Skocz do zawartości

Zaszyfrowany komputer .no_ransom_more, problemy z Windows


atasuke

Rekomendowane odpowiedzi

Witam 

Mam problem z komputerem którego otrzymałem od znajomego po nie umiejętnym "raczej" . usuwaniu ransome . Zastosował Combofix oraz adcleaner komputer przestał szyfrować pliki ale działanie pozostawia wiele do życzenia.

Ja wykonałem tylko skanowanie FRST bo zniszczenia są ogromne jeżeli chodzi o dane ale chciałbym  spróbować przynajmniej przywrócić system do stanu używalności jeżeli jest to możliwe.Co sie dzieje 

nie działają przeglądarki zrywa połączenie i nie można zapisać żadnego pliku na dysku.

nie działa lewy klawisz myszy wszystko odpalam albo z klawiatury albo z prawym otwórz

utworzone jest około 6 kont użytkownika których raczej nie powinno być 

przesyłam logi z FRST :

FRST.txt

Addition.txt

Shortcut.txt

Z góry dziękuje za pomoc

 

 

 

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Na zaszyfrowane pliki nic Ci nie poradzę, to beznadziejna sprawa.

 

Cytat

Date: 2016-10-04 06:00:35.919
Description:
Podczas skanowania produktu Windows Defender wykryto program szpiegujący lub inne potencjalnie niechciane oprogramowanie.
Aby uzyskać więcej informacji, zobacz:
http://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Necurs&threatid=182438

Nazwa:Trojan:Win32/Necurs

Data jest stara, ale infekcja chyba aktualna, bo ten sam plik jest w logach.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Task: {9FBD6DFF-4D3C-4503-B0D4-5793E8DB8B16} - System32\Tasks\WspólneGummerShotgunsV2 => rundll32.exe CoxswainsMaverick.dll,main 7 1 <==== UWAGA
Task: {BE06AC68-1977-4E16-8E3D-AEBA10289204} - System32\Tasks\Encrypter => C:\Users\Wspólne\AppData\Roaming\info.exe <==== UWAGA
Task: {BFA9A593-3425-4400-AEAD-DF0C0C50E63D} - \AdobeFlashPlayerUpdate -> Brak pliku <==== UWAGA
Task: {CD4B15A7-F43A-4C09-91F4-5D67C5F48DF1} - \AdobeFlashPlayerUpdate 2 -> Brak pliku <==== UWAGA
C:\Users\Wspólne\AppData\Roaming\info.exe
FirewallRules: [TCP Query User{1A8EB08B-8AA3-43DE-935E-0D9C5340D25D}C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe
FirewallRules: [UDP Query User{179A8A3E-45F1-4ECC-86BC-AB037923F437}C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe
FirewallRules: [TCP Query User{E72491ED-C6D2-4249-9F01-5A47974C9591}C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe
FirewallRules: [UDP Query User{F9518066-B240-4F87-943B-18A0E147C6EB}C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe
C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe
FirewallRules: [TCP Query User{1FE97D91-DB11-44EB-B6F1-A26E904FBC15}C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe
FirewallRules: [UDP Query User{2EC4DAFC-9768-437D-9E68-97C2B2421F84}C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe
FirewallRules: [TCP Query User{032F8899-3B00-481C-9789-916CEC6DE0BE}C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe
FirewallRules: [UDP Query User{011C9C67-92F4-45C3-A614-D56B74431DCF}C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe
C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe
FirewallRules: [TCP Query User{4089706E-1EA7-4F1A-B4B4-3A86ECFFB6EF}C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe] => (Block) C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe
FirewallRules: [UDP Query User{45BF246B-E32D-42DD-9A2B-8AD0698A355B}C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe] => (Block) C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe
FirewallRules: [TCP Query User{988E9588-8394-410E-B096-BCE93BC82904}C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe] => (Block) C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe
FirewallRules: [UDP Query User{91D6EC54-9A43-4900-A42D-41EE0D1135F8}C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe] => (Block) C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe
C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe
FirewallRules: [TCP Query User{538562CD-6A03-418D-9C20-EC51C95499AF}C:\users\wspólne\appdata\local\{8aa02751-5d3a-4f5d-2fcb-5edf0fb6e357}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{8aa02751-5d3a-4f5d-2fcb-5edf0fb6e357}\syshost.exe
FirewallRules: [UDP Query User{E501FFCD-F41C-494C-84D2-84EE686936D7}C:\users\wspólne\appdata\local\{8aa02751-5d3a-4f5d-2fcb-5edf0fb6e357}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{8aa02751-5d3a-4f5d-2fcb-5edf0fb6e357}\syshost.exe
C:\users\wspólne\appdata\local\{8aa02751-5d3a-4f5d-2fcb-5edf0fb6e357}\syshost.exe
HKLM\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
HKU\S-1-5-21-31920782-221104248-2988025778-1007\...\Run: [Akgworks] => C:\Windows\System32\regsvr32.exe C:\Users\Wspólne\AppData\Local\Ozics\qwhnehzk.dll <==== UWAGA
HKU\S-1-5-21-31920782-221104248-2988025778-1007\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\Wspólne\AppData\Local\Ozics\mtcqawpc.dll UWAGA
ShortcutTarget: HP Button Manager.lnk -> C:\Program Files\Hewlett-Packard\HP Webcam HD 2300 Software\BM.exe (Brak pliku)
Startup: C:\Users\Wspólne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\C.lnk [2017-07-15]
ShortcutTarget: C.lnk -> C:\Users\Wspólne\AppData\Roaming\eeTclu3CLG.exe (Brak pliku)
Startup: C:\Users\Wspólne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Milouz95.vbs [2016-06-21] ()
Startup: C:\Users\Wspólne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\z.lnk [2017-08-31]
ShortcutTarget: z.lnk -> C:\Users\Wspólne\AppData\Roaming\eeMVenw5E9.exe (Brak pliku)
StartMenuInternet: Google Chrome.S23TS2ZOPWMXNL7TUOPE46KXZM - C:\Users\Kasiuleńka\AppData\Local\Google\Chrome\Application\chrome.exe
S3 catchme; \??\C:\Users\WSPLNE~1\AppData\Local\Temp\catchme.sys [X] <==== UWAGA
S3 eapihdrv; \??\C:\Users\WSPLNE~1\AppData\Local\Temp\ehdrv.sys [X] <==== UWAGA
2018-10-22 10:36 - 2018-10-22 10:36 - 000000215 _____ C:\Users\Dżony\AppData\Local\How Recovery Files.txt
2018-10-22 10:30 - 2018-10-22 10:30 - 000000215 _____ C:\Users\Dżony\AppData\LocalLow\How Recovery Files.txt
2018-10-22 10:28 - 2018-10-22 10:28 - 000000215 _____ C:\Users\Wspólne\AppData\Local\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Public\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Public\Documents\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Dżony\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Dżony\Documents\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Dżony\Desktop\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:47 - 000000215 _____ C:\ProgramData\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:28 - 000000215 _____ C:\Users\Dżony\Downloads\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:28 - 000000215 _____ C:\Users\Dżony\AppData\Roaming\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:27 - 000000215 _____ C:\Users\Wspólne\AppData\LocalLow\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:27 - 000000215 _____ C:\Users\Public\Downloads\How Recovery Files.txt
2018-10-22 10:19 - 2018-10-22 10:19 - 000000215 _____ C:\Users\Wspólne\AppData\Roaming\How Recovery Files.txt
2018-10-22 10:16 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Wspólne\Desktop\How Recovery Files.txt
2018-10-22 10:03 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Wspólne\Documents\How Recovery Files.txt
2018-10-22 10:02 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Wspólne\Downloads\How Recovery Files.txt
2018-10-22 10:01 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Wspólne\How Recovery Files.txt
C:\ProgramData\msvrdu.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MH_Kart_Thunder\Manual.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MH_Kart_Thunder\Play MH_Kart_Thunder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MH_Kart_Thunder\Uninstall MH_Kart_Thunder.lnk
CustomCLSID: HKU\S-1-5-21-31920782-221104248-2988025778-1007_Classes\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InprocServer32 -> C:\Users\Wspólne\AppData\Local\Ozics\mtcqawpc.dll => Brak pliku
ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files\AIMP\System\aimp_menu32.dll -> Brak pliku
C:\Users\Wspólne\AppData\Local\Ozics
ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files\AIMP\System\aimp_menu32.dll -> Brak pliku
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Brak pliku
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Brak pliku
FolderExtensions: [ShellFolder for CD Burning] -> {fbeb8a05-beee-4442-804e-409d6c4515e9} => C:\Users\Wspólne\AppData\Local\Ozics\mtcqawpc.dll -> Brak pliku
Task: {99E94889-92A8-43D0-A227-37C8D61FE961} - System32\Tasks\AdwCleaner_onReboot => E:\adwcleaner_7.2.4.0.exe [2018-10-29] (Malwarebytes)
ShortcutWithArgument: C:\Users\Wspólne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...