dziadek63 Opublikowano 26 Marca 2015 Zgłoś Udostępnij Opublikowano 26 Marca 2015 Dzień dobry. Laptop podejrzanie zwolnił cały czas coś "mielił". Przeskanowałem NOD nic nie wykrywał. Później zaczęły wyskakiwać czerwone okienka NOD wykrywał Filecoder.Cr - koń trojański i przenosił go do kwarantanny byłem spokojny. Niestety okazało się, że mam zablokowane wszystkie pliki (bardzo zależy mi na zdjęciach wnuczków czy są do odzyskania). Poprosiłem o pomoc kuzyna cos tam grzebał korzystał z narzędzia Kaspersky, ale nie wiem jakiego. Laptop działa niby poprawnie. Przy próbie otwarcia folerów z zablokowanymi plikami pokazuje się czerwone okienko NOD usuwać? Po ponownym skanowaniu wykrywa również konia trojańskiego Filecoder.EA. Bardzo proszę o pomoc Picasso życzę zdrowia. Addition.txt FRST.txt Shortcut.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 7 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 7 Kwietnia 2015 Niestety te pliki wyglądają na infekcję CryptoWall, odszyfrowanie plików jest niemożliwe: KLIK. Widzę, że już próbowałeś ShadowExplorer, ale to raczej nie miało prawa zadziałać, infekcja kasuje wszystkie punkty Przywracania systemu, tu w logu są widoczne tylko świeże (pewnie zbyt świeże): ==================== Restore Points ========================= 25-03-2015 14:21:37 Windows Update 25-03-2015 14:22:54 Windows Update 25-03-2015 15:18:53 Windows Update 25-03-2015 15:27:43 Windows Update Moja rola ograniczy się tylko do usunięcia masowo dodanych przez infekcję plików typu HELP_DECRYPT.*, wpisów pustych i innych działań pobocznych: 1. Odinstaluj stare niebezpieczne wersje: Adobe AIR, Adobe Flash Player 10 Plugin, Adobe Flash Player 15 ActiveX, Java 7 Update 45, Adobe Reader 9.4.6 - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 69feaa; \??\C:\Windows\system32\drivers\69feaa.sys [X] S1 fbae2e; \??\C:\Windows\system32\drivers\fbae2e.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] CustomCLSID: HKU\S-1-5-21-2876564938-2257608469-1536796064-1000_Classes\CLSID\{56CBD3CF-BF99-4DF5-851F-F5B9B57496A1}\InprocServer32 -> C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}\dbnmpntw.dll No File Task: {CE9C5DC1-F887-498C-9C12-3F268EF8703C} - System32\Tasks\{FD745C39-5BEE-4CB8-975A-4B54B58A5957} => pcalua.exe -a E:\Photoshop_CS4_Portable\PhotoshopPortable.exe -d E:\Photoshop_CS4_Portable HKLM\...\Run: [Adobe ARM] => "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-2876564938-2257608469-1536796064-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-2876564938-2257608469-1536796064-1000\...\Policies\Explorer: [HideSCAHealth] 0 C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\ProgramData\hj60ttrj.fee C:\ProgramData\odh8wlx1.fee C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4} CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
dziadek63 Opublikowano 7 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Kwietnia 2015 Dzień dobry. Zalecenia wykonałem. Adobe Flash Player 15 ActiveX nie daje się odinstalować. Mam dodatkowe pytanie: Czy w NOD wyczyścić pliki dziennika i kwarantannę ? Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2015 Zadanie zostało pomyślnie wykonane. Usuń F:\narzędzia\frst. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Adobe Flash Player 15 ActiveX nie daje się odinstalować. Skorzystaj z awaryjnego deinstalatora linkowanego w powyższym temacie w sekcji aktualizacji programów: KLIK. Czy w NOD wyczyścić pliki dziennika i kwarantannę ? Oczywiście możesz to wykonać. Odnośnik do komentarza
dziadek63 Opublikowano 15 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 15 Kwietnia 2015 Dzień dobry Zalecenia wykonałem. Za pomoc bardzo dziękuje. Zapomniałem dołączyć loga. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 DelFix wykonał zadanie. Skasuj z dysku plik C:\Delfix.txt. To tyle. Odnośnik do komentarza
dziadek63 Opublikowano 20 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 20 Kwietnia 2015 Dzień dobry. Bardzo dziękuję za pomoc (zresztą Pcasso pomogła mi już kilkakrotnie na SE). Picasso życzę dużo zdrowia (coś wiem na temat niesprawnych rąk). O dotacji na utrzymanie serwisu pomyślę -z widomych przyczyn- później. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się