Skocz do zawartości

Prośba o pomoc z usunieciu infekcji Eijy File Virus Ransomware


Rekomendowane odpowiedzi

Cześć Od kilku dni mam problem z komputerem, konkretnie coraz więcej plików na moim dysku staje się zakodowanych. Znalazłem w internecie że jest to złośliwe oprogramowanie kodujące pliki Eijy File Virus Ransomware , z którym nigdy wcześniej nie miałem styczności. Proszę o pomoc w pozbyciu się tego dziadostwa. Jak dotąd próbowałem tylko skanować komputer Malwarebytes ale z uwagi na to że była to tylko wersja próbna nic to nie dało. W załączniku przesyłam logi FRST. Jak coś zle zrobiłem w logach to z góry przepraszam, ponieważ dawno nie używałem tego narzędzia do diagnostyki Pozdrawiam

Addition_24-06-2022 17.16.10.txt FRST_24-06-2022 17.16.10.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Cytat

Windows Manager (HKLM-x32\...\{C845414C-903C-4218-9DE7-132AB97FDF62}) (Version: 1.0.0 - AW Manager) <==== UWAGA

Znasz ten program? Jeśli nie znasz, to go odinstaluj.

 

Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)

Spoiler

START::
HKU\S-1-5-21-4182285792-3264255131-334601476-1000\...\Run: [csrss] => C:\Windows\rss\csrss.exe [3644416 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
HKU\S-1-5-21-4182285792-3264255131-334601476-1000\...\Run: [SysHelper] => C:\Users\Kamil\AppData\Local\f7962b15-3f1f-4c39-a05c-69c4610b0ce9\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
RemoveDirectory: C:\Users\Kamil\AppData\Local\f7962b15-3f1f-4c39-a05c-69c4610b0ce9
RemoveDirectory: RemoveDirectory: C:\Windows\rss
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-19\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (Brak pliku)
HKU\S-1-5-20\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (Brak pliku)
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Policies: C:\Users\Kamil\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {00BDE897-EA23-4939-95C3-E987F711379B} - System32\Tasks\{29C86605-2C1E-45A7-99A3-8811B932D6A0} => C:\Windows\system32\pcalua.exe -a E:\DirectX\dxsetup.exe -d E:\DirectX
Task: {4519700E-9963-4BF8-9C3F-1013897A5EA4} - System32\Tasks\JetCleanLoginCheckUpdate => C:\Users\Kamil\AppData\Local\Temp\Rar$EXa4048.32585\AutoUpdate.exe /AutoRun (Brak pliku) <==== UWAGA
Task: {6266A3A5-D62D-4051-B0A6-CB362F6ED701} - System32\Tasks\Time Trigger Task => C:\Users\Kamil\AppData\Local\f7962b15-3f1f-4c39-a05c-69c4610b0ce9\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
Task: {6B71D676-1A9A-4079-8250-B327B7E3E6F3} - System32\Tasks\{00323E69-3948-45A9-8942-120C4357F9A9} => C:\Windows\system32\pcalua.exe -a "G:\Step 3 - Setup_Install_Game.exe" -d G:\
Task: {72AB5723-9EFE-4307-B776-BD1420E7B6F0} - System32\Tasks\{8E6E2C2B-FAB3-41A9-A9FE-FF2151C8314C} => C:\Windows\system32\pcalua.exe -a F:\DirectX\dxsetup.exe -d F:\DirectX
Task: {7601C551-D187-4789-8A36-B50ECF38073A} - System32\Tasks\{186E6C3D-3445-46B6-B7CA-9443CFFD5765} => C:\Windows\system32\pcalua.exe -a E:\Redist\DirectX\dxsetup.exe -d E:\Redist\DirectX
Task: {98B13FB8-50A3-4105-BA84-B1C08947CFB2} - \JetBoost_AutoUpdate -> Brak pliku <==== UWAGA
Task: {994D87B3-5A3E-4F24-B139-BE40CDF159FD} - \ByteFence -> Brak pliku <==== UWAGA
Task: {9AEC1359-9F9A-4EAF-A449-2ACADC8732E6} - System32\Tasks\Firefox Default Browser Agent BC2C850B457C3589 => C:\Users\Kamil\AppData\Roaming\thdeejb.exe (Brak pliku) <==== UWAGA
Task: {A175FE7F-D4E8-4B01-876F-0C5E54C52EBC} - System32\Tasks\{15178901-BE3B-4650-898A-A440303BF761} => C:\Windows\system32\pcalua.exe -a C:\Users\Kamil\Downloads\sketchbook_8.7.1.0_win64.exe -d C:\Users\Kamil\Downloads
Task: {A858C39E-0ECA-4CD9-86C9-BD6E990F52A7} - System32\Tasks\Service\Diagnostic => C:\Users\Kamil\AppData\Roaming\ServiceGet\Takumev.exe -> "C:\Users\Kamil\AppData\Roaming\ServiceGet\Takumev.dat" <==== UWAGA
Task: {AC5FAD14-C504-4264-A93C-E6FD6BD554D4} - System32\Tasks\AdvancedUpdater => C:\Program Files (x86)\AW Manager\Windows Manager\Windows Updater.exe [1026936 2022-05-13] (Microleaves LTD -> AW Manager) <==== UWAGA
Task: {B1CE1684-A3EA-432E-A32D-A09BFCA86AF0} - System32\Tasks\{A99FFEAA-627F-4A0A-B852-DB75E3722171} => C:\Windows\system32\pcalua.exe -a "C:\GRY\Sekiro_Shadows_Die_Twice_Repack\Step 3 - Setup_Install_Game.exe" -d C:\GRY\Sekiro_Shadows_Die_Twice_Repack
RemoveDirectory: C:\Program Files (x86)\AW Manager
Task: {B2B40D99-6C17-4D39-B825-EC360AFDDF18} - System32\Tasks\{5AF3F5BC-E9A1-4158-A1AA-1CC464D0FDF1} => C:\Windows\system32\pcalua.exe -a E:\Redist\vcredist_x86.exe -d E:\Redist
Task: {B320600A-FF53-45C4-B58D-E6AFC621A773} - System32\Tasks\{DB716B3C-4E70-42DB-AAF4-4392FFE39B19} => C:\Windows\system32\pcalua.exe -a E:\setup.exe -d E:\ -c /autorun
Task: {B7377F85-49F2-4777-B026-34F62C905D3D} - System32\Tasks\{73C991E5-2475-48DD-B19D-7C1678404AA7} => C:\Windows\system32\pcalua.exe -a E:\setup.exe -d E:\
Task: {BFBC1C5A-81B7-4C83-AD76-680B40514B76} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [3644416 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
Task: {FA182625-B92E-4EE6-8A71-64B2ADE86E38} - System32\Tasks\{E44EFE01-2713-4518-8309-40D08DBAD9BA} => C:\Windows\system32\pcalua.exe -a "C:\GRY\Battlefield_4\Step 3 - Setup_Install_Game.exe" -d C:\GRY\Battlefield_4
AutoConfigURL: [S-1-5-21-4182285792-3264255131-334601476-1000] => hxxp://35.236.159.79/win.pac <==== UWAGA
ManualProxies: 0hxxp://35.236.159.79/win.pac <==== UWAGA
FF user.js: detected! => C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\x06atlq5.default-1629573619549\user.js [2022-06-19]
FF NewTab: Mozilla\Firefox\Profiles\x06atlq5.default-1629573619549 -> hxxps://poshukach.com?fr=ps&gp=496722&altserp=1
FF SearchPlugin: C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\x06atlq5.default-1629573619549\searchplugins\Poshukach Engin Search.xml [2022-06-01]
CHR NewTab: Default ->  Not-active:"chrome-extension://kadfogmkkijgifjbphojhdkojbdammnk/newtab.html"
CHR DefaultSearchURL: Default -> hxxps://paintsearch.chromecrxstore.com/?q={searchTerms}
CHR DefaultSearchKeyword: Default -> web search
R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] () [Odmowa dostępu] <==== UWAGA
R2 WmiPrvSE; C:\Users\Kamil\AppData\Local\Temp\csrss\tor\Tor\tor.exe [4464142 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
S4 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [X]
S3 Disc Soft Lite Bus Service; "C:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe" [X]
S4 rtop; "c:\program files\bytefence\rtop\bin\rtop_svc.exe" [X] <==== UWAGA
S4 TorchCrashHandler; C:\Users\Kamil\AppData\Local\Torch\Update\TorchCrashHandler.exe [X] <==== UWAGA
S4 VBoxGuest; VBoxGuest [X]
S4 VBoxMouse; VBoxMouse [X]
S4 VBoxService; VBoxService [X]
S4 VBoxSF; VBoxSF [X]
S4 VBoxVideo; VBoxVideo [X]
S4 VBoxWddm; VBoxWddm [X]
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 0000-00-00] () <==== UWAGA [zerobajtowy plik/folder]
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 0000-00-00] (Windows (R) Win 7 DDK provider) <==== UWAGA [zerobajtowy plik/folder]
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [13312 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
S3 BDFM; system32\DRIVERS\bdfm.sys [X]
S1 bdfwfpf; \??\C:\Program Files\Common Files\BitDefender\BitDefender Firewall\bdfwfpf.sys [X]
U4 dmwappushservice; Brak ImagePath
2022-06-24 07:00 - 2022-06-24 07:00 - 000001111 _____ C:\Users\Kamil\_readme.txt
2022-06-24 07:00 - 2022-06-24 07:00 - 000000559 _____ C:\Users\Kamil\AppData\Local\bowsakkdestx.txt
2022-06-24 07:00 - 2022-06-24 07:00 - 000000000 ____D C:\Users\Kamil\AppData\Local\AdvinstAnalytics
2022-06-24 07:00 - 2022-06-24 07:00 - 000000000 ____D C:\Program Files (x86)\AW Manager
RemoveDirectory: C:\Users\Kamil\AppData\Roaming\yeK6c
RemoveDirectory:  C:\Users\Kamil\AppData\Roaming\XJAdSbyZeCa
RemoveDirectory:  C:\Users\Kamil\AppData\Roaming\Tn5anP7nWf
RemoveDirectory:  C:\Users\Kamil\AppData\Local\6f074d0d-ce1c-4517-b2a3-0e84aa7fa024
C:\Users\Kamil\AppData\Roaming\Vybysana
C:\Users\Kamil\AppData\Local\bowsakkdestx.txt
FirewallRules: [{771FB86B-1AA6-4E16-ADBF-7BD9A055AA33}] => (Allow) C:\Windows\rss\csrss.exe () [Brak podpisu cyfrowego]
FirewallRules: [TCP Query User{2674FACE-885A-41E0-874E-6CC01EAEE48B}C:\gry\call of duty black ops iii\blackops3.exe] => (Allow) C:\gry\call of duty black ops iii\blackops3.exe => Brak pliku
FirewallRules: [UDP Query User{FA779432-AFF2-495A-AA68-BFEDA7108476}C:\gry\call of duty black ops iii\blackops3.exe] => (Allow) C:\gry\call of duty black ops iii\blackops3.exe => Brak pliku
FirewallRules: [TCP Query User{4F42AF2B-20DD-4D35-AD32-0A5345A3F7AF}C:\call of duty black ops iii\blackops3.exe] => (Allow) C:\call of duty black ops iii\blackops3.exe => Brak pliku
FirewallRules: [UDP Query User{049D8321-28BA-4D0C-AE4A-218DEE7A25E7}C:\call of duty black ops iii\blackops3.exe] => (Allow) C:\call of duty black ops iii\blackops3.exe => Brak pliku
FirewallRules: [TCP Query User{2B3ED157-EFD4-4DFB-A9D7-B4130BADCF3E}F:\nba2k12.exe] => (Allow) F:\nba2k12.exe => Brak pliku
FirewallRules: [UDP Query User{D55EE749-2A61-4366-99D8-C31F7F5AA3F6}F:\nba2k12.exe] => (Allow) F:\nba2k12.exe => Brak pliku
FirewallRules: [TCP Query User{F2A7F0AF-7C85-4B8D-B702-BD102DFFE2B6}C:\gry\nba.2k12-3dm\nba2k12.exe] => (Allow) C:\gry\nba.2k12-3dm\nba2k12.exe => Brak pliku
FirewallRules: [UDP Query User{6D24592D-D9E9-419D-ACED-1F945F8DCBDB}C:\gry\nba.2k12-3dm\nba2k12.exe] => (Allow) C:\gry\nba.2k12-3dm\nba2k12.exe => Brak pliku
EmptyEventLogs:
EmptyTemp:
END::


W FRST kliknij na Fix (NAPRAW).

 

Zrób nowe logi FRST.

 

Zrób jakiś plik *.doc.

Zobacz, czy też się zaraz zaszyfruje?

 

jessi

 

 

Odnośnik do komentarza

Jessi dziękuje za pomoc ale trochę nie rozumiem co mam zrobić. Odinstalowałem ten program . Następnie mam skopiować zawartośc twojego skryptu, utworzyć txt i za pomocą jego naprawić logi? Dobrze rozumiem czy nie? Nie znam się na tym, robiłem to kiedyś ale to było z 10 lat temu nie pamiętam jak to się robiło :( Nie rozumiem tego zdania w twojej odpowiedzi że mam skopiować scrypt ale nigdzie nie wklejać . Jak możesz to wyjasnij prościej co mam zrobic :(

Odnośnik do komentarza

Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego! - FRST sam to wyszuka w schowku Systemowym)

Spoiler

START::
HKU\S-1-5-21-4182285792-3264255131-334601476-1000\...\Run: [SysHelper] => C:\Users\Kamil\AppData\Local\4b7da575-b535-41cc-a67f-af8e632bfe88\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
RemoveDirectory: C:\Users\Kamil\AppData\Local\4b7da575-b535-41cc-a67f-af8e632bfe88
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Policies: C:\Users\Kamil\NTUSER.pol: Ograniczenia <==== UWAGA
AutoConfigURL: [S-1-5-21-4182285792-3264255131-334601476-1000] => hxxp://35.236.159.79/win.pac <==== UWAGA
ManualProxies: 0hxxp://35.236.159.79/win.pac <==== UWAGA
RemoveDirectory: C:\Users\Kamil\Downloads\FRST-OlderVersion
2022-06-24 17:53 - 2022-06-24 21:13 - 000006144 _____ (Microsoft Corporation) C:\Windows\system32\VPUK7KTTEJ.tmp
2022-06-24 17:13 - 2022-06-24 18:27 - 000047199 _____ C:\Users\Kamil\Downloads\Addition.txt.eijy
2022-06-24 17:12 - 2022-06-24 18:27 - 000044294 _____ C:\Users\Kamil\Downloads\FRST.txt.eijy
EmptyTemp:
END::


W FRST kliknij na Fix (NAPRAW).

 

Jeśli Twoje pliki już nie będą się zakodowywać dalej, to usuniesz wszystkie mające w rozszerzeniu *eijy - o ile wiem, to nie ma na to dekodera.

 

jessi

Odnośnik do komentarza

Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)

Spoiler

START::
HKU\S-1-5-21-4182285792-3264255131-334601476-1000\...\Run: [SysHelper] => C:\Users\Kamil\AppData\Local\cc45d350-13c4-444c-9572-09210b9fad72\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
C:\Users\Kamil\AppData\Local\cc45d350-13c4-444c-9572-09210b9fad72\9FQwbgb051ULLdKsOdWAGV6p.exe
RemoveDirectory: C:\Users\Kamil\AppData\Local\cc45d350-13c4-444c-9572-09210b9fad72
AutoConfigURL: [S-1-5-21-4182285792-3264255131-334601476-1000] => hxxp://35.236.159.79/win.pac <==== UWAGA
RemoveDirectory: C:\Users\Kamil\Downloads\FRST-OlderVersion
2022-06-24 22:54 - 2022-06-24 23:00 - 000006144 _____ (Microsoft Corporation) C:\Windows\system32\VPUK7KTTEJ.tmp
2022-06-24 22:54 - 2022-06-24 22:54 - 000000000 ____D C:\Users\Kamil\AppData\Local\22d2c589-3776-4a7b-ac10-5dbc344d8970
2022-06-24 21:17 - 2022-06-24 21:17 - 000001111 _____ C:\Users\Kamil\_readme.txt
EmptyTemp:
END::


W FRST kliknij na Fix (NAPRAW).

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...