Skocz do zawartości

Crypt0L0cker - Prośba o pomoc


Rekomendowane odpowiedzi

  • 3 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

"Crypt0L0cker" to nowy wariant TorrentLocker: KLIK. Odszyfrowanie plików nie jest możliwe. W mojej gestii będzie tylko usunięcie czynnej infekcji oraz pozostałych jej komponentów (masowe pliki DECRYPT_INSTRUCTIONS.* + zaszyfrowane kopie *.encrypted). Dodatkowo, w systemie jest innego typu poważne uszkodzenie - wszystkie usługi i sterowniki Microsoftu mają od góry do dołu oznaczenie braku podpisu cyfrowego, co oznacza uszkodzenie jednej z baz Usług krytptograficznych.

 

 

O ile temat nadal aktualny, działania do przeprzeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1558899207-2086174334-889782467-1001\...\Run: [omuvyquf] => D:\ProgramData\exoqokut.exe [280618 2015-05-12] ()
BootExecute:
Task: {1FB1E602-C75E-4058-A07D-F484BFE05B0A} - System32\Tasks\{5A2009E5-6320-4D3B-A0DB-B65318DCC085} => pcalua.exe -a E:\Friends2\Setup.exe -d E:\Friends2
Task: {341BCCB6-C7AF-43F9-81A7-C657AAA4A638} - System32\Tasks\{64219EC1-8128-4FB3-9570-CDD6E4F3230A} => pcalua.exe -a D:\Users\Grzegorz\Downloads\irfanview_lang_polski.exe -d "D:\Windows.old\Program Files (x86)\Mozilla Firefox"
Task: {771254C5-4C59-47F7-B655-3F28CE64AB3A} - System32\Tasks\{9A78C34F-C038-4D46-BDCF-351D737B21BA} => pcalua.exe -a F:\startuj.exe -d F:\
Task: {849F1AB7-4252-48BD-96C1-A1A26574DFD7} - System32\Tasks\Norton Identity Safe\Norton Error Processor => D:\Program Files (x86)\Norton Identity Safe\Engine\2013.3.0.26\SymErr.exe
Task: {9BF1D99A-1594-4B05-B002-9CD3CB538150} - System32\Tasks\{2E74451B-3AF2-474E-83F6-D22461150861} => pcalua.exe -a D:\Users\Grzegorz\Downloads\splinter_cell_chaos_theory_1.00_To_1.05_euro.exe -d "D:\Windows.old\Program Files (x86)\Mozilla Firefox"
Task: {AA94ECA0-421A-410F-91FE-7ACD25C28CED} - \{FCCEDEE0-E01C-496C-8726-EE30BEA9B2C4} No Task File 
Task: {BFDCDE43-F85A-42D3-9444-01763F9C6AAA} - System32\Tasks\{B9EC3D08-51AB-4D83-8FC4-A52E5EF1FB2F} => pcalua.exe -a D:\Users\Grzegorz\Downloads\Sims3_1.29.55.014017_from_1.26.89.013017.exe -d "D:\Windows.old\Program Files (x86)\Mozilla Firefox"
Task: {CEF68548-7B8B-4E22-929D-84FFB126103F} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => D:\Program Files (x86)\Norton Identity Safe\Engine\2013.3.0.26\SymErr.exe
Task: {D0289035-C57F-4163-9794-410F559F2268} - System32\Tasks\{459348B8-5B57-4F28-8D64-9D39FAFF2EEB} => H:\start.exe
Task: {E102499C-F43E-48A4-8BE4-94A2452E3F29} - \{37F04893-F64D-4A04-803F-48442CA068F6} No Task File 
Task: {F9784703-5FEA-4AA9-A7AE-9119E09A3570} - System32\Tasks\{DA10C2B5-B8F0-494A-8E9A-64362960C238} => pcalua.exe -a "E:\saints row 2\steam.exe" -c steam://uninstall/9480
Task: D:\Windows\Tasks\Adobe Flash Player Updater.job =>
Task: D:\Windows\Tasks\AutoKMS.job =>
Task: D:\Windows\Tasks\AutoKMSDaily.job =>
R2 MWAgent; D:\Program Files (x86)\Common Files\MicroWorld\Agent\MWASER.EXE [858632 2011-12-20] (MicroWorld Technologies Inc.)
S3 clwvd; system32\DRIVERS\clwvd.sys [X]
S3 EraserUtilDrv11220; \??\D:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11220.sys [X]
S1 GLogin; No ImagePath
S3 keycrypt; system32\DRIVERS\KeyCrypt64.sys [X]
S3 MSI_MSIBIOS_010507; \??\D:\Program Files (x86)\MSI\Live Update 5\msibios64_100507.sys [X]
S3 NTIOLib_1_0_4; \??\D:\Program Files (x86)\MSI\Live Update 5\NTIOLib_X64.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [X]
U0 SR; No ImagePath
U2 SRService; No ImagePath
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKU\S-1-5-21-1558899207-2086174334-889782467-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119887&babsrc=SP_ss&mntrId=30ED00FFEF4CC11E
SearchScopes: HKU\S-1-5-21-1558899207-2086174334-889782467-1001 -> {951265FF-C6C2-4D61-8785-6091AB57CA33} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=BAFFE972-3829-48E6-BDF9-833E7EDB2B69&apn_sauid=AE9ED8C3-B03C-4847-8963-0510F9522738
FF Plugin-x32: @Bitdefender.com/PasswordManager;version=17.8 -> D:\Program Files\Bitdefender\Bitdefender\Antispam32\pmbxnp.dll No File
FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - D:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
D:\Program Files (x86)\Common Files\MicroWorld
D:\ProgramData\{808801f6-940f-1c0f-8088-801f694007da}
D:\ProgramData\{a479e98a-190a-2b2c-a479-9e98a190a628}
D:\ProgramData\abekelataheficij
D:\ProgramData\exoqokut.exe
D:\ProgramData\hpeC2D1.dll
D:\ProgramData\TEMP
D:\ProgramData\Media Center Programs\DriverParallelLines.lnk
D:\ProgramData\Media Center Programs\gu.lnk
D:\ProgramData\Microsoft\Windows\GameExplorer\{19A1D145-1267-4D28-8A59-3D9F9F3886E9}
D:\ProgramData\Microsoft\Windows\GameExplorer\{6ACBFF89-89D4-47C3-A0F3-47C3A9A5AC7E}
D:\ProgramData\Microsoft\Windows\GameExplorer\{71F420AA-9315-414B-A883-CE353045E77D}
D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ashampoo\Ashampoo Home Designer Pro\Manuals\Manual Ashampoo Home Designer Pro.lnk
D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ashampoo\Ashampoo Home Designer Pro\Manuals\Manual Shortcuts.lnk
D:\ProgramData\Microsoft\Windows\Start Menu\Programs\New Super Mario Forever\New Super Mario Forever.lnk
D:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer
D:\ProgramData\Microsoft\Windows\Start Menu\Programs\AP Tuner 3.08
D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Atari
D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Chicken Invaders UO Polski
D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Digital Image Recovery
D:\ProgramData\Microsoft\Windows\Start Menu\Programs\HTC Home
D:\ProgramData\Microsoft\Windows\Start Menu\Programs\OLYMPUS Camera
D:\Users\Grzegorz\AppData\Local\Microsoft\Windows\GameExplorer\{55CC7FD2-42F0-41D5-82AD-0954A243B333}
D:\Users\Grzegorz\AppData\Local\Microsoft\Windows\GameExplorer\{92C17B13-64D9-44D2-95B0-27C276B0A921}
D:\Users\Grzegorz\AppData\Local\Microsoft\Windows\GameExplorer\{D9B56526-5886-47A5-8A78-32780D3CC589}
D:\Users\Grzegorz\AppData\Local\SpaceKace
D:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserProtect
D:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Oddworld Abe's Oddysee
D:\Users\Grzegorz\AppData\Temp
D:\Users\Grzegorz\Desktop\VR-360,D-760,VR-350,D-755,VR-340,D-750 Instrukcja obsługi.lnk
D:\Users\Grzegorz\Desktop\Wznów pobieranie.lnk
D:\Users\Grzegorz\Downloads\SpyHunter-Installer.exe
D:\Users\Public\Desktop\Your Software Deals.url
D:\Windows\System32\Tasks\Norton Identity Safe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Zemana AntiLogger Free Packages" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Live Update 5" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Steam" /f
CMD: netsh advfirewall reset
CMD: attrib -h -s C:\DECRYPT_INSTRUCTIONS.* /s
CMD: attrib -h -s D:\DECRYPT_INSTRUCTIONS.* /s
CMD: attrib -h -s E:\DECRYPT_INSTRUCTIONS.* /s
CMD: del /q /s C:\DECRYPT_INSTRUCTIONS.*
CMD: del /q /s D:\DECRYPT_INSTRUCTIONS.*
CMD: del /q /s E:\DECRYPT_INSTRUCTIONS.*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Naprawa usterki Usług kryptograficznych:

- Upewnij się, że nie masz zainstalowanej felernej łaty KB3004394. Jeśli w zainstalowanych aktualizacjach ona występuje, odinstaluj.

- Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2.

 

3. Wyczyść Firefox:

  • menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.
  • menu Historia > Wyczyść historię przeglądania
4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...