mrbzzzyk Opublikowano 15 Listopada 2015 Zgłoś Udostępnij Opublikowano 15 Listopada 2015 Witam, dzisiaj Avast znalazł wirusa:co kilka minut plik HELP_DECRYPT.URL pojawia się w innym miejscu, znajduje się on w prawie każdym folderze na komputerze i pojawia się ten komunikat od avasta. Robiłem skanowanie Malwarebytes, MBAM znalazł kilka wirusów, usunąłem je (skanowania nie robiłem od wieków ) ale nie wiem co dalej zrobić i czy w ogóle wirus został usunięty, chyba nie, ponieważ pliki HELP_DECRYPT pojawiają się w nowych folderach. Na internecie znalazłem, że to infekcja CryptoWall. Sprawa wygląda tak, że to jest komputer z którego na co dzień korzystają rodzice, ja przyjeżdżam tylko na weekendy co kilka tygodni, zaraz wyjeżdżam. Czy da się to jakoś łatwo załatwić, tak żeby przez telefon wytłumaczyć rodzicom, czy trzeba będzie zrobić formatowanie, czy lepiej jak rodzice zapłacą jakiemuś informatykowi, który to szybko załatwi? Dołączam logi juz z frst niestety. Uff z gmera też się udało, po rozmowie z mamą, udało się jej wysłać plik z logiem FRST.txt Addition.txt log.txt Odnośnik do komentarza
picasso Opublikowano 15 Listopada 2015 Zgłoś Udostępnij Opublikowano 15 Listopada 2015 Proszę dostarcz raporty wymagane działem, czyli FRST i GMER. Logi z przestarzałego OTL nie są tu już brane pod uwagę. Odnośnik do komentarza
mrbzzzyk Opublikowano 16 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2015 Wszystkie logi juz wrzuciłem :-) Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2015 Zgłoś Udostępnij Opublikowano 16 Listopada 2015 Pytanie: czy "puste" pole nazwy użytkownika oznacza celową manipulację wyglądu raportu? Stan systemu jest następujący: owszem, to infekcja CryptoWall 3.0 szyfrująca dane na wszystkich dyskach (tu C i D), plików zaszyfrowanych nie da się odkodować. Co więcej, infekcja jest nadal aktywna, w starcie uruchamiają się szkodliwe moduły. Jestem w stanie usunąć wszystkie wtórnie dodane elementy infekcji, z wyjątkiem odkodowania plików osobistych zaszyfrowanych przez infekcję, tylko jest tu ten problem: Sprawa wygląda tak, że to jest komputer z którego na co dzień korzystają rodzice, ja przyjeżdżam tylko na weekendy co kilka tygodni, zaraz wyjeżdżam. Czy da się to jakoś łatwo załatwić, tak żeby przez telefon wytłumaczyć rodzicom, czy trzeba będzie zrobić formatowanie, czy lepiej jak rodzice zapłacą jakiemuś informatykowi, który to szybko załatwi? Rozumiem, że rodzice słabo się znają na komputerze. Przez telefon nie da się podać instrukcji które mam na myśli, musieliby mieć wgląd do tego tematu i wykonać akcję rozpisaną w poście. Oczywiście format załatwiłby wszystko od ręki. Informatyk nie zdziała więcej niż ja i prawdopodobnie po prostu od razu wykona format, tylko za opłatą. Czy rodzice są w stanie wykonać instrukcje podane w poście lub samodzielnie wykonać format dysku? Odnośnik do komentarza
mrbzzzyk Opublikowano 16 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2015 Samodzielnie formatowania nie zrobią na pewno, jeżeli by było dokładnie opisane to może i daliby radę wykonać instrukcje podane w poscie, choć nie byłbym tego pewny, spróbować można. Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2015 Zgłoś Udostępnij Opublikowano 16 Listopada 2015 W związku z tym, że najwyraźniej zmaipulowałeś nazwę użytkownika muszą być zastosowane obejścia, bo Fix FRST nie przetworzy fałszywej ścieżki. W podstawowej wersji instrukcja wyglądałaby tak: 1. Zaznacz myszką poniższy tekst widoczny na szarym tle i skopiuj (prawy przycisk myszki > opcja Kopiuj): CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2198406095-3139052445-529361822-1000\...\Run: [43715f4] => C:\Windows\syswow64\regsvr32.exe C:\43715f47\43715f47.dll HKU\S-1-5-21-2198406095-3139052445-529361822-1000\...\Run: [43715f47] => C:\Windows\syswow64\regsvr32.exe C:\Users\9DEC~1\AppData\Roaming\43715f47.dll ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Pomocnik logowania za pomocą identyfikatora Windows Live -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll => Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => Brak pliku FF Plugin-x32: @gamersfirst.com/LiveLauncher -> C:\Program Files (x86)\GamersFirst\LIVE!\nplivelauncher.dll [brak pliku] FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.30214.0\npctrl.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono Task: {C21B1897-B6D0-4ACE-8D03-2E6CD2C2B5B4} - System32\Tasks\{4C9E6C00-A383-45DA-B774-7798CD037CAD} => pcalua.exe -a "C:\Users\ \AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Q7TKM0BK\AdobeAIRInstaller.exe" -d C:\Users\ \Desktop Task: {FE455A8A-43C1-4E43-9479-254E4DE89BCD} - System32\Tasks\{E157E865-4215-455C-9649-2BEEB499C422} => pcalua.exe -a H:\setup.exe -d H:\ -c /autorun S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 GGSAFERDriver; \??\D:\programy\Garena Plus\Room\safedrv.sys [X] S3 X6va005; \??\C:\Users\9DEC~1\AppData\Local\Temp\005D02B.tmp [X] AlternateDataStreams: C:\Users\9DEC~1\Local Settings:init C:\43715f47 C:\Program Files (x86)\mozilla firefox\plugins CMD: netsh advfirewall reset CMD: del /q %appdata%\43715f47.dll CMD: del /q %appdata%\7za.exe CMD: del /q %appdata%\a.7z CMD: del /q %appdata%\Mozilla\Firefox\Profiles\pbfzvjtn.default\prefs.js CMD: del /q %appdata%\Mozilla\Firefox\Profiles\pbfzvjtn.default\Extensions\*.xpi CMD: del /q "%localappdata%\Google\Chrome\User Data\Default\Preferences" CMD: del /q "%localappdata%\Google\Chrome\User Data\Default\Web Data" CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: attrib -r -h -s D:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* CMD: del /q /s D:\HELP_DECRYPT.* Hosts: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Otwórz Notatnik i wklej skopiowany tekst (czyli z prawokliku opcja Wklej). Plik zapisz pod nazwą fixlist.txt w tym samym folderze gdzie jest FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi automatyczny restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Fix może długo się wykonywać ze względu na rekursywne usuwanie wszystkich plików typu HELP_DECRYPT.* z dysków C i D. 2. Dostarcz dane powierdzające usunięcie infekcji, czyli: - Zrób nowy log FRST wg instrukcji: KLIK. Logi należy doczepić w postaci załączników [to mógłbyś opisać rodzicom dokładniej gdzie szukać opcji na forum]. - Wynikowy plik fixlog.txt też potrzebuję sprawdzić, ale on będzie bardzo duży i się nie zmieści w załącznikach. Za pomocą zainstalowanego WinRAR spakuj więc do ZIP ten plik, umieść na jakimś serwisie hostingowym [tu podać rodzicom jaki i jak obsłużyć] i podaj link w poście. To byłoby doraźne rozwiązanie polegające na usunięciu czynnej infekcji oraz dorobionych masowo przez infekcję plików HELP_DECRYPT*. Pozostałby problem zaszyfrowanych danych, z którymi nic nie da się zrobić, oraz uszkodzeń programów i Windows spowodowanych brakiem plików występujących już w postaci zaszyfrowanej (to wymagałoby i tak przeinstalowania określonych rzeczy). Na dalszą metę można sformatować system, gdy będziesz osobiście pilotował sprawę. Moim zdaniem nie opłaca się bulić informatykowi, który nic ponad opisaną procedurę (lub od razu format dysku) nie zdziała. Odnośnik do komentarza
mrbzzzyk Opublikowano 19 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2015 http://przeklej.org/file/g4VmFK/Fixlog.rar tu jest fixlog w załącznikach reszta. Ogólnie polecono mi program teamviewer, dzięki niemu udało się wszystko zrobić. FRST.txt Shortcut.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2015 Zgłoś Udostępnij Opublikowano 20 Listopada 2015 Wprawdzie infekcja i wszystkie wystąpienia HELP_DECRYPT.* zostały usunięte, ale nie wykonały się niektóre komendy z obejściem na zmanipulowaną nazwę konta użytkownika. 1. Przez SHIFT+DEL (omija Kosz) ręcznie skasuj te pliki: C:\Users\ \AppData\Roaming\7za.exe C:\Users\ \AppData\Roaming\a.7z Dodatkowo wyczyść Firefox z adware, choć jest tak stary, że prędzej deinstalacja i usunięcie wszystkich folderów z dysku jest opcją. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. 2. Zastosuj DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK. 3. Na dalszą metę na spokojnie zrobić format dysku. Odnośnik do komentarza
mrbzzzyk Opublikowano 20 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 20 Listopada 2015 Ok, firefoxa to nawet odinstaluję, bo i tak ani ja ani rodzice nie używają. Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2015 Zgłoś Udostępnij Opublikowano 20 Listopada 2015 Po deinstalacji skasuj te foldery: C:\Users\ \AppData\Local\Mozilla C:\Users\ \AppData\Roaming\Mozilla Ale jest w systemie więcej staroci, no i nadal problem naruszeń programów i Windows po operacjach szyfratora, więc format jest opcją globalną. Odnośnik do komentarza
Rekomendowane odpowiedzi