Kristoffx Opublikowano 2 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2015 Witam, proszę o pomoc w usunięciu wirusa crypt0l0cker. Wirus został uruchomiony z fałszywej strony internetowej Poczty Polskiej. Po uruchomieniu wirus zakodował większość plików na komputerze. Zapewne nie da się ich odkodować? Wykonałem obowiązkowe logi. FRST wykonał skan prawidłowo, natomiast problem pojawił się przy skanowaniu GMER. W momencie uruchomienie GMER wyrzucił błąd a następnie w okienku programu zaszarzone były boxy do zaznaczania opcji skanowania. Screeny z błędami załączam poniżej. Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 3 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2015 1) Service C:\WINDOWS\System32\Drivers\6edf95fac9406c4e.sys (*** hidden *** ) [bOOT] 6edf95fac9406c4e <-- ROOTKIT !!! Rootkit NECURS! Zrób log z TDSSKiller (bo to przy jego pomocy trzeba usuwać tego Rootkita) - https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry33542 2) Otwórz Notatnik i wklej w nim: Unlock: C:\Windows\System32\Drivers\6edf95fac9406c4e.sysHKLM\...\Run: [sunJavaUpdateSched] => C:\Documents and Settings\All Users.WINDOWS\svchost.exeHKLM\...\Run: [Regedit32] => C:\WINDOWS\system32\regedit.exeHKLM\...\Run: [uqirqmyv] => C:\WINDOWS\ynydefuk.exe [439273 2015-07-21] ()HKLM\...\Policies\Explorer\Run: [49812] => c:\Documents and Settings\All Users.WINDOWS\dxhalsz.exe [76800 2010-01-18] (If*)HKU\S-1-5-21-1085031214-1229272821-682003330-1004\...\Run: [y1ag2rtq9f] => C:\Documents and Settings\Sekretariat\y1ag2rtq9f.exeHKU\S-1-5-21-1085031214-1229272821-682003330-1004\...\Run: [q.com] => C:\Documents and Settings\Sekretariat\Dane aplikacji\q\q.comHKU\S-1-5-21-1085031214-1229272821-682003330-1004\...\Run: [{1DF79C7D-1415-1C53-C1F7-6E6D69E47C04}] => C:\Documents and Settings\Sekretariat\Dane aplikacji\Citazy\ledi.exe [141824 2011-12-01] ()HKU\S-1-5-21-1085031214-1229272821-682003330-1004\...\Run: [dxhalsz.exe] => C:\Documents and Settings\All Users.WINDOWS\dxhalsz.exe [76800 2010-01-18] (If*)HKU\S-1-5-21-1085031214-1229272821-682003330-1004\...\Run: [00a1d38d.exe] => C:\Documents and Settings\Sekretariat\Ustawienia lokalne\Temp\00a1d38d.exe [1245800 2014-07-09] () <===== ATTENTIONHKU\S-1-5-21-1085031214-1229272821-682003330-1004\...\Run: [007f30f9.exe] => C:\Documents and Settings\Sekretariat\Ustawienia lokalne\Temp\007f30f9.exe [1245782 2014-09-15] () <===== ATTENTIONHKU\S-1-5-21-1085031214-1229272821-682003330-1004\...\Run: [007f79f8.exe] => C:\Documents and Settings\Sekretariat\Ustawienia lokalne\Temp\007f79f8.exe [1156608 2014-09-15] () <===== ATTENTIONHKU\S-1-5-21-1085031214-1229272821-682003330-1004\...\RunOnce: [Microsoft] => C:\Documents and Settings\Sekretariat\Ustawienia lokalne\Dane aplikacji\svchost.exeC:\Documents and Settings\All Users.WINDOWS\svchost.exeC:\WINDOWS\system32\regedit.exeC:\WINDOWS\ynydefuk.exec:\Documents and Settings\All Users.WINDOWS\dxhalsz.exeC:\Documents and Settings\Sekretariat\y1ag2rtq9f.exeC:\Documents and Settings\Sekretariat\Dane aplikacji\q\q.comC:\Documents and Settings\Sekretariat\Dane aplikacji\qC:\Documents and Settings\Sekretariat\Dane aplikacji\Citazy\ledi.exeC:\Documents and Settings\Sekretariat\Dane aplikacji\CitazyHKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTIONSearchScopes: HKLM -> DefaultScope Yandex URL = http://yandex.ru/yandsearch?clid=154468&text={searchTerms}SearchScopes: HKLM -> Yandex URL = http://yandex.ru/yandsearch?clid=154468&text={searchTerms}SearchScopes: HKU\S-1-5-21-1085031214-1229272821-682003330-1004 -> DefaultScope Yandex URL = http://yandex.ru/yandsearch?clid=154468&text={searchTerms}SearchScopes: HKU\S-1-5-21-1085031214-1229272821-682003330-1004 -> Moikrug URL = http://moikrug.ru/persons/?clid=154468&charset=utf-8&keywords={searchTerms}&submitted=1SearchScopes: HKU\S-1-5-21-1085031214-1229272821-682003330-1004 -> Yandex URL = http://yandex.ru/yandsearch?clid=154468&text={searchTerms}FF Extension: No Name - C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [not found]U5 6edf95fac9406c4e; C:\Windows\System32\Drivers\6edf95fac9406c4e.sys [44160 2011-12-27] () <===== ATTENTION Necurs Rootkit?C:\Documents and Settings\Sekretariat\Moje dokumenty\DECRYPT_INSTRUCTIONS.html2015-07-21 10:34 - 2015-07-21 10:34 - 00007748 _____ C:\Documents and Settings\Sekretariat\DECRYPT_INSTRUCTIONS.html2015-07-21 10:34 - 2015-07-21 10:34 - 00003197 _____ C:\Documents and Settings\Sekretariat\Moje dokumenty\DECRYPT_INSTRUCTIONS.txt2015-07-21 10:34 - 2015-07-21 10:34 - 00003197 _____ C:\Documents and Settings\Sekretariat\DECRYPT_INSTRUCTIONS.txt2015-07-21 10:29 - 2015-08-02 12:01 - 00007748 _____ C:\Documents and Settings\Sekretariat\Pulpit\DECRYPT_INSTRUCTIONS.html2015-07-21 10:29 - 2015-08-02 12:01 - 00003197 _____ C:\Documents and Settings\Sekretariat\Pulpit\DECRYPT_INSTRUCTIONS.txt2015-07-21 10:25 - 2015-07-21 10:25 - 00007748 _____ C:\Documents and Settings\NetworkService\DECRYPT_INSTRUCTIONS.html2015-07-21 10:25 - 2015-07-21 10:25 - 00007748 _____ C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\DECRYPT_INSTRUCTIONS.html2015-07-21 10:25 - 2015-07-21 10:25 - 00007748 _____ C:\Documents and Settings\LocalService\DECRYPT_INSTRUCTIONS.html2015-07-21 10:25 - 2015-07-21 10:25 - 00007748 _____ C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\DECRYPT_INSTRUCTIONS.html2015-07-21 10:25 - 2015-07-21 10:25 - 00007748 _____ C:\Documents and Settings\Gość\Ustawienia lokalne\Dane aplikacji\DECRYPT_INSTRUCTIONS.html2015-07-21 10:25 - 2015-07-21 10:25 - 00003197 _____ C:\Documents and Settings\NetworkService\DECRYPT_INSTRUCTIONS.txt2015-07-21 10:25 - 2015-07-21 10:25 - 00003197 _____ C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\DECRYPT_INSTRUCTIONS.txt2015-07-21 10:25 - 2015-07-21 10:25 - 00003197 _____ C:\Documents and Settings\LocalService\DECRYPT_INSTRUCTIONS.txt2015-07-21 10:25 - 2015-07-21 10:25 - 00003197 _____ C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\DECRYPT_INSTRUCTIONS.txt2015-07-21 10:25 - 2015-07-21 10:25 - 00003197 _____ C:\Documents and Settings\Gość\Ustawienia lokalne\Dane aplikacji\DECRYPT_INSTRUCTIONS.txt2015-07-21 10:24 - 2015-07-21 10:24 - 00007748 _____ C:\Documents and Settings\Gość\Pulpit\DECRYPT_INSTRUCTIONS.html2015-07-21 10:24 - 2015-07-21 10:24 - 00007748 _____ C:\Documents and Settings\Default User\DECRYPT_INSTRUCTIONS.html2015-07-21 10:24 - 2015-07-21 10:24 - 00007748 _____ C:\Documents and Settings\Default User.WINDOWS\DECRYPT_INSTRUCTIONS.html2015-07-21 10:24 - 2015-07-21 10:24 - 00003197 _____ C:\Documents and Settings\Gość\Pulpit\DECRYPT_INSTRUCTIONS.txt2015-07-21 10:24 - 2015-07-21 10:24 - 00003197 _____ C:\Documents and Settings\Default User\DECRYPT_INSTRUCTIONS.txt2015-07-21 10:24 - 2015-07-21 10:24 - 00003197 _____ C:\Documents and Settings\Default User.WINDOWS\DECRYPT_INSTRUCTIONS.txt2015-07-21 10:22 - 2015-07-21 10:22 - 00439273 _____ C:\WINDOWS\ynydefuk.exe2015-07-21 10:22 - 2015-07-21 10:22 - 00000000 ____D C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ekytenomocatyhox2015-07-21 10:22 - 2015-07-21 10:22 - 00000000 ____D C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ekytenomocatyhoxC:\Documents and Settings\All Users.WINDOWS\dxbitq.exeCustomCLSID: HKU\S-1-5-21-1085031214-1229272821-682003330-1004_Classes\CLSID\{43887C67-4D5D-4127-BAAC-87A288494C7C}\InprocServer32 -> C:\Program Files\OpenOffice.org 3\Basis\program\xmergesync.dll No FileCustomCLSID: HKU\S-1-5-21-1085031214-1229272821-682003330-1004_Classes\CLSID\{BDD611C3-7BAB-460F-8711-5B9AC9EF6020}\InprocServer32 -> C:\Program Files\OpenOffice.org 3\Basis\program\xmergesync.dll No FileCustomCLSID: HKU\S-1-5-21-1085031214-1229272821-682003330-1004_Classes\CLSID\{C6AB3E74-9F4F-4370-8120-A8A6FABB7A7C}\InprocServer32 -> C:\Program Files\OpenOffice.org 3\Basis\program\xmergesync.dll No FileCustomCLSID: HKU\S-1-5-21-1085031214-1229272821-682003330-1004_Classes\CLSID\{CB43F086-838D-4FA4-B5F6-3406B9A57439}\InprocServer32 -> C:\Program Files\OpenOffice.org 3\Basis\program\xmergesync.dll No FileC:\Documents and Settings\All Users\Menu Start\Programy\Skype\Skype.lnkC:\Documents and Settings\Sekretariat\Pulpit\Venessa Sieć na Venessa-01.lnkC:\Documents and Settings\Sekretariat\Pulpit\różne programy\Adobe Media Player.lnkC:\Documents and Settings\Sekretariat\Pulpit\różne programy\Adobe Reader 8.lnkC:\Documents and Settings\Sekretariat\Pulpit\różne programy\Adobe Reader 9.lnkC:\Documents and Settings\Sekretariat\Pulpit\różne programy\Adobe Reader X.lnkC:\Documents and Settings\Sekretariat\Pulpit\różne programy\GIMP 2.lnkC:\Documents and Settings\Sekretariat\Pulpit\różne programy\iTunes.lnkC:\Documents and Settings\Sekretariat\Pulpit\różne programy\McAfee Security Scan Plus.lnkC:\Documents and Settings\Sekretariat\Pulpit\różne programy\Play Lineage II.lnkC:\Documents and Settings\Sekretariat\NetHood\Venessa Sieć na Venessa-01\target.lnk -> \\VENESSA-01\Venessa Sieć (No File)C:\Documents and Settings\Sekretariat\NetHood\Users na Venessa-01\target.lnk -> \\VENESSA-01\Users (No File)C:\Documents and Settings\Sekretariat\NetHood\SharedDocs na Venessa-janusz\target.lnk -> \\VENESSA-JANUSZ\SharedDocs (No File)C:\Documents and Settings\Sekretariat\NetHood\SharedDocs na Dyspozytor\target.lnk -> \\DYSPOZYTOR\SharedDocs (No File)C:\Documents and Settings\Sekretariat\NetHood\public na My Book Live Network Storage (Mybooklive)\target.lnk -> \\MYBOOKLIVE\Public (No File)C:\Documents and Settings\Sekretariat\NetHood\Outlook Poczta 2014 na Venessa-01\target.lnk -> \\VENESSA-01\Outlook Poczta 2014 (No File)C:\Documents and Settings\Sekretariat\NetHood\Outlook kopia 2013 na Venessa-01\target.lnk -> \\VENESSA-01\Outlook kopia 2013 (No File)C:\Documents and Settings\Sekretariat\NetHood\Outlook Express na Dyspozytor\target.lnk -> \\DYSPOZYTOR\Outlook Express (No File)C:\Documents and Settings\Sekretariat\NetHood\Dyspozytor 2015 na Dyspozytor\target.lnk -> \\DYSPOZYTOR\Dyspozytor 2015 (No File)C:\Documents and Settings\Sekretariat\NetHood\Dyspozytor 2014 na Dyspozytor\target.lnk -> \\DYSPOZYTOR\Dyspozytor 2014 (No File)C:\Documents and Settings\Sekretariat\NetHood\Dyspozytor 2013 na Dyspozytor\target.lnk -> \\DYSPOZYTOR\Dyspozytor 2013 (No File)C:\Documents and Settings\Sekretariat\NetHood\Dyspozytor 2012 na Dyspozytor\target.lnk -> \\DYSPOZYTOR\Dyspozytor 2012 (No File)C:\Documents and Settings\Sekretariat\NetHood\Dyspozytor 2011r na Dyspozytor\target.lnk -> \\DYSPOZYTOR\Dyspozytor 2011r (No File)C:\Documents and Settings\Sekretariat\NetHood\Dyspozytor 2010 na Dyspozytor\target.lnk -> \\DYSPOZYTOR\Dyspozytor 2010 (No File)C:\Documents and Settings\Sekretariat\NetHood\dvd na Dyspozytor\target.lnk -> \\DYSPOZYTOR\dvd (No File)C:\Documents and Settings\Sekretariat\NetHood\Dokumentacje skrzyżowań na Dyspozytor\target.lnk -> \\DYSPOZYTOR\Dokumentacje skrzyżowań (No File)C:\Documents and Settings\Sekretariat\NetHood\c na Stacja2 (Stacja-2)\target.lnk -> \\Stacja-2\c (No File)C:\Documents and Settings\Sekretariat\NetHood\c na Dyspozytor\target.lnk -> \\Dyspozytor\c (No File)C:\Documents and Settings\Sekretariat\NetHood\Archiwum_Dyrekcja na My Book Live Network Storage (Mybooklive)\target.lnk -> \\MYBOOKLIVE\Archiwum_Dyrekcja (No File)EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix.Powstanie plik fixlog.txt.Daj ten log. 3) Zrób nowe logi FRST. ---------------------------------------- Masz kilkanaście różnych infekcji, więc zastanawiam się, czy w ogóle warto zajmować się ich usuwaniem, może lepiej sformatować dysk i wgrać System od nowa? Nie jestem "na bieżąco" z tą infekcją, więc nie wiem, czy jest już jakiś deszyfrator plików zaszyfrowanych przez tę wersję infekcji. Podobno jest już deszyfrator, ale czy akurat tej wersji? - Nie wiem. Od dzisiaj pomaganiem w tym dziale forum ma się zajmować nowy Moderator @Naathim https://www.fixitpc.pl/user/12-naathim/ ale nie wiem, czy zajmie się tez Twoim tematem, czy może tylko nowymi tematami? jeśli się zajmie Twoim tematem, to oczywiście wykonuj Jego zalecenia, a nie moje! jessi Odnośnik do komentarza
Kristoffx Opublikowano 3 Sierpnia 2015 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2015 Dziękuję za odpowiedź, wykonałem skan TDSSKiller oraz fix w FRST. Poniżej załączam logi. Antywirus Comodo wyrzuca alarmy że w kwarantannie FRST siedzi jeszcze trojan. Kazać mu usunąć? Czy poza tym jakieś robaki jeszcze pozostały? Chciałbym uratować komputer, ale jak będzie trzeba to ostatecznie wykonam FORMAT C: PZDR. Addition.txt FRST.txt Shortcut.txt TDSSKiller.3.1.0.5_03.08.2015_08.32.35_log.txt TDSSKiller.3.1.0.5_03.08.2015_08.35.30_log.txt TDSSKiller.3.1.0.5_03.08.2015_10.56.05_log.txt Fixlog.txt Odnośnik do komentarza
jessica Opublikowano 3 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2015 W nowych logach nie widzę już żadnej infekcji. Oczywiście widać Twoje zaszyfrowane pliki - na to nic nie poradzę. jessi Odnośnik do komentarza
marcin878787 Opublikowano 4 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2015 Spróbuj przywrócić zaszyfrowane pliki przy użyciu tej metody - > https://www.youtube.com/watch?v=amVDf5BEaiY Odnośnik do komentarza
a3756 Opublikowano 4 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2015 Jeżeli masz ten co mnie dopadł to pousuwał punkty przywracania systemu i nadpisał pliki które zaszyfrował że nie dało się ich odzyskać. Za odkodowanie bagatela 3000 zł. Jednak kopie zapasowe ratują jak się je robi Odnośnik do komentarza
marcin878787 Opublikowano 4 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2015 Z loga Addition wynika, że punkty przywracania zostały zachowane. A więc można spróbować odzyskać zaszyfrowane pliki na ich podstawie. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się