Komputer zainfekowany przez Crypt0L0cker

xK2x · 11 Maja 2015

Witam, otóż wczoraj, po powrocie do domu i włączeniu komputera, pojawiła mi się wiadomość o następującej treści:

Twoje ważne pliki (w tym na dyskach sieciowych, USB, etc): zdjęcia, filmy,

dokumenty, itp zostały zaszyfrowane za pomocą naszego wirusa Crypt0L0cker.

Jedynym sposobem, aby przywrócić pliki jest nam zapłacić. W przeciwnym wypadku,

pliki zostaną utracone.

Dzielę komputer z mamą i bratem, więc musiał ktoś pod moją nieobecność coś zmajstrować. Największy problem jaki powstał, to poblokowane pliki(zdjęcia, filmy, prezentacje etc.) poprzez rozszerzenie .encrypted. Czy jest możliwość odzyskania tych plików? Ja niestety jestem zielony w tych sprawach i nie mam pojęcia co mogę z tym zrobić, więc liczę na wyrozumiałość i możliwą pomoc.

Pozdrawiam

artus72 · 11 Maja 2015

z zaszyfrowanymi plikami będziesz się musiał pożegnać, niestety.

Jedyne, co można zrobić, to usunąć infekcję. W tym celu musisz poczekać na reakcję picasso.

picasso · 27 Maja 2015

"Crypt0L0cker" to nowy wariant TorrentLocker: KLIK. Odszyfrowanie plików nie jest możliwe. Infekcja nie jest już czynna, więc mogę się zająć sprawami porządkowymi typu usunięcie innych śladów tej infekcji (masowe pliki DECRYPT_INSTRUCTIONS.* + zaszyfrowane kopie *.encrypted) oraz odpadków adware i wpisów pustych. Jeśli temat nadal aktualny:

1. Przez Panel sterowania odinstaluj zbędnik McAfee Security Scan Plus.

2. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. Wyszukaj na liście szczątkowy wpis avast! Firewall NDIS Filter Miniport, odinstaluj i zresetuj system.

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

4. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
R1 {adb41315-fba7-4b86-be27-b2401a20c8d2}Gw64; C:\Windows\System32\drivers\{adb41315-fba7-4b86-be27-b2401a20c8d2}Gw64.sys [48776 2014-11-21] (StdLib)
R2 HPSLPSVC; C:\Users\Uzytkownik\AppData\Local\Temp\7zS4604\hpslpsvc64.dll [1039360 2013-02-06] (Hewlett-Packard Co.) [File not signed]
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found
Task: {1793C275-831E-45E7-AE5E-6A07C21105CE} - System32\Tasks\{B30B8FAD-107F-48F8-84BA-C2CE5A42B1E9} => pcalua.exe -a C:\Users\Uzytkownik\Downloads\VP-Female_Install-1.exe -d C:\Users\Uzytkownik\Downloads
Task: {8A49326D-1555-4A2B-B9FB-A57A0B7769B1} - System32\Tasks\{4B7A1CFF-8B77-40C8-984F-2F7C37C9F5D8} => pcalua.exe -a C:\Users\Uzytkownik\Downloads\AdobeAIRInstaller(2).exe -d C:\Users\Uzytkownik\Downloads
Task: C:\Windows\Tasks\DriverDoc_UPDATES.job => C:\Program Files (x86)\DriverDoc\Solvusoftdd.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966&q={searchTerms}
SearchScopes: HKLM-x32 -> {B7665F00-A1F2-44B2-BE8E-467C72273AAD} URL = ${SEARCH_URL}{searchTerms}
SearchScopes: HKU\S-1-5-21-2268915923-2210327002-2334318671-1001 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKU\S-1-5-21-2268915923-2210327002-2334318671-1001 -> {B7665F00-A1F2-44B2-BE8E-467C72273AAD} URL = http://startsear.ch/?src=sp&aff=67&cf=cd90d133-af86-11e2-b47a-8c89a56e1b2c&q={searchTerms}
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKU\S-1-5-21-2268915923-2210327002-2334318671-1001 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1416603818&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966
FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll No File
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966"
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\Program Files (x86)\Elex-tech
C:\ProgramData\ykesecizacubipyv
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Easy GIF Animator
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of Might and Magic III - Złota Edycja\Instrukcje
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarCraft II\Pomoc techniczna Blizzard.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarCraft II\Publiczny serwer testowy StarCraft II.lnk
C:\Users\Uzytkownik\AppData\Local\Microsoft\Windows\GameExplorer\{1FCDCECF-8F1F-46E7-AB60-0E24452A50CC}
C:\Users\Uzytkownik\AppData\Local\Microsoft\Windows\GameExplorer\{F5A58C89-646C-48EF-9635-40A0183A2CB0}
C:\Users\Uzytkownik\AppData\Roaming\eCyber
C:\Users\Uzytkownik\AppData\Roaming\Elex-tech
C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard
C:\Users\Uzytkownik\Desktop\Continue Free FLV Converter installation.lnk
C:\Users\Uzytkownik\Desktop\Registry Booster
C:\Users\Uzytkownik\Desktop\K2\AION Free-to-Play.lnk
C:\Users\Uzytkownik\Desktop\K2\Convert Doc.lnk
C:\Users\Uzytkownik\Desktop\K2\Gameforge Live.lnk
C:\Users\Uzytkownik\Desktop\K2\GIMP 2.lnk
C:\Users\Uzytkownik\Desktop\K2\Gothic II Demo spielen.lnk
C:\Users\Uzytkownik\Desktop\K2\McAfee Security Scan Plus.lnk
C:\Users\Uzytkownik\Desktop\K2\Mumble (Klient Kompatybilny Wstecz).lnk
C:\Users\Uzytkownik\Desktop\K2\Overwolf.lnk
C:\Users\Uzytkownik\Desktop\K2\Play FortressMU S6 EP3.lnk
C:\Users\Uzytkownik\Desktop\K2\Ventrilo.lnk
C:\Users\Uzytkownik\Desktop\K2\Pliki\Pionek.lnk
C:\Users\Uzytkownik\Downloads\sh-remover.exe
C:\Users\Uzytkownik\Downloads\yet_another_cleaner_sk_4272543.exe
C:\Users\Public\Desktop\Oblivion.lnk
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
C:\Windows\System32\drivers\{adb41315-fba7-4b86-be27-b2401a20c8d2}Gw64.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh advfirewall reset
CMD: attrib -h -s C:\DECRYPT_INSTRUCTIONS.* /s
CMD: attrib -h -s D:\DECRYPT_INSTRUCTIONS.* /s
CMD: del /q /s C:\DECRYPT_INSTRUCTIONS.*
CMD: del /q /s D:\DECRYPT_INSTRUCTIONS.*
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Komputer zainfekowany przez Crypt0L0cker

Rekomendowane odpowiedzi

xK2x

Odnośnik do komentarza

artus72

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność