groniulek22 Opublikowano 12 Maja 2015 Zgłoś Udostępnij Opublikowano 12 Maja 2015 Witam, proszę o sprawdzenie logów.Problemem jest infekcja przez otwarcie nie tego załącznika co trzeba - Crypt0L0cker. Podsyłam logi: Z góry serdecznie dziękuję za odpowiedź FRST.txt Addition.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 (edytowane) "Crypt0L0cker" to nowy wariant TorrentLocker: KLIK. Odszyfrowanie plików nie jest możliwe. Wg raportów infekcja per se została już czymś usunięta. Jedyne co jest w mojej mocy, to usunięcie pozostałych śladów infekcji z systemu (masowe pliki DECRYPT_INSTRUCTIONS.* + zaszyfrowane kopie *.encrypted) oraz innych śmieci (są obiekty adware). Jeśli sprawa nadal aktualna: 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj: - Adware: iLivid, Movies Toolbar for Firefox (Dist. by Bandoo Media, Inc.), Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.), omiga-plus uninstall, Torch. - Stare wersje i zbędniki: Adobe Shockwave Player, Java 6 Update 15 (64-bit), Java 6 Update 21, Java SE Development Kit 6 Update 15 (64-bit), McAfee Security Scan Plus. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: IFEO\browsemngr.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browsermngr.exe: [Debugger] tasklist.exe IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe IFEO\cltmngsvc.exe: [Debugger] tasklist.exe IFEO\delta babylon.exe: [Debugger] tasklist.exe IFEO\delta tb.exe: [Debugger] tasklist.exe IFEO\delta2.exe: [Debugger] tasklist.exe IFEO\deltainstaller.exe: [Debugger] tasklist.exe IFEO\deltasetup.exe: [Debugger] tasklist.exe IFEO\deltatb.exe: [Debugger] tasklist.exe IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe IFEO\iminentsetup.exe: [Debugger] tasklist.exe IFEO\rjatydimofu.exe: [Debugger] tasklist.exe IFEO\sweetimsetup.exe: [Debugger] tasklist.exe IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe AppInit_DLLs: C:\PROGRA~3\Wincert\WIN64C~1.DLL => C:\PROGRA~3\Wincert\WIN64C~1.DLL File Not Found AppInit_DLLs: C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll => C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll File Not Found HKLM\...\AppCertDlls: [x86] -> C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll HKLM\...\AppCertDlls: [x64] -> C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [Adobe Photo Downloader] => "C:\Program Files (x86)\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" ShortcutWithArgument: C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX ShortcutWithArgument: C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX ShortcutWithArgument: C:\Users\Sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} HKU\S-1-5-21-2276001092-626760555-1109151234-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKU\S-1-5-21-2276001092-626760555-1109151234-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX URLSearchHook: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 - (No Name) - {87d5d709-40f2-48a7-8f47-7bb821af70ab} - No File SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> {C733E0BE-0ADF-4AC9-BC07-3D044A797762} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN41641281112939549&UM=1 BHO-x32: No Name -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> No File Toolbar: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> No Name - {87D5D709-40F2-48A7-8F47-7BB821AF70AB} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\firefox.cfg [2015-04-21] R2 TorchCrashHandler; C:\Users\Sylwia\AppData\Local\Torch\Update\TorchCrashHandler.exe [1217032 2014-10-29] (TorchMedia Inc.) S2 DatamngrCoordinator; C:\Program Files (x86)\Movies Toolbar\Datamngr\DatamngrCoordinator.exe [X] S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] Task: {5097392E-DD1C-4372-ACE2-4E1B2C5119B5} - System32\Tasks\DVDAgent => c:\Program Files (x86)\Hewlett-Packard\Media\DVD\DVDAgent.exe Task: {CB2DDD60-30F5-40BF-AB1D-A1501E1D3514} - System32\Tasks\{0311E9AF-D466-4180-A452-C4128DEC5CC8} => pcalua.exe -a "C:\Instalki\Autorun exe 669 kb\InstMsiW.exe" -d "C:\Instalki\Autorun exe 669 kb" Task: {CC682861-B271-4ACA-8466-D73446F1C2A3} - System32\Tasks\FoxTab => C:\Users\Sylwia\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: {D4BFBA55-AA55-499F-A9D0-C11C081377CF} - System32\Tasks\{096D8D83-4CC6-40C9-A084-C347BC510563} => pcalua.exe -a C:\Instalki\avira_antivir_personal_en.exe -d C:\Users\Sylwia\Desktop Task: {F9A1D246-37C2-46E8-A35A-2A2C7EAC2B3A} - System32\Tasks\{770D2E1F-A600-449B-8825-ECDE3B9BDE1C} => c:\program files (x86)\opera\opera.exe Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Sylwia\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE C:\Program Files (x86)\Avira C:\Program Files (x86)\Movies Toolbar C:\ProgramData\*.log C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\lsass.exe C:\ProgramData\Avira C:\ProgramData\TorchCrashHandler C:\ProgramData\ykesecizacubipyv C:\ProgramData\Microsoft\Windows\GameExplorer\{b6602113-b3c7-45a1-a9f3-d54cfd381d30} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\HP Advisor\AdvisorVideo.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET\ESET NOD32 Antivirus\Dokumentacja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET\ESET NOD32 Antivirus\Umowa Licencyjna.lnk C:\Users\Public\Desktop\Avira.lnk C:\Users\Sylwia\Autorun.exe C:\Users\Sylwia\wrar393pl.exe C:\Users\Sylwia\AppData\Local\tmp*.* C:\Users\Sylwia\AppData\Local\Google C:\Users\Sylwia\AppData\Local\Torch C:\Users\Sylwia\AppData\Roaming\Avira C:\Users\Sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\iLivid.lnk C:\Users\Sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Torch.lnk C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\iLivid.lnk C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Torch.lnk C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Torch C:\Users\Sylwia\Desktop\Pierdołasy\Adobe Photoshop Album Starter Edition 3.0.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Continue WinZip Installation.lnk C:\Users\Sylwia\Desktop\Pierdołasy\DSCN2667 — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\iLivid.lnk C:\Users\Sylwia\Desktop\Pierdołasy\McAfee Security Scan Plus.lnk C:\Users\Sylwia\Desktop\Pierdołasy\OpenFM.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Opera.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Panopticon Path of Reflections.lnk C:\Users\Sylwia\Desktop\Pierdołasy\PhotoScape.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Rzeźnik MPEG'ów .lnk C:\Users\Sylwia\Desktop\Pierdołasy\Sweet Home 3D.lnk C:\Users\Sylwia\Desktop\Pierdołasy\VoxBox 2.52.lnk C:\Users\Sylwia\Desktop\Pierdołasy\WildTangent Games App - hp.lnk C:\Users\Sylwia\Desktop\Pierdołasy\WinZip.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\FIRMA\Baza firm — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\FIRMA\witraże\* — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\FIRMA\głowica\* — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\DSCN1794 - Kopia — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\eMule.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\Gadu-Gadu 10.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\list — skrót (2).lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\list — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\Wolfenstein (Single Player).lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\oferty\Nowy folder\AGAD EXCEL\Nowy Dokument programu Microsoft Office Word — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Wycięte\OpenFM.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Wycięte\The Sims™ 3.lnk C:\Users\Sylwia\Pictures\Google Chrome.lnk RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\found.000 RemoveDirectory: C:\Users\TEMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f CMD: netsh advfirewall reset CMD: attrib -h -s C:\DECRYPT_INSTRUCTIONS.* /s CMD: attrib -h -s D:\DECRYPT_INSTRUCTIONS.* /s CMD: del /q /s C:\DECRYPT_INSTRUCTIONS.* CMD: del /q /s D:\DECRYPT_INSTRUCTIONS.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi