Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wirus zaszyfrował pliki - do rozszerzeń zostało dodane "helpme@freespeechmail.org"

Maysterek

Przez Maysterek
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Maysterek

Maysterek

Opublikowano
Opublikowano

Witam. 

Moje pliki zostały zaszyfrowane, w przeważającej liczbie są to dokumenty tekstowe. Infekcja postępowała stopniowo, zajmując coraz większą liczbę plików na dysku. Czytałem o programach Kaspersky do deszyfrowania takich plików ale chciałbym żebyście przyjrzeli się dokładnie temu, żebym sobie większej szkody nie narobił. Przed wykonaniem logów dysk został potraktowany programem Kaspersky Rescue Disc ponieważ nie dało się z niego korzystać, nawet programów z forum nie dało się pobrać więc musiałem to wykonać w pierwszej kolejności. Tak jak już wspomniałem w temacie do rozszerzeń zaszyfrowanych plików zostały dodane dopiski ""helpme@freespeechmail.org"

 

Załączam oczywiście pliki logów:

 

 

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Infekcja szyfrująca nie jest czynna, ale zanim zabierzesz się za odkodowanie plików, posprzątajmy, bo system jest mocno zaśmiecony: Avast został zablokowany przez malware na bazie polityk oprogramowania, są nadal aktywne różne obiekty adware oraz kupa odpadkowych śmieci. Akcje do przeprowadzenia:

 

 

1. Był uruchamiany GMER, więc upewnij się, że transfer dysku się nie obniżył do PIO, co bardzo utrudniłoby późniejsze operacje dekodera. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

2. Przez Dodaj/Usuń programy odinstaluj:

 

- Stare wersje i zbędniki: ABBYY FineReader 5.0 Sprint, ABBYY FineReader 6.0, Acrobat.com, Adobe AIR, AVG Security Toolbar, Java™ 6 Update 31, Java™ 6 Update 6, Java™ 6 Update 7, McAfee Security Scan Plus, OpenOffice.org Installer 1.0, Real Alternative 1.8.0

- Adware/PUP: Delta Chrome Toolbar, Desk 365, FlvPlayer, MiPony 2.0.2, Mipony Download Manager Packages, Smiley Bar for Facebook, Update for Mipony Download Manager, VideoDownloadConverter Internet Explorer Toolbar, WeatherBlink Internet Explorer Toolbar, WebCake 3.00, Winamp Toolbar for Internet Explorer.

 

Jeśli coś nie będzie widoczne lub zgłosi błąd, kontynuuj dalej.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM Group Policy restriction on software: C:\Program Files\AVAST Software 
HKLM Group Policy restriction on software: C:\Program Files\Alwil Software 
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKU\S-1-5-21-484763869-287218729-725345543-1003\...\Run: [NokiaPCInternetAccess] => "C:\Program Files\Nokia\PC Internet Access\NPCIA.exe" /b
HKU\S-1-5-21-484763869-287218729-725345543-500\...\RunOnce: [Del450640] => cmd.exe /Q /D /c del "C:\DOCUME~1\ADMINI~1.000\USTAWI~1\Temp\0.del" 
Winlogon\Notify\WgaLogon: WgaLogon.dll [X]
Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\ADMINI~1.000\DANEAP~1\BABSOL~1\Shared\BabMaint.exe 
BootExecute: autocheck autochk * aswBoot.exe /M:29cec3ea4378 /dir:C:\Program
S3 ADIHdAudAddService; system32\drivers\ADIHdAud.sys [X]
S3 AEAudio; system32\drivers\AEAudio.sys [X]
S3 catchme; \??\C:\DOCUME~1\Ja\USTAWI~1\Temp\catchme.sys [X]
S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X]
S3 EverestDriver; \??\C:\Documents and Settings\Ja\Pulpit\everestultimate_build_1066\kerneld.wnt [X]
S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X]
S3 SenFiltService; system32\drivers\Senfilt.sys [X]
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Documents and Settings\Ja\Dane aplikacji\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{E69341A3-E6D2-4175-B60C-C9D3D6FA40F6}\localserver32 -> C:\Documents and Settings\Ja\Dane aplikacji\Dropbox\bin\Dropbox.exe /wiacallback => Brak pliku
StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.22find.com/?utm_source=b&utm_medium=501&from=501&uid=SAMSUNGXHD252HJ_S17HJ9DQ402510&ts=1359556452
CHR StartupUrls: Default -> "hxxp://kl.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130208&user_guid=9ABB1EEF6AF84127A188AA841AE180F6&machine_id=f17123d12604361b6e951b71ec099dee&browser=CR&os=win&os_version=5.1-x86-SP2"
FF Session Restore: -> [funkcja włączona]
FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\18.9.0\\npsitesafety.dll [brak pliku]
FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll [2012-02-25] (Sun Microsystems, Inc.)
FF Plugin: @mcafee.com/McAfeeMssPlugin -> C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll [2013-02-05] (McAfee, Inc.)
FF Plugin: @real.com/nppl3260;version=6.0.11.2852 -> C:\Program Files\Real Alternative\browser\plugins\nppl3260.dll [2008-04-28] (RealNetworks, Inc.)
FF Plugin: @real.com/nppl3260;version=6.0.12.46 -> C:\Program Files\Real Alternative\browser\plugins\nppl3260.dll [2008-04-28] (RealNetworks, Inc.)
FF Plugin: @real.com/nprpjplug;version=6.0.12.1662 -> C:\Program Files\Real Alternative\browser\plugins\nprpjplug.dll [2008-04-28] (RealNetworks, Inc.)
FF Plugin: @real.com/nprpjplug;version=6.0.12.46 -> C:\Program Files\Real Alternative\browser\plugins\nprpjplug.dll [2008-04-28] (RealNetworks, Inc.)
FF Plugin: @VideoDownloadConverter_4z.com/Plugin -> C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll [2014-04-05] (Mindspark)
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
FF HKLM\...\Firefox\Extensions: [statuswinks@StatusWinks] - C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Extensions\statuswinks@StatusWinks
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKU\S-1-5-21-484763869-287218729-725345543-1003\...\Firefox\Extensions: [statuswinks@StatusWinks] - C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Extensions\statuswinks@StatusWinks
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-484763869-287218729-725345543-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
HKU\S-1-5-21-484763869-287218729-725345543-1003\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.delta-search.com/?affID=121845&babsrc=HP_ss&mntrId=7012A0F3C1320345
HKU\S-1-5-21-484763869-287218729-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
HKU\S-1-5-21-484763869-287218729-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
HKU\S-1-5-21-484763869-287218729-725345543-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-search.com/?affID=121845&babsrc=HP_ss&mntrId=7012A0F3C1320345
HKU\S-1-5-21-484763869-287218729-725345543-500\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.delta-search.com/?affID=121845&babsrc=HP_ss&mntrId=7012A0F3C1320345
URLSearchHook: HKU\S-1-5-21-484763869-287218729-725345543-1003 - (Brak nazwy) - {93a3111f-4f74-4ed8-895e-d9708497629e} - Brak pliku
URLSearchHook: [s-1-5-21-484763869-287218729-725345543-500] UWAGA => Brak domyślnego URLSearchHook
SearchScopes: HKLM -> DefaultScope {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=B3C08734-4B05-4A09-A3F8-9B80B65B6874&ind=2014040507&n=780bd1bb&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKLM -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=658f9106-3646-11e1-a41e-001d92fcc647&q={searchTerms}
SearchScopes: HKLM -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=B3C08734-4B05-4A09-A3F8-9B80B65B6874&ind=2014040507&n=780bd1bb&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKLM -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}
SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> DefaultScope {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = hxxp://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130208&user_guid=9ABB1EEF6AF84127A188AA841AE180F6&machine_id=f17123d12604361b6e951b71ec099dee&browser=IE&os=win&os_version=5.1-x86-SP2&iesrc={referrer:source}
SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {043C5167-00BB-4324-AF7E-62013FAEDACF} URL = hxxp://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp
SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&affID=118722&tt=0313_3&babsrc=SP_ss&mntrId=7012dd250000000000008c89a56842bf
SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.22find.com/web/?utm_source=b&utm_medium=501&from=501&uid=SAMSUNGXHD252HJ_S17HJ9DQ402510&ts=1359556467
SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = hxxp://www.daemon-search.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {AE18CCFC-EB56-403E-988D-63288173B42F} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=75f87e41-f4b0-4882-91da-0be8bf89eb67&apn_sauid=EC6FC408-320B-4E88-91F9-250DCC496F21
SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = hxxp://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130208&user_guid=9ABB1EEF6AF84127A188AA841AE180F6&machine_id=f17123d12604361b6e951b71ec099dee&browser=IE&os=win&os_version=5.1-x86-SP2&iesrc={referrer:source}
SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=B3C08734-4B05-4A09-A3F8-9B80B65B6874&ind=2014040507&n=780bd1bb&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}
SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {F2B5AF9F-1C92-4912-9D12-B96FB65BA847} URL = hxxp://search.babylon.com/?q={searchTerms}&AF=108603&babsrc=SP_ss&mntrId=7012dd25000000000000001d92fcc647
SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-500 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-500 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=7012A0F3C1320345
BHO: Brak nazwy -> {c547c6c2-561b-4169-a2a5-20ba771ca93b} -> Brak pliku
Toolbar: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku
DPF: {31435657-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab
DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/B/0/6/B06D48C0-917B-44E2-92E0-6B3E159624A6/wmv9vcm.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\BabSolution
C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Babylon
C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\TestApp
C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\MiPony.lnk
C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Menu Start\Programy\MiPony
C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Pulpit\MiPony.lnk
C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search
C:\Documents and Settings\All Users\Dane aplikacji\MFAData
C:\Documents and Settings\All Users\Menu Start\Programy\FlvPlayer
C:\Documents and Settings\All Users\Menu Start\Programy\McAfee Security Scan Plus
C:\Documents and Settings\All Users\Menu Start\Programy\Nokia PC Internet Access\Nokia PC Internet Access.lnk
C:\Documents and Settings\Ja\Skrót do Ja.lnk
C:\Documents and Settings\Ja\Dane aplikacji\skype.ini
C:\Documents and Settings\Ja\Dane aplikacji\Babylon
C:\Documents and Settings\Ja\Dane aplikacji\Desk 365
C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Extensions
C:\Documents and Settings\Ja\Dane aplikacji\StartNow Toolbar
C:\Documents and Settings\Ja\Dane aplikacji\StatusWinks
C:\Documents and Settings\Ja\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK
C:\Documents and Settings\Ja\Menu Start\Programy\BitGuard
C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences
C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Web Data
C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\newtab.crx
C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Torpedo
C:\Program Files\Desk 365
C:\Program Files\File Scout
C:\Program Files\Java
C:\Program Files\VideoDownloadConverter_4z
C:\Program Files\WebCake
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\Mozilla Firefox\plugins
C:\Program Files\Common Files\AVG Secure Search
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup
C:\WINDOWS\pss\TorpedoCopy.lnkStartup
RemoveDirectory: C:\ComboFix(2)
DisableService: sptd
CMD: del /q C:\ComboFix.txt.id-9850759202_helpme@freespeechmail.org
Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f
Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Ja^Menu Start^Programy^Autostart^TorpedoCopy.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desk 365" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths" /s
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths" /s
Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment"
CMD: set
CMD: netsh firewall reset
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Ustawienia lokalne\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\Ja\Dane aplikacji"
CMD: dir /a "C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść przeglądarki z adware:

 

Firefox:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia potem przeinstalujesz.
  • Menu Historia > Wyczyść całą historię przeglądania.
Google Chrome:
  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj AVG Security Toolbar, Smiley Bar for Facebook (o ile nadal będą widoczne po w/w deinstalacjach).
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

 

6. Gdy potwierdzę wykonanie zadań w nowych logach oraz wykonam poprawki, zapuścisz RakhniDecryptor. Z tym, że będzie problem z dyskiem C, jest na nim bardzo mało miejsca, a dekoder potrzebuje dużo. Dlatego próbuję najpierw czyścić system ze śmieci, bo może się rozszerzyć zakres wolnego miejsca.

 

==================== Dyski ================================
 

Drive c: () (Fixed) (Total:68.36 GB) (Free:5.23 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)]

Drive d: (Nowy) (Fixed) (Total:164.52 GB) (Free:144.99 GB) NTFS
Odnośnik do komentarza
Maysterek

Maysterek

Opublikowano
  • Autor
Opublikowano

Wydaje mi się że wszystko wykonałem. Zamieszczam wymagane logi. Co do miejsca na C to faktycznie nie ma zbyt wiele. A co ewentualnie jeżeli bym te dane przekopiował na drugiego kompa, który ma 1TB dysk, ponadto i7 + CUDA, myślę że szybciej by sobie poradził z deszyfrowaniem niż ten stary dziadzia na XP :)

 

 

Addition.txt

Fixlog.txt

FRST.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

A co ewentualnie jeżeli bym te dane przekopiował na drugiego kompa, który ma 1TB dysk, ponadto i7 + CUDA, myślę że szybciej by sobie poradził z deszyfrowaniem niż ten stary dziadzia na XP

Ale nie tylko Twoje osobiste pliki są zaszyfrowane, ale też pliki Windows i programów. Kopiowanie wszystkiego na inny dysk zajmie dużo czasu, a zadbanie o zaszyfrowane pliki Windows i programów to jakaś straszna robota, musiałbyś je po kolei wstawiać do odpowiednich miejsc... I na razie dokładnie sprzątam, by dekoder nie zajmował się nieistotnymi plikami aplikacji odinstalowanych.

 

 

Prawie wszystko wykonane, ale wystąpił problem z deinstalacją paska AVG. A przeprowadzone czynności zwiększyły ilość miejsca na dysku:

 

Drive c: () (Fixed) (Total:68.36 GB) (Free:9.18 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)]

 

Prawdopodobnie miejsca się jeszcze znajdzie trochę, bo są kolejne poprawki. Otwórz Notatnik i wklej w nim:

 

() C:\Program Files\AVG Secure Search\vprot.exe
S4 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [691696 2011-05-27] (Duplex Secure Ltd.)
S4 desksvc; C:\Program Files\Desk 365\deskSvc.exe [X] 
S2 VideoDownloadConverter_4zService; C:\PROGRA~1\VIDEOD~2\bar\1.bin\4zbarsvc.exe [X]
S2 vToolbarUpdater18.9.0; "C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.9.0\ToolbarUpdater.exe" [X]
HKLM\...\Run: [vProt] => C:\Program Files\AVG Secure Search\vprot.exe [2569616 2015-10-01] ()
Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\18.9.0\ViProtocol.dll Brak pliku
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Opera.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AVG Secure Search
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WeatherBlinkbar Uninstall Internet Explorer
DeleteKey: HKU\S-1-5-21-484763869-287218729-725345543-500\Software\Microsoft\Windows\CurrentVersion\Uninstall\DSite
DeleteKey: HKU\S-1-5-21-484763869-287218729-725345543-500\Software\Microsoft\Windows\CurrentVersion\Uninstall\Mipony Download Manager Packages
RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\0D0S1L2Z1P1B0T1P1B2Z
RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Delta
RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\DSite
RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Macromedia
RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Malwarebytes
RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Mozilla
RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Ustawienia lokalne\Dane aplikacji\Google
RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Ustawienia lokalne\Dane aplikacji\Mozilla
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\AVG
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\AVG2013
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814tb
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Babylon
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\DAEMON Tools Lite
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\GARMIN
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\McAfee
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\NOS
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\PC Tools
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Sun
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Wru
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\ABBYY
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\ACD Systems
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\AVG
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\AVG Secure Search
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\AVG2013
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\DAEMON Tools Lite
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Gadu-Gadu
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\GARMIN
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\GoPlayer
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\ImgBurn
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Macromedia
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Malwarebytes
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\OpenCandy
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Opera Software
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\PerformerSoft
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Sun
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Systweak
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\TuneUp Software
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\uTorrent
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\WeatherBlink
RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\WebCompiler3
RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\ABBYY
RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\APN
RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Apple Computer
RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\AVG Secure Search
RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Avg2013
RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Avg2014
RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\avgchrome
RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\IAC
RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\MFAData
RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Opera Software
RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\SlimWare Utilities Inc
RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\hgojaaaiddhmiiakpejiklijbalpckih
RemoveDirectory: C:\Documents and Settings\Ja\Pulpit\Stare dane programu Firefox
RemoveDirectory: C:\Program Files\Common Files\337
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Kaspersky Rescue Disk 10.0
RemoveDirectory: C:\Program Files\Adobe\Acrobat_com
RemoveDirectory: C:\Program Files\ACD Systems
RemoveDirectory: C:\Program Files\Alwil Software
RemoveDirectory: C:\Program Files\Audiograbber
RemoveDirectory: C:\Program Files\AVG Secure Search
RemoveDirectory: C:\Program Files\AVG Security Toolbar
RemoveDirectory: C:\Program Files\GUM21.tmp
RemoveDirectory: C:\Program Files\GUM2A.tmp
RemoveDirectory: C:\Program Files\GUM39.tmp
RemoveDirectory: C:\Program Files\GUMD.tmp
RemoveDirectory: C:\Program Files\HotPotatoes6
RemoveDirectory: C:\Program Files\ImgBurn
RemoveDirectory: C:\Program Files\Opera
RemoveDirectory: C:\Program Files\Pekka Kana 2
RemoveDirectory: C:\Program Files\SkanerOnline
RemoveDirectory: C:\Program Files\SlimCleaner
RemoveDirectory: C:\Program Files\Winamp Toolbar
RemoveDirectory: C:\Program Files\Wru
CMD: del /q C:\s0nr0t0o.exe
CMD: del /q "C:\Program Files\4zres.dll"
CMD: del /q "C:\Program Files\4zUninstall VideoDownloadConverter.dll"
CMD: del /q C:\WINDOWS\System32\Drivers\sptd.sys

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu, ale może się to zdarzyć, jeśli komponenty paska AVG będą zablokowane. Przedstaw wynikowy fixlog.txt.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Wszystko pomyślnie wykonane. Inne poprawki, w chwili obecnej mało istotne, potem. Zabierz się za odkodowanie plików przy udziale podanego już RakhniDecryptor. Zapewne czytałeś podobny temat na forum, ale ostrzegam na wszelki wypadek:

- Narzędzie przeprowadzi atak typu "brute force" na hasło, co oznacza bardzo długą pracę liczoną w godziny a nawet dni.

- Podczas tej operacji procesor będzie silnie obciążony przez narzędzie, więc zostawić system w spokoju nie prowadząc żadnych dodatkowych akcji.

- Miejsce na dysku będzie "znikać", bo Kaspersky utworzy repliki plików, o ile mu się uda znaleźć hasło.

Po ukończeniu procesu zgłoś się tu z wynikami czy odkodowane, czy wszystkie i czy po odkodowaniu pliki działają. Jeśli operacja się powiedzie w 100%, podam skrypt FRST hurtowo usuwający zaszyfrowane kopie z dysków.

Odnośnik do komentarza
  • 2 tygodnie później...
picasso

picasso

Opublikowano
Opublikowano (edytowane)

1. Uruchom AdwCleaner ponownie, tym razem wybierz sekwencję opcję Skanuj + Usuń.

 

2. Otwórz Notatnik i wklej w nim:

 

Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
CMD: attrib -r -h -s C:\*helpme@freespeechmail.org /s
CMD: attrib -r -h -s D:\*helpme@freespeechmail.org /s
CMD: del /q /s C:\*helpme@freespeechmail.org
CMD: del /q /s D:\*helpme@freespeechmail.org

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przetwarzanie może długo trwać ze względu na masowe usuwanie zaszyfrowanych plików z partycji C i D. Przedstaw wynikowy fixlog.txt. Log będzie potężny, więc nie zmieści się w załączniki - shostuj gdzieś i podaj link do tego pliku.

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...