dontpanic Opublikowano 21 Lutego 2015 Zgłoś Udostępnij Opublikowano 21 Lutego 2015 Witam, dziś podczas uruchamiania komputera pojawiają się dziwne komunikaty i tworzą się pliki w różnych folderach. Załączyłem zrzuty (pliki 1-3 są to komunikaty zaraz pod uruchomieniu windowsa) Addition.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Niestety mam bardzo niedobre wieści - tu jest CryptoWall 3.0 - infekcja szyfrująca dane. Opis infekcji: KLIK. Odszyfrowanie danych jest niemożliwe, ani nie da się ich nawet odzyskać za pomocą programów do odzyskiwania danych, gdyż CryptoWall w nowszych wersjach wykonuje tzw. "bezpieczne usuwanie danych" nadpisując miejsca na dysku. Moja ingerencja będzie ograniczona tylko do usuwania infekcji. Logi z przestarzałego OTL nie są już obowiązkowe (usuwam), przecież zasady działu są już od dawna zaktualizowane. Posługujesz się starym FRST: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 24-01-2015 01 (ATTENTION: ====> FRST version is 28 days old and could be outdated) Ten program jest tak często aktualizowany (czasami wręcz dzień po dniu, lub kilka wersji w ten sam dzień), że wymagane pobieranie za każdym razem od nowa. Proszę pobierz najnowszą wersję i zrób nowe raporty (wszystkie trzy): KLIK. Odnośnik do komentarza
dontpanic Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 super, wirus załatwił mi wszystkie notatniki z hasłami i nr bankowymi. on to gdzieś wysyła? zmieniac hasła dla bezpieczeństwa? Addition.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Zaszyfrowane dane raczej nie powinny wyciec nigdzie, a zmian haseł na pewno nie wykonuj teraz, gdy działa infekcja. A jest tu spora kolekcja, nie tylko CryptoWall, ale także Sathurbot, Ropest i inne. Poza tym, ale to już szczegół w kontekście szyfratora danych, jest adware i malware w Firefox + adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompletna reinstalacja Chrome. Pytanie: czy Vidalia Bundle z Torem to Twoja celowa instalacja? Zaczynamy: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll () HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [Ocpics] => C:\Users\Kuba\AppData\Local\Ocpics\tmpF3F4.exe [264472 2015-02-17] (The Eraser Project ) HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [Oprzics] => regsvr32.exe C:\Users\Kuba\AppData\Local\Oprzics\ASMga215A.dll HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [usnzmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Kuba\AppData\Local\Ocpics\DataCD.dll HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [fsutil] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\fsutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [GoogleUpdate] => C:\Users\Kuba\AppData\Roaming\FrameworkUpdate\GoogleUpdate.exe [120320 2015-02-21] () HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [autoconv] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\autoconv.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [wecutil] => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe [168448 2014-03-04] () HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [5555y555] => C:\Users\Kuba\AppData\Roaming\5555y555.exe [801792 2015-02-22] (Cortado AG) HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [wecutil] => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe [168448 2014-03-04] () HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\CurrentVersion\Windows: [Load] C:\Users\Kuba\LOCALS~1\Temp\ccceoh.exe HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Policies\Explorer: [Run] "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Command Processor: "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-18\...\RunOnce: [Del13882996] => cmd.exe /Q /D /c del "C:\windows\TEMP\0.del" HKU\S-1-5-18\...\RunOnce: [Del19802392] => cmd.exe /Q /D /c del "C:\windows\TEMP\0.del" Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\autoconv.lnk Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fsutil.lnk Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wecutil.lnk GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File FF Plugin-x32: @adobe.com/FlashPlayer -> C:\windows\system32\Macromed\Flash\NPSWF32.dll No File FF Plugin-x32: @java.com/DTPlugin -> C:\Program Files (x86)\Java\jre6\bin\npDeployJava1.dll No File FF Plugin-x32: @pandasecurity.com/activescan -> C:\Program Files (x86)\Panda Security\ActiveScan 2.0\npwrapper.dll (Panda Security, S.L.) CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Kuba\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {2B84E39A-9E12-4F6E-83E2-16F509B35920} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-3839221274-3043303846-3843884880-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe Task: {348E0006-F45E-40B7-896B-3CC0E7297DCD} - System32\Tasks\wecutil => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe [2014-03-04] () Task: {35A5B8FB-2838-418A-940A-234A8C682D8A} - System32\Tasks\{57B4245E-7230-476F-AAA1-0A63869F6E05} => C:\HP Universal Print Driver\PCL5 v5.2.6.9321\win_xp_vista\Install.exe Task: {64FF4900-DF11-47A9-B1DC-A3A404CEF770} - System32\Tasks\{185500A7-E25E-4606-922A-BB38B5B4BE68} => pcalua.exe -a C:\Users\Kuba\Downloads\SetupDWGTrueView2012_32bit.exe -d C:\Users\Kuba\Downloads Task: {7BFE18D4-D541-4845-9469-A549DB101C18} - System32\Tasks\{E05F641C-C744-42F9-A595-57D3B8BDA61F} => C:\HP Universal Print Driver\PCL5 v5.2.6.9321\win_xp_vista\Install.exe Task: {839EFA3E-9D7E-4C74-8B12-3FFCC3A51802} - System32\Tasks\{536E68D4-F40B-4225-80B0-CFFCFE1DF58B} => pcalua.exe -a C:\Users\Kuba\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {9DE88BAB-3699-4BEF-A16A-7B31155264A4} - System32\Tasks\{9F77A418-EA46-426E-9B32-36D8D5D93AFF} => C:\HP Universal Print Driver\PCL5 v5.2.6.9321\win_xp_vista\Install.exe Task: {AC1E29C2-10F7-4454-B3FA-48266A31CB98} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-3839221274-3043303846-3843884880-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\realupgrade.exe Task: {DCE64F9D-2E6B-4337-B1E1-C5AEB6944A40} - System32\Tasks\{F77D6037-6CD4-4292-83FE-7AE0DD1FB09A} => pcalua.exe -a E:\setup.exe -d E:\ U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S1 ujtzlwkw; \??\C:\windows\system32\drivers\ujtzlwkw.sys [X] C:\ProgramData\@system3.att C:\ProgramData\@system.temp C:\ProgramData\kjhy64.txt C:\ProgramData\systemskey.ini C:\ProgramData\Microsoft\Secure C:\Users\Kuba\AppData\Local\Ocpics C:\Users\Kuba\AppData\Local\Oprzics C:\Users\Kuba\AppData\Roaming\麽鎒駓覜 C:\Users\Kuba\AppData\Roaming\5555y555.exe C:\Users\Kuba\AppData\Roaming\Gadu-Gadu 10 C:\Users\Kuba\AppData\Roaming\FrameworkUpdate C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\Kuba\Downloads\yet_another_cleaner_munbd.exe C:\windows\system32\Drivers\etc\hosts.txt Hosts: CMD: del /q /s C:\HELP_DECRYPT.* Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent Packages" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt zapisz obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Operacje z przeglądarkami: - Z Google Chrome wyeksportuj tylko zakładki. Odinstaluj przeglądarkę. Przy deinstalacji zaznacz Usuń także dane przeglądarki. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Scan (zaznacz ponownie Addition) oraz GMER. Dołącz też plik fixlog.txt. Odnośnik do komentarza
dontpanic Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 podczas robienia raportu GMER następuje zrzut pamięci fizycznej na dysk p.s. TOR to faktycznie moja własna inwencja, Vidalia Bundle również. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Odpowiedz na pytanie czy Vidalia z Torem to była celowa świadoma instalacja, bo nie mam pewności czy szyfrator tego nie zamontował. Niestety infekcja jest oporna, nie wszystko się usunęło i już nastąpiły rekonstrukcje. Mam też podejrzenie, że tu jest jakiś rootkit do kompletu, poprzednio GMER zaciemniony działaniem licznych procesów infekcji i miałam porównać ile aktywności się ulotni po usunięciu widocznych procesów startowych. Miałeś tylko odinstalować Google Chrome i nie instalować ponownie, a tu widzę że przeglądarka jest na miejscu i padł na łeb plan doczyszczania - nie mogę już zrobić tego co było pierwotnie planowane. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {10B77EDF-C057-403D-A743-CAC4B85058EA} - System32\Tasks\wecutil => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [wecutil] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [79m1gM3g] => C:\Users\Kuba\AppData\Roaming\79m1gM3g.exe [801792 2015-02-22] (Cortado AG) HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Policies\Explorer: [Run] "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Command Processor: "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wecutil.lnk C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate C:\Users\Kuba\AppData\Roaming\79m1gM3g.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt (tym razem nie musisz już robić akcji z UTF-8) i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 2. Uruchom Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, przyznaj Skip i tylko log zaprezentuj. 3. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition. Dołącz też plik fixlog.txt. Odnośnik do komentarza
dontpanic Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 już biorę się za raporty. tylko pytanie, google chrome już w ogóle nie instalować czy dopiero później ? Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Tu chodziło o wyczyszczenie po deinstalacji Google Chrome kluczy i folderów. Teraz jest to już nieistotne, bo zainstalowałeś przeglądarkę od nowa. Ona prezentuje się w raporcie jako "czysta" i już tym się nie zajmuj. Odnośnik do komentarza
dontpanic Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 tak jak wspominałem wcześniej tor i Vidalia Bundle to moja inicjatywa. jeśli chodzi o kaspersky to ani strona domowa ani po linku się nie otwiera, na żadnej przeglądarce. załączam logi moje uwagi: dziwna sprawa z niektórymi stronami, np. ta z kasperskym czy fb nie ładują się w ogóle, a jak sie ładują to nie wszystkie elementy się wyświetlają. Reszta stron działa szybko i bez zarzutu. Tak jakby były blokowane Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 tak jak wspominałem wcześniej tor i Vidalia Bundle to moja inicjatywa. Dopisałeś tę informację w którymś momencie, nie widziałam tego wcześniej w poście. jeśli chodzi o kaspersky to ani strona domowa ani po linku się nie otwiera, na żadnej przeglądarce. Infekcja blokuje. Infekcja nie chce się w ogóle usunąć i cały czas powraca. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe Task: {10B77EDF-C057-403D-A743-CAC4B85058EA} - System32\Tasks\wecutil => C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [wecutil] => "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\RunOnce: [K79gM] => C:\Users\Kuba\AppData\Roaming\K79gM.exe [801792 2015-02-22] (Cortado AG) HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Policies\Explorer: [Run] "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Command Processor: "C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe" Startup: C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wecutil.lnk C:\Users\Kuba\AppData\Roaming\*.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Nastąpi restart, opuść Tryb awaryjny, powstanie kolejny fixlog.txt. 2. Sprawdź czy możesz pobrać i uruchomić TDSKiller. Zrób też nowy log FRST z opcji Scan (z Addition) i dołącz fixlog.txt. Odnośnik do komentarza
dontpanic Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 strony wciąż się nie otwierają. załączam logi Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Tym razem infekcja usunięta i nic już nie widać, choć GMER / TDSSKiller nadal nie sprawdzone i to nadal musimy wykonać. Mam pytanie: czy na pewno komunikacji nie blokuje ten doinstalowany Tor? W starcie uruchamia się pakiet Vidalia, a na liście zainstalowanych jest filtrujące proxy Polipo. Odnośnik do komentarza
dontpanic Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 w takim razie usunę tor'a i spróbuje jeszcze raz zrobić raport gmer Odnośnik do komentarza
picasso Opublikowano 23 Lutego 2015 Zgłoś Udostępnij Opublikowano 23 Lutego 2015 Niemożność uruchomienia GMER nie jest z tym związana. Tu mi bardziej chodzi o sam fakt problemu ze stronami. I ponów próbę z TDSSKiller. GMER i TDSSKiller działają w inny sposób, warto sprawdzić oba odczyty. Odnośnik do komentarza
dontpanic Opublikowano 23 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 23 Lutego 2015 strona z kasperskim nadal się nie ładuje. fb na razie działa. gmer udało się zrobić, załączam log gmer.txt Odnośnik do komentarza
picasso Opublikowano 24 Lutego 2015 Zgłoś Udostępnij Opublikowano 24 Lutego 2015 W GMER nic oczywistego. Jeszcze ten TDSSKiller trzeba sprawdzić. W kwestii ładowania stron: Czy na pewno odinstalowałeś przez Panel sterowania filtr stron Polipo? Czy w konfiguracji przeglądarki jest ustawione jakieś proxy? Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2015 Zgłoś Udostępnij Opublikowano 26 Lutego 2015 dontpanic, tu nie koniec czyszczenia. Czy sprawdziłeś podane powyżej dane? Odnośnik do komentarza
dontpanic Opublikowano 28 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2015 witam, nie miałem przez pare dni internetu. z moich obserwacji wynika że wirus poczynił straszne szkody na komputerze. nie otwierają się: plik pdf, word, excell, pliki mp3, jpg i filmy Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2015 Zgłoś Udostępnij Opublikowano 28 Lutego 2015 z moich obserwacji wynika że wirus poczynił straszne szkody na komputerze. nie otwierają się: plik pdf, word, excell, pliki mp3, jpg i film Bardzo mi przykro, nie jestem w stanie zaradzić na zaszyfrowane dane. Czy nadal jest problem z pobraniem Kasperskiego? Poproszę też o kolejne szukanie w rejestrze, gdyż malware mogło startować także z innych ścieżek nie skanowanych przez FRST. Uruchom FRST, w polu Search wklej: IEUpdate Klik w Search Registry i przedstaw wynikowy log. Odnośnik do komentarza
dontpanic Opublikowano 28 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2015 Tak się zastanawiam czy nie wystarczy na nowo przeinstalować programy odpowiedzialne za ich otwieranie (pakiet office) załączam plik. co do kasperskiego to: "Strona internetowa jest niedostępna" Search.txt Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2015 Zgłoś Udostępnij Opublikowano 28 Lutego 2015 Tak się zastanawiam czy nie wystarczy na nowo przeinstalować programy odpowiedzialne za ich otwieranie (pakiet office) Nie wiem czy dobrze rozumiem. Ty chcesz przeinstalować Office, by ... otworzyć zaszyfrowane pliki? Po zaszyfrowaniu pliki są martwe i nieotwieralne, jedyne co z nimi można zrobić to je usunąć.... Listę zaszyfrowanych plików powinien podać ListCWall. co do kasperskiego to: "Strona internetowa jest niedostępna" Odpowiedz na zaległe pytania: Czy na pewno odinstalowałeś przez Panel sterowania filtr stron Polipo? Czy w konfiguracji przeglądarki jest ustawione jakieś proxy? Szukanie FRST ujawniło kolejne wpisy infekcji. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\Control Panel\Desktop" /v SCRNSAVE.EXE /f Reg: reg delete "HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\97fd52bd_0" /f CMD: netsh advfirewall reset RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Odnośnik do komentarza
dontpanic Opublikowano 28 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2015 czyli mam rozumiec że straciłem wszystkie pliki (te które wymieniłem) bezpowrotnie? zdjęcia, dokumenty itd ????? p.s. polipo nie wynajduje mi w panelu sterowania. p.s.2 "Czy w konfiguracji przeglądarki jest ustawione jakieś?" nie wiem jak to sprawdzic Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2015 Zgłoś Udostępnij Opublikowano 28 Lutego 2015 p.s.2 "Czy w konfiguracji przeglądarki jest ustawione jakieś proxy?" nie wiem jak to sprawdzic Chodzi o sprawdzenie w opcjach przeglądarek ustawień połączenia. Pobierz TDSSKiller tymczasowo przehostowany na innym serwisie: KLIK czyli mam rozumiec że straciłem wszystkie pliki (te które wymieniłem) bezpowrotnie? zdjęcia, dokumenty itd ????? Wróć do opisu CryptoWall 3.0, który podałam na początku, chyba go nie przeczytałeś, skoro wpadł Ci do głowy pomysł z "przeinstalowaniem Office". 1. Pliki są zaszyfrowane i brak dekodera (nie jest możliwe stworzenie go, nie jest możliwe złamanie szyfrowania w domowych warunkach). 2. Infekcja wykonuje również specjalne operacje uniemożliwiające odzysk poprzednich niezaszyfrowanych wersji: - "Bezpieczne usuwanie" oryginałów przy zastępowaniu zaszyfrowanymi kopiami, by zapobiec odzyskowi plików za pomocą programów typu PhotoRec i innych recovery. - Usuwanie punktów Przywracania systemu (dotyczy tylko dysku C, domyślnie Przywracanie nie jest czynne dla innych dysków niesystemowych). Pliki "HELP_DECRYPT" powstały 21 lutego, ale infekcja i proces szyfrowania były w toku znacznie wcześniej, tylko nie byłeś tego świadomy, bo widoczność elementów z żądaniem okupu to już faza, gdy szyfrowanie się w pełni dokonało. Początkowo dostępne punkty przywracania z 17 i 19 to były prawdopodobnie punkty utworzone już po likwidacji przez infekcję starszych, a obecnie i tak już ich nie ma. Jeśli dane zostały zaszyfrowane, nie ma innego ratunku niż kopia zapasowa. Jeśli jej nie posiadasz, pliki zostały utracone. Sprawdź co widzi ListCWall - wszystko co wykryje program zostało utracone. ListCWall może nic nie pokazać, jeśli jakiś skaner usunął z rejestru flagę infekcji, ale pliki zaszyfrowane i tak rozpoznasz - nie da się ich otworzyć. Odnośnik do komentarza
dontpanic Opublikowano 28 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2015 kaspersky nic nie znalazł Odnośnik do komentarza
picasso Opublikowano 2 Marca 2015 Zgłoś Udostępnij Opublikowano 2 Marca 2015 Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3839221274-3043303846-3843884880-1000\...\Run: [Vidalia] => "C:\Program Files (x86)\Vidalia Bundle\Vidalia\vidalia.exe" Tcpip\..\Interfaces\{0DE42E25-054D-425F-BC86-59392B66E805}: [NameServer] 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8 Tcpip\..\Interfaces\{3C6BEDAC-295D-4CCA-B7C0-D29B9025112B}: [NameServer] 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8,192.168.1.1 Tcpip\..\Interfaces\{CB5D6BA0-94D2-4A97-8CF9-B104A9ECE634}: [NameServer] 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8 Tcpip\..\Interfaces\{FEAE69A1-3628-4C7C-A8F7-4A9567B1A7A2}: [NameServer] 8.8.8.8,8.8.8.8,8.8.8.8,8.8.8.8 CMD: netsh winsock reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart, powstanie kolejny fixlog.txt - przedstaw go. 2. Ustaw DNS Windows (dla każdego z połączeń z osobna): KLIK. Wybierz opcję "Uzyskaj automatycznie". 3. Uruchom Malwarebytes Anti-Malware (przy instalacji odznacz trial) i wykonaj pełne skanowanie systemu. Jeśli coś znajdzie, dostarcz raport. Odnośnik do komentarza
Rekomendowane odpowiedzi