Jak usunąć Cryptolocker (wirus szyfrujący pliki)

[Madzio]

Witam dawno nie siedziałem na brata kompie i oczywiscie dzieci znowu cos nabrolili po wł. kompa wyskakuje mi komunikat na pulpicie , użyłeś aby pobrać nielegalne pliki z internetu teraz wszystkie swoje prywatne pliki zostały zablokowane i szyfrowane, aby je odblokować odwiedzić jedną z tych stron , i po chwili znika , zostały zablokowane zdjęcia co mam robić pomocy ?

udało mi sie odblokować kilka zdjęć przez przywrucenie poprzedniej wersji , ale mam ich jeszcze sporo zablokowanych

[picasso]

Potrzebne są obowiązkowe raporty z FRST i GMER, by się upewnić że infekcja nie jest aktywna.

 

Natomiast zaszyfrowane dane to odrębny wątek. Opis z hasłem "nielegalne pliki" wskazuje, że to nowa infekcja Unblockupc Ransomware atakująca głównie polskich użytkowników. Podobny temat z forum: KLIK. Odkodowanie plików jest awykonalne.

[Madzio]

Po wł. pc pojawił sie znowu ten komunikat o zapłaceniu im $ myślę ze ten wirus dalej jest w kompie , piosenki też mam zablokowane

 

Addition  http://wklej.org/id/2870733/

FRST  http://wklej.org/id/2870736/

Shortcut  http://wklej.org/id/2870737/

Gmer  http://wklej.org/id/2870769/

[picasso]

Tak, infekcja nadal jest aktywna, w starcie Windows plik einfo.exe. A w pliku C:\ProgramData\encfiles.log powinna być pełna lista zaszyfrowanych plików. Prócz tego jest niepożądany program Tv-Plug-In oraz zablokowany dostęp do katalogu .minecraft (w GMER widać go), ale to akurat najmniejsze zmartwienie.

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe [2016-09-23] ()
HKLM\...\Run: [Tv-Plug-In] => C:\Program Files\Tv-Plug-In\Tv-Plug-In.exe [312552 2015-02-24] (Orzilia Ltd.)
Task: {44581631-583C-433E-8AAC-5318FBA6251B} - System32\Tasks\{2AEA283D-897F-445D-A5CC-C766539ED159} => C:\Program Files\Origin\Origin.exe
Task: {5E4A57D7-0D75-4396-9019-4A1B93AEDF79} - System32\Tasks\{67A719A1-4EA9-4CBB-8BE9-5F35EF3A71C4} => D:\Gry\Nowy folder (2)\The Sims 4\__Installer\Cleanup.exe
Task: {60CFA526-8A0F-4862-B854-14AFCB6A7E9C} - System32\Tasks\{44243944-C9D8-4833-A2A7-76F167473D3A} => C:\Program Files\Origin\Origin.exe
Task: {A029C68F-EC95-43BC-98E1-1778450C7B3F} - System32\Tasks\{2BED4050-EC65-47B6-AA59-FB39EF4FF88A} => pcalua.exe -a C:\Users\Łukasz\Downloads\Programs\forge-1.7.10-10.13.4.1614-1.7.10-installer-win.exe -d C:\Users\Łukasz\Downloads\Programs
Task: {A54286B7-53E8-40C0-A90E-DBFC25F3EDB0} - System32\Tasks\{6FF8FB38-FE02-4EEC-914C-DB84D6FFEBBC} => D:\Gry\Nowy folder (2)\The Sims 4\__Installer\Cleanup.exe
U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [24688 2016-09-27] ()
CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{0C4AE826-5677-EB66-9846-97AA57BA5F88}\InprocServer32 -> C:\ProgramData\Package Cache\{13A4EE12-23EA-3371-91EE-EFB36DDFFF3E}v12.0.21005\packages\vcRuntimeMinimum_x86\cab1.xml ()
CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{52CAF26D-BD7C-794E-9B23-77DF791E5E28}\InprocServer32 -> C:\Users\Łukasz\AppData\Roaming\.minecraft\mods\ccSensors\api\sensorsAPI.nls ()
CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{B74D0994-F4D2-2C5F-626B-7EE8CDB3C279}\InprocServer32 -> C:\ProgramData\AVAST Software\Persistent Data\Avast\Logs\Setup.tmp ()
CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{E1CF3B7E-A068-E74D-E252-9EF4E9C77BE5}\InprocServer32 -> C:\ProgramData\RELOADED\RLD!\200170\stats\achievements.log ()
SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird
CMD: netsh advfirewall reset
RemoveDirectory: C:\32788R22FWJFW
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files\Tv-Plug-In
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\ProgramData\RogueKiller
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tv-Plug-In
Zip: C:\ProgramData\encfiles.log;C:\ProgramData\encinfo.jpg;C:\ProgramData\uid.txt
C:\ProgramData\encinfo.jpg
C:\Users\Łukasz\Desktop\decryptor.exe
C:\Users\Łukasz\Documents\decryptor.exe
C:\Users\Public\Desktop\Tv-Plug-In.lnk
C:\Windows\System32\drivers\TrueSight.sys
ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft
ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft\mods
ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft\saves
ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft\saves\Nowy
ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft\saves\NEI
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Uruchom RansomNoteCleaner. Wybierz tę infekcję i wskaż, by usuwanie notatek ransom odbyło się z całego dysku. Program powinien usunąć pliki uid.txt z wszystkich katalogów.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Na Pulpicie powstał plik Upload.zip - shostuj gdzieś i na PW wyśwlij link.

 

 

Na dalszą metę zalecany format dysku. Zaszyfrowane dane skopiować na wypadek gdyby w przyszłości pojawiło się rozwiązanie. Obecnie odkodowanie jest niewykonalne i nie ma żadnego ratunku. Próbowałeś RannohDecryptor, ten dekoder nic tu nie zdziała.

[Madzio]

Nie widze tego w starcie Windows plik einfo.exe

[picasso]

Ale ja nie podawałam, by go szukać (skoro widoczny jest w logu FRST), tylko by wykonać podane instrukcje. Usuwanie tego pliku miał zaplanowany skrypt FRST...

[Madzio]

Fixlog http://wklej.org/id/2873036/

FRST http://wklej.org/id/2873448/

Addition http://wklej.org/id/2871703/

 

Gdzieś go zamula strasznie , myśli nie wiem nad czym , spóźnione tempo ma , może bym go przeskanował jeszcze jakimiś antywirusami ?

[picasso]

Jeśli chodzi o zamulenie, to masz zainstalowany strasznie stary ESET NOD32 Antivirus (komponenty z 2012). Na dodatek używasz uTorrent i w procesach są wystąpienia utorrentie.exe produkujące reklamy. uTorrent nie jest obecnie polecanym klientem torrent, w zamian np. qBittorrent.

 

Przy czym w obliczu Twojego problemu to zabawy w zmiany klientów torrent i drążenie określonych wątków to naprawdę nieistotna sprawa. Tu się szykuje format dysku, to krok zalecany po infekcji szyfrującej dane. Ja sugeruję zrobić to już teraz. Ten system, który tu widzę, był wcześniej poszkodowany także innymi infekcjami oraz ręcznie rozwaliłeś poprawne obiekty systemu. Jest też niezabezpieczony, pomijając stary ESET, nie masz nawet podstawowych aktualizacji, brak SP1 i reszty:

 

Platform: Microsoft Windows 7 Home Basic (X86) Język: Polski (Polska)

Internet Explorer Wersja 9 (Domyślna przeglądarka: FF)