Wirus UKASH dziwny stwór

[ranser]

Witam wszystkich..

 

Załapałem na Laptopa wirusa który chyba się nazywa ukash niestety wszystkie sposoby jakie znalazłem w necie nie pozwoliły go usunąć cały czas pojawia się znanym wszystkim pulpit.

• Nie działa żaden z trybów awaryjnych pojawia się okienko jak na fotce.
• Nie mogę wykonać skanu OTL nie chce się odpalić, albo ja nie potrafię.
• Próbowałem już Kasperskim z usb skanować bez rezultatu.
• Według instrukcji w necie przeszukałem rejestr i znalazłem zamiast Explorer.exe plik skype.dat, ale na nieszczęście nie spisałem ściezki .
• Użyłem do stworzenia loga programu FRST64 plik z logiem załączam.

Proszę o pomoc

 

FRST.txt

[picasso]

Cytat

Nie mogę wykonać skanu OTL nie chce się odpalić, albo ja nie potrafię.

Ale to co próbujesz robić odpada. Pobrana wersja OTL jest wersją pod Windows a nie WinRE. I tak nie będzie działać. Pomijam już, że niezgodność bitów zachodzi (32-bitowy program w 64-bitowym środowisku WinRE).

 

 

Cytat

Załapałem na Laptopa wirusa który chyba się nazywa ukash niestety wszystkie sposoby jakie znalazłem w necie nie pozwoliły go usunąć cały czas pojawia się znanym wszystkim pulpit.

Jest tu aż kilka wariacji blokady:

- Główna blokada: Sterownik vBszKyhV2.sys zaimplementowany przy udziale modyfikacji pliku rozruchowego BCD (włączony Tryb testu).

- Skutek nieumiejętnego usuwania infekcji: Uszkodzona wartość Shell (brak odnośnika do sytemowego explorer.exe).

- Nie doczyszczone poprawnie szczątki innego wariantu infekcji: Skrót ctfmon.lnk w Autostarcie, ale już pusty.

Infekcja także zaszyfrowała dane. Są widoczne na dysku pliki z rozszerzeniem *.crypted. Nie wiem czy istnieje narzędzie dekrypcji.

 

2013-08-10 13:47 - 2013-08-10 13:47 - 00157312 _____ C:\Users\Artur\AppData\Local\GDIPFONTCACHEV1.DAT.crypted
2013-08-10 13:47 - 2013-08-10 13:47 - 00019072 _____ C:\Users\Artur\AppData\Local\WebpageIcons.db.crypted
2013-08-10 13:47 - 2013-08-10 13:47 - 00008320 _____ C:\Users\Artur\AppData\Local\Resmon.ResmonCfg.crypted
2013-08-10 13:47 - 2013-08-10 13:47 - 00005120 _____ C:\Users\Artur\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini.crypted
2013-08-10 12:08 - 2013-08-10 12:08 - 00039552 _____ C:\ProgramData\FullRemove.exe.crypted
2013-08-10 12:08 - 2013-08-10 12:08 - 00009216 _____ C:\ProgramData\ArcadeDeluxe3.log.crypted

 

Prócz tego i adware, ale to rzecz podrzędna i tym zajmę się w drugiej fazie. Wstępnie usunę tylko punkty startowe rejestru.

 

 

1. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Winlogon: [Shell] [x ] () <=== ATTENTION
HKLM-x32\...\Run: [SweetIM] - C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe [115032 2012-05-29] (SweetIM Technologies Ltd.)
HKLM-x32\...\Run: [Sweetpacks Communicator] - C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe [231768 2012-08-15] (SweetIM Technologies Ltd.)
HKLM-x32\...\Run: [ApnUpdater] - C:\Program Files (x86)\Ask.com\Updater\Updater.exe [1391272 2012-01-03] (Ask)
HKLM-x32\...\Run: [] - [x]
AppInit_DLLs: c:\progra~3\browse~1\23787~1.43\{16cdf~1\browse~1.dll [162336 2009-07-21] ()
AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{16cdf~1\browse~1.dll [2691536 2013-07-26] ()
Startup: C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
S2 Browser Manager; C:\ProgramData\Browser Manager\2.6.1519.190\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe [2847696 2013-07-26] ()
S1 vBszKyhV2; C:\Windows\system32\drivers\vBszKyhV2.sys [46528 2013-08-10] ()
C:\Windows\System32\Drivers\vBszKyhV2.sys
C:\Windows\System32\vBszKyhV.bmp
C:\Windows\System32\vBszKyhV2.exe
C:\Windows\System32\vBszKyhV1.exe
C:\Windows\System32\vBszKyhV.dll
C:\Windows\SysWOW64\searchplugins
C:\Windows\SysWOW64\Extensions
C:\Users\Artur\AppData\Roaming\Cyral
C:\Users\Artur\AppData\Roaming\Fedeif
C:\Users\Artur\AppData\Roaming\Geseov
C:\Users\Artur\AppData\Roaming\Gifuo
C:\Users\Artur\AppData\Local\Temp
C:\Users\Artur\Downloads\solidcam_2012_keygen_downloader_pl_99412.exe
C:\Users\Artur\Desktop\Continue installation - Promt Downloader Installation.lnk
C:\ProgramData\dsgsdgdsgdsgw.pad
testsigning: ==> Check for possible unsigned rootkit driver <===== ATTENTION!

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Sprawdź czy jesteś w stanie wejść do Windows. Jeśli tak, zrób raporty spod Windows z OTL (ma powstać też plik Extras) i FRST (ma powstać też plik Addition). Dodaj plik fixlog.txt.

 

[ranser]

Skrypt wykonałem i windows jest odblokowany. Wklejam pliki z OTL i FRST.

 

OTL.Txt

Addition.txt

Extras.Txt

FRST(z win 7).txt

Fixlog.txt

[picasso]

I to jest plik o który mi chodziło, doklejam go do poprzedniego posta. Przechodzimy do dalszego czyszczenia (adware + szczątki Avast), zaczynając od adware (Avast potem).

 

1. Na początek skoryguj czas komputera, masz cofnięty czas o rok wstecz:

 

Ran by Artur (administrator) on 29-06-2012 17:19:08

 

Dlatego logi są tak ogromne i pokazują dużo plików MS. Dopiero po korekcie czasu:

 

2. Odinstaluj adware:

- Przez Panel sterowania: Browser Manager, LiveVDO plugin 1.3, Sopcast Ask Toolbar, Sopcast Ask Toolbar Updater, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1

- Google Chrome: ma uszkodzone preferencje (na dodatek w folderach rozszerzeń pliki *.crypted). Wejdź do opcji i w Rozszerzeniach odinstaluj wszystkie śmieci, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną i pousuwaj z listy śmieci, wyczyść Historię.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

3. Otwórz Notatnik i wklej w nim:

 

HKCU\Software\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = http://wp.pl/
HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://wp.pl/
URLSearchHook: (No Name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - No File
SearchScopes: HKLM-x32 - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={0EF25647-7A17-46D8-A74A-65937B8CB88F}
SearchScopes: HKLM-x32 - {259C7E5B-39F9-49C3-9312-D5F736BD6C40} URL = http://startsear.ch/?aff=1&q={searchTerms}
SearchScopes: HKLM-x32 - {37D41400-26B5-4FC4-9F71-93F42CA4F5F5} URL = http://startsear.ch/?aff=1&q={searchTerms}
SearchScopes: HKLM-x32 - {49741EAE-0A5F-48F0-81BA-6B66C4DC2F71} URL = http://startsear.ch/?aff=1&q={searchTerms}
SearchScopes: HKLM-x32 - {538BF4A5-8A13-4E55-9DC5-01CCCA786D73} URL = http://startsear.ch/?aff=2&src=sp&cf=e46b29ac-dc86-11e0-bf41-00262264f9dd&q={searchTerms}
SearchScopes: HKLM-x32 - {624A6EAE-A3D4-4D92-83E8-0D317C960F34} URL = http://startsear.ch/?aff=2&src=sp&cf=e46b29ac-dc86-11e0-bf41-00262264f9dd&q={searchTerms}
SearchScopes: HKLM-x32 - {990CB2FB-694C-4F0E-A145-8F4BF9F051C8} URL = http://startsear.ch/?aff=1&src=sp&cf=e46b29ac-dc86-11e0-bf41-00262264f9dd&q={searchTerms}
SearchScopes: HKLM-x32 - {BBAD3B07-92AD-48D1-AEA7-603191A6F407} URL = http://startsear.ch/?aff=1&q={searchTerms}
SearchScopes: HKLM-x32 - {C69D6B2B-B9B1-4B5C-910F-F9DF316A6734} URL = http://startsear.ch/?aff=1&q={searchTerms}
SearchScopes: HKLM-x32 - {C768FBA4-E6AC-487C-BFE4-1056F3A5ED1A} URL = http://startsear.ch/?aff=1&q={searchTerms}
SearchScopes: HKLM-x32 - {D9F69D86-B4CA-4A0E-8857-AA6BD364CB6C} URL = http://startsear.ch/?aff=1&q={searchTerms}
SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={0EF25647-7A17-46D8-A74A-65937B8CB88F}
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110823&tt=3612_1&babsrc=SP_ss&mntrId=806b56d600000000000000262264f9dd
SearchScopes: HKCU - BrowserMngrDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {043C5167-00BB-4324-AF7E-62013FAEDACF} URL = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=110823&tt=3612_1&babsrc=SP_ss&mntrId=806b56d600000000000000262264f9dd
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=918BC8B7-A7B3-4176-8103-AABCFD85868C&apn_sauid=C63A5864-B142-4BED-92E3-FD07D142778D
SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms}
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={0EF25647-7A17-46D8-A74A-65937B8CB88F}
BHO-x32: No Name - {2EECD738-5844-4a99-B4B6-146BF802613B} - No File
BHO-x32: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll No File
BHO-x32: No Name - {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO-x32: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Artur\AppData\Roaming\Gadu-Gadu 10\_userdata\ggbho.2.dll No File
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
Toolbar: HKLM-x32 - No Name - {98889811-442D-49dd-99D7-DC866BE87DBC} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU - No Name - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No File
Toolbar: HKCU - No Name - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No File
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - No File
FF Plugin: @microsoft.com/VirtualEarth3D,version=4.0 - C:\Program Files (x86)\Virtual Earth 3D\ No File
FF Plugin-x32: @real.com/nprpchromebrowserrecordext;version=15.0.6.14 - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll No File
FF Plugin-x32: @real.com/nprphtml5videoshim;version=15.0.6.14 - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll No File
CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Artur\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx
CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Users\Artur\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx
CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx
2013-06-20 17:54 - 2013-08-10 23:50 - 00000000 ____D C:\Users\Artur\AppData\Roaming\File Scout
2013-03-12 03:14 - 2010-12-28 14:59 - 00000000 ____D C:\Program Files (x86)\DAEMON Tools Toolbar
2013-02-12 21:35 - 2013-02-12 21:35 - 00000000 ____D C:\Users\Artur\AppData\Roaming\OpenCandy
2012-09-08 20:12 - 2012-09-08 20:12 - 00000304 _____ C:\user.js
2013-03-12 02:59 - 2012-09-18 22:03 - 00000000 ____D C:\ProgramData\Norton
2012-09-18 22:03 - 2012-09-18 22:03 - 00000000 ____D C:\ProgramData\Symantec
Task: {5CD9AE46-67B6-45D6-98F0-554ACA34B33C} - System32\Tasks\{184819AB-77E8-4DD3-ADBE-5C3B4910C6C8} => C:\Program Files (x86)\EdgeCAM\cam\edgecam.exe No File
Task: {81BCFA8B-8E6D-4E33-B6E9-0BDF482F60B1} - System32\Tasks\Browser Manager => C:\Windows\system32\sc.exe [2009-07-14] (Microsoft Corporation)
Task: {85D10308-FD20-4ED0-8410-21F82E9FDA27} - System32\Tasks\Microsoft_Hardware_Launch_IPoint_exe => C:\Program Files\Microsoft IntelliPoint\IPoint.exe No File
Task: {9F9FF99E-A0DF-4179-AD35-B85463335AEB} - \AdobeFlashPlayerUpdate No Task File
Task: {B5897E81-D224-4F71-AE8F-5B1C1A9AD13E} - \Adobe Flash Player Updater No Task File
Task: {CB548BA5-1D72-48E6-8E0D-088AA592F7B4} - \AdobeFlashPlayerUpdate 2 No Task File
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0856787D-6E4A-4D0B-8795-898A7A5B6B20}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0856787D-6E4A-4D0B-8795-898A7A5B6B20}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{259C7E5B-39F9-49C3-9312-D5F736BD6C40}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{37D41400-26B5-4FC4-9F71-93F42CA4F5F5}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{49741EAE-0A5F-48F0-81BA-6B66C4DC2F71}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{538BF4A5-8A13-4E55-9DC5-01CCCA786D73}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{624A6EAE-A3D4-4D92-83E8-0D317C960F34}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{990CB2FB-694C-4F0E-A145-8F4BF9F051C8}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BBAD3B07-92AD-48D1-AEA7-603191A6F407}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{C69D6B2B-B9B1-4B5C-910F-F9DF316A6734}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{C768FBA4-E6AC-487C-BFE4-1056F3A5ED1A}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{D9F69D86-B4CA-4A0E-8857-AA6BD364CB6C}" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowe logi: OTL (bez Extras) + skan FRST (bez Addition). Dołącz plik fixlog.txt oraz log z AdwCleaner.

 

 

[ranser]

Nie mogłem usunąć tych dwóch pozycji: Sopcast Ask Toolbar, Sopcast Ask Toolbar Updater. Przy Sopcast Ask Toolbar dostałem komunikat taki jak na zdjeciu.

 

Skany wykonalem chyba prawidłowo. Niejestem pewien co Google czy wszystko dobrze zrobiłem..

 

OTL.Txt

FRST.txt

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

Cytat

Nie mogłem usunąć tych dwóch pozycji: Sopcast Ask Toolbar, Sopcast Ask Toolbar Updater. Przy Sopcast Ask Toolbar dostałem komunikat taki jak na zdjeciu.

Wpisy wykończył AdwCleaner.

 

 

Cytat

Niejestem pewien co Google czy wszystko dobrze zrobiłem..

Google Chrome jest nadal zdewastowane, a wg OTL w katalogach rozszerzeń nadal pliki *.crypted....

 

 

1. W związku z uszkodzeniem Google Chrome, proponuję przeglądarkę odinstalować. Po deinstalacji zaś przez SHIFT+DEL skasować z dysku folder C:\Users\Artur\AppData\Local\Google\Chrome.

 

2. Nadal mamy problem z obecnością plików crypted. To są pliki zaszyfrowane przez infekcję, a ja nie orientuję się czy jest do tego jakiś deszyfrator. Logi OTL/FRST są bardzo ograniczone i mogą nie pokazywać jak daleko niszczenie danych się posunęło. Zrób wstępne szukanie na dysku na takie pliki i powiedz mi jak dużo wyników otrzymujesz.

 

3. Usunięcie szczątków Avast:

 

==================== Faulty Device Manager Devices =============

Name: avast! Firewall NDIS Filter Miniport
Description: avast! Firewall NDIS Filter Miniport
Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}
Manufacturer: ALWIL Software
Service: aswNdis
Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19)
Resolution: A registry problem was detected.
 This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options:
On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard.
Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver.

 

Wejdź do menedżera urządzeń, odinstaluj martwe urządzenie Avast, zresetuj system.

 

R0 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [22600 2013-03-07] (AVAST Software)

 

Usuń sterownik Avast filtrujący klawiaturę wg kroków:

 

picasso napisał:

- Start > w polu szukania wpisz regedit > wejdź do klucza klasy klawiatur:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}

 

Dwuklik w wartość UpperFilters i wytnij frazę aswKbd, ale nie ruszaj systemowego kbdclass.

 

- Start > w polu szukania wpisz cmd > wpisz te komendy (każdą potwierdzając ENTER):

 

sc stop aswKbd

sc delete aswKbd

 

Po tym możesz skasować z dysku plik C:\Windows\system32\drivers\aswKbd.sys.

 

 

[ranser]

Wszystkie pliki mp3 jakie mam na dysku mają teraz rozszerzenie crypted tj. ok 2000 plików.

 

Cały skan wyniósł 118 631 plików.

 

 

Pliki mp3 usunąłem, a co mam zrobić z pozostałymi..

[picasso]

Niestety tego się obawiałam, masowa szyfracja danych. Nie wiem czy istnieje dekrypter, nie wiem czy dekrypcja jest w ogóle możliwa. Może popróbuj z przyklejonego narzędzia Emsisoft (KLIK).

[ranser]

Tego programu użyłem na plikach mp3 Kaspersky XoristDecryptor, niestety przywrucił poprzednie rozszerzenie  ale pliku nieda się odczytać.

 

Narazie spróboje odinstalować programy w których jest najwięcej tego rodzaju plików.

Jeśli zostaną zaszyfrowane pliki windowsa czy jesteśmy wstanie je zastąpić bez ponownej instalacji systemu?

[picasso]

Ten deszyfrator nie pasuje. Naprawdę przykro mi, ale nie znam narzędzia które potrafi te pliki zdekodować. Jeśli Ci nie zależy na danych, usuń tyle plików ile zdołasz. Jeśli zaś niektóre zaszyfrowane są cenne, skopiuj je na zewnętrzny nośnik, niech leżą w oczekiwaniu, może kiedyś pojawi się stosowne narzędzie.

 

Cytat

Jeśli zostaną zaszyfrowane pliki windowsa czy jesteśmy wstanie je zastąpić bez ponownej instalacji systemu?

Ta infekcja prawdopodobnie szyfruje tylko w określonych lokalizacjach + "lżejszy" kaliber rozszerzeń, czyli formaty tekstowe / dokumentów, medialne, graficzne. Pliki wykonywalne systemu per se nie powinny być dotknięte zarazą.

 

 

 

[picasso]

Wiem już co to za infekcja, ESET wykrywa to pod nazwą Win64/Vabushky.A. Pełny opis techniczny infekcji: KLIK.

 

Niestety deszyfratora brak. Jeśli coś jest cennego, możesz spróbować odzyskać poprzednią postać plików za pomocą PhotoRec: KLIK (omijasz ustęp z narzędziem dodatkowym StopGpcode, bo to pod inną infekcję). A reszty się pozbyć deinstalując programy, które można od nowa zainstalować.

 

[ranser]

Witam

 

Nie odpisywałem. ale połamałem sobie prawą ręke w łokciu i dopiero odzyskuje sprawność. dziekuje za pomoc. Komputer wrucił do zycia. Zasatanawiałem sie nad dekryptowaniem plików ale bez klucza chyba to niemozliwe. Bynajmniej na moje mozliwosci. Przeglądałem to co mi podesłałas ale nie jestem az tak zaawansowany w programowaniu. jak dla mnie to nie była infekcja która zaatakowała odrazu tylko zebrała odpowiednie dane w czasie i złamała blokady.

 

Temat jest ciekawy. bo ten skrypt moze siedziec w kazdym kompie jak robak i zaatakować jak ktos sie podłaczy do sieci

[picasso]

W ramach finalizacji:

 

1. Przez SHIFT+DEL skasuj foldery:

 

C:\FRST

C:\Users\Artur\Desktop\Stare dane programu Firefox

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zrób pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

Cytat

Zasatanawiałem sie nad dekryptowaniem plików ale bez klucza chyba to niemozliwe.

Wnioskując po braku dekryptera i głuszy na Google, klucz jest po stronie serwerowej, czyli niedostępny. Dekrypcja awykonalna.