i mnie trafiło. Dwa dni temu nagle program antywirusowy ESED NOD32 zaczął raportować przez wyskakujące okienka wykrycie jakiegoś zagrożenia. I od razu zaczęło być widać zmianę w plikach typu .jpg, .xls, .doc .pdf na pulpicie - zostały zaszyfrowane (dostały rozszerzenie .ulikqhb). Oczywiście także wiele plików w innych lokalizacjach też jest zaszyfrowanych. W czasie infekcji do komputera był podłączony dysk zewnętrzny, na którym też część plików została zaszyfrowana :-( Wyczytałem, że nie ma szans na odszyfrowanie plików. Czy to prawda? W tej chwili wydaje się, że antywirus poradził sobie z infekcją, ponieważ nic więcej podejrzanego się nie dzieje. Tym niemniej chciałbym usunąć/być pewien, że infekcji nie mam. System to Windows XP Professional. Z góry dziękuję za pomoc. FRST.txt Addition.txt Gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 5 Maja 2015 Zgłoś Udostępnij Opublikowano 5 Maja 2015 (edytowane) Takie losowe 7 znakowe suffiksy dodaje CTB-Locker, dane są nie do odszyfrowania: KLIK. Możesz się jeszcze upewnić jaką flagę wykrywa ID Tool. Będę usuwać pliki z sufiksami *.ulikqhb, więc te istotne sobie skopiuj gdzie indziej, a reszta z czeluści systemowych zostanie skasowania poniższym skryptem. Sprawy poboczne również do wykonania. Czyli: 1. Przez Dodaj/Usuń programy odinstaluj archaizm Google Desktop. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-329068152-1284227242-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-329068152-1284227242-839522115-1003\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 SearchScopes: HKU\S-1-5-21-329068152-1284227242-839522115-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://supertoolbar.ask.com/redirect?client=ie&tb=ARS&o=15084&src=crm&q={searchTerms}&locale=en_US SearchScopes: HKU\S-1-5-21-329068152-1284227242-839522115-1003 -> {FF8821A1-C982-40C4-9910-8D0405FDAC31} URL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 Toolbar: HKU\S-1-5-21-329068152-1284227242-839522115-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin HKU\.DEFAULT: @tools.google.com/Google Update;version=3 -> C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.22.3\npGoogleUpdate3.dll [2014-02-07] (Google Inc.) FF Plugin HKU\.DEFAULT: @tools.google.com/Google Update;version=9 -> C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.22.3\npGoogleUpdate3.dll [2014-02-07] (Google Inc.) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension S2 MieszczaninHASPService; E:\ZUI Mieszczanin\Programy\KeyServer.exe [X] U2 CertPropSvc; No ImagePath C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Desktop Search" /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f CMD: netsh firewall reset CMD: attrib -r -h -s C:\*.ulikqhb /s CMD: del /q /s C:\*.ulikqhb Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Edytowane 8 Marca 2017 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi