gregoryo4 Opublikowano 12 Maja 2015 Zgłoś Udostępnij Opublikowano 12 Maja 2015 Witam. Podczas sprawdzania wiadomości e-mail otworzyłem załącznik w którym był chyba zainfekowany. Po chwil wyskoczyl mi komunikat ze moje pliki zdjecia zostaly zaszyfrowane. Jak sie pozbyc infekcji i czy mozna odzyskac zaszyfrowane pliki FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Addition.txtPobieranie informacji ... gmer.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 (edytowane) "Crypt0L0cker" to nowy wariant TorrentLocker: KLIK. Odszyfrowanie plików nie jest możliwe. W mojej gestii będzie tylko usunięcie czynnej infekcji oraz pozostałych jej komponentów (masowe pliki DECRYPT_INSTRUCTIONS.* + zaszyfrowane kopie *.encrypted). Dodatkowo, w systemie jest innego typu poważne uszkodzenie - wszystkie usługi i sterowniki Microsoftu mają od góry do dołu oznaczenie braku podpisu cyfrowego, co oznacza uszkodzenie jednej z baz Usług krytptograficznych. O ile temat nadal aktualny, działania do przeprzeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1558899207-2086174334-889782467-1001\...\Run: [omuvyquf] => D:\ProgramData\exoqokut.exe [280618 2015-05-12] () BootExecute: Task: {1FB1E602-C75E-4058-A07D-F484BFE05B0A} - System32\Tasks\{5A2009E5-6320-4D3B-A0DB-B65318DCC085} => pcalua.exe -a E:\Friends2\Setup.exe -d E:\Friends2 Task: {341BCCB6-C7AF-43F9-81A7-C657AAA4A638} - System32\Tasks\{64219EC1-8128-4FB3-9570-CDD6E4F3230A} => pcalua.exe -a D:\Users\Grzegorz\Downloads\irfanview_lang_polski.exe -d "D:\Windows.old\Program Files (x86)\Mozilla Firefox" Task: {771254C5-4C59-47F7-B655-3F28CE64AB3A} - System32\Tasks\{9A78C34F-C038-4D46-BDCF-351D737B21BA} => pcalua.exe -a F:\startuj.exe -d F:\ Task: {849F1AB7-4252-48BD-96C1-A1A26574DFD7} - System32\Tasks\Norton Identity Safe\Norton Error Processor => D:\Program Files (x86)\Norton Identity Safe\Engine\2013.3.0.26\SymErr.exe Task: {9BF1D99A-1594-4B05-B002-9CD3CB538150} - System32\Tasks\{2E74451B-3AF2-474E-83F6-D22461150861} => pcalua.exe -a D:\Users\Grzegorz\Downloads\splinter_cell_chaos_theory_1.00_To_1.05_euro.exe -d "D:\Windows.old\Program Files (x86)\Mozilla Firefox" Task: {AA94ECA0-421A-410F-91FE-7ACD25C28CED} - \{FCCEDEE0-E01C-496C-8726-EE30BEA9B2C4} No Task File Task: {BFDCDE43-F85A-42D3-9444-01763F9C6AAA} - System32\Tasks\{B9EC3D08-51AB-4D83-8FC4-A52E5EF1FB2F} => pcalua.exe -a D:\Users\Grzegorz\Downloads\Sims3_1.29.55.014017_from_1.26.89.013017.exe -d "D:\Windows.old\Program Files (x86)\Mozilla Firefox" Task: {CEF68548-7B8B-4E22-929D-84FFB126103F} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => D:\Program Files (x86)\Norton Identity Safe\Engine\2013.3.0.26\SymErr.exe Task: {D0289035-C57F-4163-9794-410F559F2268} - System32\Tasks\{459348B8-5B57-4F28-8D64-9D39FAFF2EEB} => H:\start.exe Task: {E102499C-F43E-48A4-8BE4-94A2452E3F29} - \{37F04893-F64D-4A04-803F-48442CA068F6} No Task File Task: {F9784703-5FEA-4AA9-A7AE-9119E09A3570} - System32\Tasks\{DA10C2B5-B8F0-494A-8E9A-64362960C238} => pcalua.exe -a "E:\saints row 2\steam.exe" -c steam://uninstall/9480 Task: D:\Windows\Tasks\Adobe Flash Player Updater.job => Task: D:\Windows\Tasks\AutoKMS.job => Task: D:\Windows\Tasks\AutoKMSDaily.job => R2 MWAgent; D:\Program Files (x86)\Common Files\MicroWorld\Agent\MWASER.EXE [858632 2011-12-20] (MicroWorld Technologies Inc.) S3 clwvd; system32\DRIVERS\clwvd.sys [X] S3 EraserUtilDrv11220; \??\D:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11220.sys [X] S1 GLogin; No ImagePath S3 keycrypt; system32\DRIVERS\KeyCrypt64.sys [X] S3 MSI_MSIBIOS_010507; \??\D:\Program Files (x86)\MSI\Live Update 5\msibios64_100507.sys [X] S3 NTIOLib_1_0_4; \??\D:\Program Files (x86)\MSI\Live Update 5\NTIOLib_X64.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [X] U0 SR; No ImagePath U2 SRService; No ImagePath CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-1558899207-2086174334-889782467-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119887&babsrc=SP_ss&mntrId=30ED00FFEF4CC11E SearchScopes: HKU\S-1-5-21-1558899207-2086174334-889782467-1001 -> {951265FF-C6C2-4D61-8785-6091AB57CA33} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=BAFFE972-3829-48E6-BDF9-833E7EDB2B69&apn_sauid=AE9ED8C3-B03C-4847-8963-0510F9522738 FF Plugin-x32: @Bitdefender.com/PasswordManager;version=17.8 -> D:\Program Files\Bitdefender\Bitdefender\Antispam32\pmbxnp.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - D:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 D:\Program Files (x86)\Common Files\MicroWorld D:\ProgramData\{808801f6-940f-1c0f-8088-801f694007da} D:\ProgramData\{a479e98a-190a-2b2c-a479-9e98a190a628} D:\ProgramData\abekelataheficij D:\ProgramData\exoqokut.exe D:\ProgramData\hpeC2D1.dll D:\ProgramData\TEMP D:\ProgramData\Media Center Programs\DriverParallelLines.lnk D:\ProgramData\Media Center Programs\gu.lnk D:\ProgramData\Microsoft\Windows\GameExplorer\{19A1D145-1267-4D28-8A59-3D9F9F3886E9} D:\ProgramData\Microsoft\Windows\GameExplorer\{6ACBFF89-89D4-47C3-A0F3-47C3A9A5AC7E} D:\ProgramData\Microsoft\Windows\GameExplorer\{71F420AA-9315-414B-A883-CE353045E77D} D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ashampoo\Ashampoo Home Designer Pro\Manuals\Manual Ashampoo Home Designer Pro.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ashampoo\Ashampoo Home Designer Pro\Manuals\Manual Shortcuts.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Programs\New Super Mario Forever\New Super Mario Forever.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer D:\ProgramData\Microsoft\Windows\Start Menu\Programs\AP Tuner 3.08 D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Atari D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Chicken Invaders UO Polski D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Digital Image Recovery D:\ProgramData\Microsoft\Windows\Start Menu\Programs\HTC Home D:\ProgramData\Microsoft\Windows\Start Menu\Programs\OLYMPUS Camera D:\Users\Grzegorz\AppData\Local\Microsoft\Windows\GameExplorer\{55CC7FD2-42F0-41D5-82AD-0954A243B333} D:\Users\Grzegorz\AppData\Local\Microsoft\Windows\GameExplorer\{92C17B13-64D9-44D2-95B0-27C276B0A921} D:\Users\Grzegorz\AppData\Local\Microsoft\Windows\GameExplorer\{D9B56526-5886-47A5-8A78-32780D3CC589} D:\Users\Grzegorz\AppData\Local\SpaceKace D:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserProtect D:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Oddworld Abe's Oddysee D:\Users\Grzegorz\AppData\Temp D:\Users\Grzegorz\Desktop\VR-360,D-760,VR-350,D-755,VR-340,D-750 Instrukcja obsługi.lnk D:\Users\Grzegorz\Desktop\Wznów pobieranie.lnk D:\Users\Grzegorz\Downloads\SpyHunter-Installer.exe D:\Users\Public\Desktop\Your Software Deals.url D:\Windows\System32\Tasks\Norton Identity Safe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Zemana AntiLogger Free Packages" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Live Update 5" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Steam" /f CMD: netsh advfirewall reset CMD: attrib -h -s C:\DECRYPT_INSTRUCTIONS.* /s CMD: attrib -h -s D:\DECRYPT_INSTRUCTIONS.* /s CMD: attrib -h -s E:\DECRYPT_INSTRUCTIONS.* /s CMD: del /q /s C:\DECRYPT_INSTRUCTIONS.* CMD: del /q /s D:\DECRYPT_INSTRUCTIONS.* CMD: del /q /s E:\DECRYPT_INSTRUCTIONS.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Naprawa usterki Usług kryptograficznych: - Upewnij się, że nie masz zainstalowanej felernej łaty KB3004394. Jeśli w zainstalowanych aktualizacjach ona występuje, odinstaluj. - Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi