Crypt0L0cker - zablokowane pliki

[groniulek22]

Witam, proszę o sprawdzenie logów.
Problemem jest infekcja przez otwarcie nie tego załącznika co trzeba - Crypt0L0cker.

 

Podsyłam logi:

 

 

Z góry serdecznie dziękuję za odpowiedź

FRST.txtPobieranie informacji ...

Addition.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

GMER.txtPobieranie informacji ...

[picasso]

"Crypt0L0cker" to nowy wariant TorrentLocker: KLIK. Odszyfrowanie plików nie jest możliwe.

 

Wg raportów infekcja per se została już czymś usunięta. Jedyne co jest w mojej mocy, to usunięcie pozostałych śladów infekcji z systemu (masowe pliki DECRYPT_INSTRUCTIONS.* + zaszyfrowane kopie *.encrypted) oraz innych śmieci (są obiekty adware). Jeśli sprawa nadal aktualna:

 

1. Deinstalacje:

 

----> Przez Panel sterowania odinstaluj:

 

- Adware: iLivid, Movies Toolbar for Firefox (Dist. by Bandoo Media, Inc.), Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.), omiga-plus uninstall, Torch.

- Stare wersje i zbędniki: Adobe Shockwave Player, Java™ 6 Update 15 (64-bit), Java™ 6 Update 21, Java™ SE Development Kit 6 Update 15 (64-bit), McAfee Security Scan Plus.

 

----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
IFEO\browsemngr.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browsermngr.exe: [Debugger] tasklist.exe
IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe
IFEO\cltmngsvc.exe: [Debugger] tasklist.exe
IFEO\delta babylon.exe: [Debugger] tasklist.exe
IFEO\delta tb.exe: [Debugger] tasklist.exe
IFEO\delta2.exe: [Debugger] tasklist.exe
IFEO\deltainstaller.exe: [Debugger] tasklist.exe
IFEO\deltasetup.exe: [Debugger] tasklist.exe
IFEO\deltatb.exe: [Debugger] tasklist.exe
IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe
IFEO\iminentsetup.exe: [Debugger] tasklist.exe
IFEO\rjatydimofu.exe: [Debugger] tasklist.exe
IFEO\sweetimsetup.exe: [Debugger] tasklist.exe
IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe
AppInit_DLLs: C:\PROGRA~3\Wincert\WIN64C~1.DLL => C:\PROGRA~3\Wincert\WIN64C~1.DLL File Not Found
AppInit_DLLs: C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll => C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll File Not Found
HKLM\...\AppCertDlls: [x86] -> C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll 
HKLM\...\AppCertDlls: [x64] -> C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll 
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Adobe Photo Downloader] => "C:\Program Files (x86)\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
ShortcutWithArgument: C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX
ShortcutWithArgument: C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX
ShortcutWithArgument: C:\Users\Sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms}
HKU\S-1-5-21-2276001092-626760555-1109151234-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX
HKU\S-1-5-21-2276001092-626760555-1109151234-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX
URLSearchHook: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 - (No Name) - {87d5d709-40f2-48a7-8f47-7bb821af70ab} - No File
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms}
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms}
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> {C733E0BE-0ADF-4AC9-BC07-3D044A797762} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN41641281112939549&UM=1
BHO-x32: No Name -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> No File
Toolbar: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
Toolbar: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> No Name - {87D5D709-40F2-48A7-8F47-7BB821AF70AB} - No File
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\firefox.cfg [2015-04-21] 
R2 TorchCrashHandler; C:\Users\Sylwia\AppData\Local\Torch\Update\TorchCrashHandler.exe [1217032 2014-10-29] (TorchMedia Inc.) 
S2 DatamngrCoordinator; C:\Program Files (x86)\Movies Toolbar\Datamngr\DatamngrCoordinator.exe [X]
S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X]
S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] 
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X]
S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X]
Task: {5097392E-DD1C-4372-ACE2-4E1B2C5119B5} - System32\Tasks\DVDAgent => c:\Program Files (x86)\Hewlett-Packard\Media\DVD\DVDAgent.exe
Task: {CB2DDD60-30F5-40BF-AB1D-A1501E1D3514} - System32\Tasks\{0311E9AF-D466-4180-A452-C4128DEC5CC8} => pcalua.exe -a "C:\Instalki\Autorun exe 669 kb\InstMsiW.exe" -d "C:\Instalki\Autorun exe 669 kb"
Task: {CC682861-B271-4ACA-8466-D73446F1C2A3} - System32\Tasks\FoxTab => C:\Users\Sylwia\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE 
Task: {D4BFBA55-AA55-499F-A9D0-C11C081377CF} - System32\Tasks\{096D8D83-4CC6-40C9-A084-C347BC510563} => pcalua.exe -a C:\Instalki\avira_antivir_personal_en.exe -d C:\Users\Sylwia\Desktop
Task: {F9A1D246-37C2-46E8-A35A-2A2C7EAC2B3A} - System32\Tasks\{770D2E1F-A600-449B-8825-ECDE3B9BDE1C} => c:\program files (x86)\opera\opera.exe
Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Sylwia\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE 
C:\Program Files (x86)\Avira
C:\Program Files (x86)\Movies Toolbar
C:\ProgramData\*.log
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\ProgramData\lsass.exe
C:\ProgramData\Avira
C:\ProgramData\TorchCrashHandler
C:\ProgramData\ykesecizacubipyv
C:\ProgramData\Microsoft\Windows\GameExplorer\{b6602113-b3c7-45a1-a9f3-d54cfd381d30}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\HP Advisor\AdvisorVideo.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET\ESET NOD32 Antivirus\Dokumentacja.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET\ESET NOD32 Antivirus\Umowa Licencyjna.lnk
C:\Users\Public\Desktop\Avira.lnk
C:\Users\Sylwia\Autorun.exe
C:\Users\Sylwia\wrar393pl.exe
C:\Users\Sylwia\AppData\Local\tmp*.*
C:\Users\Sylwia\AppData\Local\Google
C:\Users\Sylwia\AppData\Local\Torch
C:\Users\Sylwia\AppData\Roaming\Avira
C:\Users\Sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\iLivid.lnk
C:\Users\Sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Torch.lnk
C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\iLivid.lnk
C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Torch.lnk
C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Torch
C:\Users\Sylwia\Desktop\Pierdołasy\Adobe Photoshop Album Starter Edition 3.0.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\Continue WinZip Installation.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\DSCN2667 — skrót.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\iLivid.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\McAfee Security Scan Plus.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\OpenFM.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\Opera.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\Panopticon Path of Reflections.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\PhotoScape.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\Rzeźnik MPEG'ów .lnk
C:\Users\Sylwia\Desktop\Pierdołasy\Sweet Home 3D.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\VoxBox 2.52.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\WildTangent Games App - hp.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\WinZip.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\FIRMA\Baza firm — skrót.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\FIRMA\witraże\* — skrót.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\FIRMA\głowica\* — skrót.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\DSCN1794 - Kopia — skrót.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\eMule.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\Gadu-Gadu 10.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\list — skrót (2).lnk
C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\list — skrót.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\Wolfenstein (Single Player).lnk
C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\oferty\Nowy folder\AGAD EXCEL\Nowy Dokument programu Microsoft Office Word — skrót.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\Wycięte\OpenFM.lnk
C:\Users\Sylwia\Desktop\Pierdołasy\Wycięte\The Sims™ 3.lnk
C:\Users\Sylwia\Pictures\Google Chrome.lnk
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\found.000
RemoveDirectory: C:\Users\TEMP
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f
CMD: netsh advfirewall reset
CMD: attrib -h -s C:\DECRYPT_INSTRUCTIONS.* /s
CMD: attrib -h -s D:\DECRYPT_INSTRUCTIONS.* /s
CMD: del /q /s C:\DECRYPT_INSTRUCTIONS.*
CMD: del /q /s D:\DECRYPT_INSTRUCTIONS.*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso