kamil840601 Opublikowano 24 Czerwca 2022 Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 Cześć Od kilku dni mam problem z komputerem, konkretnie coraz więcej plików na moim dysku staje się zakodowanych. Znalazłem w internecie że jest to złośliwe oprogramowanie kodujące pliki Eijy File Virus Ransomware , z którym nigdy wcześniej nie miałem styczności. Proszę o pomoc w pozbyciu się tego dziadostwa. Jak dotąd próbowałem tylko skanować komputer Malwarebytes ale z uwagi na to że była to tylko wersja próbna nic to nie dało. W załączniku przesyłam logi FRST. Jak coś zle zrobiłem w logach to z góry przepraszam, ponieważ dawno nie używałem tego narzędzia do diagnostyki Pozdrawiam Addition_24-06-2022 17.16.10.txt FRST_24-06-2022 17.16.10.txt Odnośnik do komentarza
jessica Opublikowano 24 Czerwca 2022 Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 Cytat Windows Manager (HKLM-x32\...\{C845414C-903C-4218-9DE7-132AB97FDF62}) (Version: 1.0.0 - AW Manager) <==== UWAGA Znasz ten program? Jeśli nie znasz, to go odinstaluj. Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) Spoiler START:: HKU\S-1-5-21-4182285792-3264255131-334601476-1000\...\Run: [csrss] => C:\Windows\rss\csrss.exe [3644416 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA HKU\S-1-5-21-4182285792-3264255131-334601476-1000\...\Run: [SysHelper] => C:\Users\Kamil\AppData\Local\f7962b15-3f1f-4c39-a05c-69c4610b0ce9\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA RemoveDirectory: C:\Users\Kamil\AppData\Local\f7962b15-3f1f-4c39-a05c-69c4610b0ce9 RemoveDirectory: RemoveDirectory: C:\Windows\rss HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKU\S-1-5-19\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (Brak pliku) HKU\S-1-5-20\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (Brak pliku) GroupPolicy: Ograniczenia ? <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA Policies: C:\Users\Kamil\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Task: {00BDE897-EA23-4939-95C3-E987F711379B} - System32\Tasks\{29C86605-2C1E-45A7-99A3-8811B932D6A0} => C:\Windows\system32\pcalua.exe -a E:\DirectX\dxsetup.exe -d E:\DirectX Task: {4519700E-9963-4BF8-9C3F-1013897A5EA4} - System32\Tasks\JetCleanLoginCheckUpdate => C:\Users\Kamil\AppData\Local\Temp\Rar$EXa4048.32585\AutoUpdate.exe /AutoRun (Brak pliku) <==== UWAGA Task: {6266A3A5-D62D-4051-B0A6-CB362F6ED701} - System32\Tasks\Time Trigger Task => C:\Users\Kamil\AppData\Local\f7962b15-3f1f-4c39-a05c-69c4610b0ce9\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA Task: {6B71D676-1A9A-4079-8250-B327B7E3E6F3} - System32\Tasks\{00323E69-3948-45A9-8942-120C4357F9A9} => C:\Windows\system32\pcalua.exe -a "G:\Step 3 - Setup_Install_Game.exe" -d G:\ Task: {72AB5723-9EFE-4307-B776-BD1420E7B6F0} - System32\Tasks\{8E6E2C2B-FAB3-41A9-A9FE-FF2151C8314C} => C:\Windows\system32\pcalua.exe -a F:\DirectX\dxsetup.exe -d F:\DirectX Task: {7601C551-D187-4789-8A36-B50ECF38073A} - System32\Tasks\{186E6C3D-3445-46B6-B7CA-9443CFFD5765} => C:\Windows\system32\pcalua.exe -a E:\Redist\DirectX\dxsetup.exe -d E:\Redist\DirectX Task: {98B13FB8-50A3-4105-BA84-B1C08947CFB2} - \JetBoost_AutoUpdate -> Brak pliku <==== UWAGA Task: {994D87B3-5A3E-4F24-B139-BE40CDF159FD} - \ByteFence -> Brak pliku <==== UWAGA Task: {9AEC1359-9F9A-4EAF-A449-2ACADC8732E6} - System32\Tasks\Firefox Default Browser Agent BC2C850B457C3589 => C:\Users\Kamil\AppData\Roaming\thdeejb.exe (Brak pliku) <==== UWAGA Task: {A175FE7F-D4E8-4B01-876F-0C5E54C52EBC} - System32\Tasks\{15178901-BE3B-4650-898A-A440303BF761} => C:\Windows\system32\pcalua.exe -a C:\Users\Kamil\Downloads\sketchbook_8.7.1.0_win64.exe -d C:\Users\Kamil\Downloads Task: {A858C39E-0ECA-4CD9-86C9-BD6E990F52A7} - System32\Tasks\Service\Diagnostic => C:\Users\Kamil\AppData\Roaming\ServiceGet\Takumev.exe -> "C:\Users\Kamil\AppData\Roaming\ServiceGet\Takumev.dat" <==== UWAGA Task: {AC5FAD14-C504-4264-A93C-E6FD6BD554D4} - System32\Tasks\AdvancedUpdater => C:\Program Files (x86)\AW Manager\Windows Manager\Windows Updater.exe [1026936 2022-05-13] (Microleaves LTD -> AW Manager) <==== UWAGA Task: {B1CE1684-A3EA-432E-A32D-A09BFCA86AF0} - System32\Tasks\{A99FFEAA-627F-4A0A-B852-DB75E3722171} => C:\Windows\system32\pcalua.exe -a "C:\GRY\Sekiro_Shadows_Die_Twice_Repack\Step 3 - Setup_Install_Game.exe" -d C:\GRY\Sekiro_Shadows_Die_Twice_Repack RemoveDirectory: C:\Program Files (x86)\AW Manager Task: {B2B40D99-6C17-4D39-B825-EC360AFDDF18} - System32\Tasks\{5AF3F5BC-E9A1-4158-A1AA-1CC464D0FDF1} => C:\Windows\system32\pcalua.exe -a E:\Redist\vcredist_x86.exe -d E:\Redist Task: {B320600A-FF53-45C4-B58D-E6AFC621A773} - System32\Tasks\{DB716B3C-4E70-42DB-AAF4-4392FFE39B19} => C:\Windows\system32\pcalua.exe -a E:\setup.exe -d E:\ -c /autorun Task: {B7377F85-49F2-4777-B026-34F62C905D3D} - System32\Tasks\{73C991E5-2475-48DD-B19D-7C1678404AA7} => C:\Windows\system32\pcalua.exe -a E:\setup.exe -d E:\ Task: {BFBC1C5A-81B7-4C83-AD76-680B40514B76} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [3644416 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA Task: {FA182625-B92E-4EE6-8A71-64B2ADE86E38} - System32\Tasks\{E44EFE01-2713-4518-8309-40D08DBAD9BA} => C:\Windows\system32\pcalua.exe -a "C:\GRY\Battlefield_4\Step 3 - Setup_Install_Game.exe" -d C:\GRY\Battlefield_4 AutoConfigURL: [S-1-5-21-4182285792-3264255131-334601476-1000] => hxxp://35.236.159.79/win.pac <==== UWAGA ManualProxies: 0hxxp://35.236.159.79/win.pac <==== UWAGA FF user.js: detected! => C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\x06atlq5.default-1629573619549\user.js [2022-06-19] FF NewTab: Mozilla\Firefox\Profiles\x06atlq5.default-1629573619549 -> hxxps://poshukach.com?fr=ps&gp=496722&altserp=1 FF SearchPlugin: C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\x06atlq5.default-1629573619549\searchplugins\Poshukach Engin Search.xml [2022-06-01] CHR NewTab: Default -> Not-active:"chrome-extension://kadfogmkkijgifjbphojhdkojbdammnk/newtab.html" CHR DefaultSearchURL: Default -> hxxps://paintsearch.chromecrxstore.com/?q={searchTerms} CHR DefaultSearchKeyword: Default -> web search R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] () [Odmowa dostępu] <==== UWAGA R2 WmiPrvSE; C:\Users\Kamil\AppData\Local\Temp\csrss\tor\Tor\tor.exe [4464142 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA S4 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [X] S3 Disc Soft Lite Bus Service; "C:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe" [X] S4 rtop; "c:\program files\bytefence\rtop\bin\rtop_svc.exe" [X] <==== UWAGA S4 TorchCrashHandler; C:\Users\Kamil\AppData\Local\Torch\Update\TorchCrashHandler.exe [X] <==== UWAGA S4 VBoxGuest; VBoxGuest [X] S4 VBoxMouse; VBoxMouse [X] S4 VBoxService; VBoxService [X] S4 VBoxSF; VBoxSF [X] S4 VBoxVideo; VBoxVideo [X] S4 VBoxWddm; VBoxWddm [X] R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 0000-00-00] () <==== UWAGA [zerobajtowy plik/folder] R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 0000-00-00] (Windows (R) Win 7 DDK provider) <==== UWAGA [zerobajtowy plik/folder] R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [13312 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA S3 BDFM; system32\DRIVERS\bdfm.sys [X] S1 bdfwfpf; \??\C:\Program Files\Common Files\BitDefender\BitDefender Firewall\bdfwfpf.sys [X] U4 dmwappushservice; Brak ImagePath 2022-06-24 07:00 - 2022-06-24 07:00 - 000001111 _____ C:\Users\Kamil\_readme.txt 2022-06-24 07:00 - 2022-06-24 07:00 - 000000559 _____ C:\Users\Kamil\AppData\Local\bowsakkdestx.txt 2022-06-24 07:00 - 2022-06-24 07:00 - 000000000 ____D C:\Users\Kamil\AppData\Local\AdvinstAnalytics 2022-06-24 07:00 - 2022-06-24 07:00 - 000000000 ____D C:\Program Files (x86)\AW Manager RemoveDirectory: C:\Users\Kamil\AppData\Roaming\yeK6c RemoveDirectory: C:\Users\Kamil\AppData\Roaming\XJAdSbyZeCa RemoveDirectory: C:\Users\Kamil\AppData\Roaming\Tn5anP7nWf RemoveDirectory: C:\Users\Kamil\AppData\Local\6f074d0d-ce1c-4517-b2a3-0e84aa7fa024 C:\Users\Kamil\AppData\Roaming\Vybysana C:\Users\Kamil\AppData\Local\bowsakkdestx.txt FirewallRules: [{771FB86B-1AA6-4E16-ADBF-7BD9A055AA33}] => (Allow) C:\Windows\rss\csrss.exe () [Brak podpisu cyfrowego] FirewallRules: [TCP Query User{2674FACE-885A-41E0-874E-6CC01EAEE48B}C:\gry\call of duty black ops iii\blackops3.exe] => (Allow) C:\gry\call of duty black ops iii\blackops3.exe => Brak pliku FirewallRules: [UDP Query User{FA779432-AFF2-495A-AA68-BFEDA7108476}C:\gry\call of duty black ops iii\blackops3.exe] => (Allow) C:\gry\call of duty black ops iii\blackops3.exe => Brak pliku FirewallRules: [TCP Query User{4F42AF2B-20DD-4D35-AD32-0A5345A3F7AF}C:\call of duty black ops iii\blackops3.exe] => (Allow) C:\call of duty black ops iii\blackops3.exe => Brak pliku FirewallRules: [UDP Query User{049D8321-28BA-4D0C-AE4A-218DEE7A25E7}C:\call of duty black ops iii\blackops3.exe] => (Allow) C:\call of duty black ops iii\blackops3.exe => Brak pliku FirewallRules: [TCP Query User{2B3ED157-EFD4-4DFB-A9D7-B4130BADCF3E}F:\nba2k12.exe] => (Allow) F:\nba2k12.exe => Brak pliku FirewallRules: [UDP Query User{D55EE749-2A61-4366-99D8-C31F7F5AA3F6}F:\nba2k12.exe] => (Allow) F:\nba2k12.exe => Brak pliku FirewallRules: [TCP Query User{F2A7F0AF-7C85-4B8D-B702-BD102DFFE2B6}C:\gry\nba.2k12-3dm\nba2k12.exe] => (Allow) C:\gry\nba.2k12-3dm\nba2k12.exe => Brak pliku FirewallRules: [UDP Query User{6D24592D-D9E9-419D-ACED-1F945F8DCBDB}C:\gry\nba.2k12-3dm\nba2k12.exe] => (Allow) C:\gry\nba.2k12-3dm\nba2k12.exe => Brak pliku EmptyEventLogs: EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). Zrób nowe logi FRST. Zrób jakiś plik *.doc. Zobacz, czy też się zaraz zaszyfruje? jessi Odnośnik do komentarza
kamil840601 Opublikowano 24 Czerwca 2022 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 Jessi dziękuje za pomoc ale trochę nie rozumiem co mam zrobić. Odinstalowałem ten program . Następnie mam skopiować zawartośc twojego skryptu, utworzyć txt i za pomocą jego naprawić logi? Dobrze rozumiem czy nie? Nie znam się na tym, robiłem to kiedyś ale to było z 10 lat temu nie pamiętam jak to się robiło :( Nie rozumiem tego zdania w twojej odpowiedzi że mam skopiować scrypt ale nigdzie nie wklejać . Jak możesz to wyjasnij prościej co mam zrobic :( Odnośnik do komentarza
kamil840601 Opublikowano 24 Czerwca 2022 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 Frst chce ode mnie plik .txt za pomocą którego naprawi logi Odnośnik do komentarza
kamil840601 Opublikowano 24 Czerwca 2022 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 Udało się włączyć naprawę i zrobiłem nowe logi. Proszę o sprawdzenie FRST.txt Addition.txt Odnośnik do komentarza
kamil840601 Opublikowano 24 Czerwca 2022 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 Wygląda na to że jest oki. Pliki już się nie kodują. Bardzo dziękuje za pomoc Odnośnik do komentarza
jessica Opublikowano 24 Czerwca 2022 Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego! - FRST sam to wyszuka w schowku Systemowym) Spoiler START:: HKU\S-1-5-21-4182285792-3264255131-334601476-1000\...\Run: [SysHelper] => C:\Users\Kamil\AppData\Local\4b7da575-b535-41cc-a67f-af8e632bfe88\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA RemoveDirectory: C:\Users\Kamil\AppData\Local\4b7da575-b535-41cc-a67f-af8e632bfe88 Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA Policies: C:\Users\Kamil\NTUSER.pol: Ograniczenia <==== UWAGA AutoConfigURL: [S-1-5-21-4182285792-3264255131-334601476-1000] => hxxp://35.236.159.79/win.pac <==== UWAGA ManualProxies: 0hxxp://35.236.159.79/win.pac <==== UWAGA RemoveDirectory: C:\Users\Kamil\Downloads\FRST-OlderVersion 2022-06-24 17:53 - 2022-06-24 21:13 - 000006144 _____ (Microsoft Corporation) C:\Windows\system32\VPUK7KTTEJ.tmp 2022-06-24 17:13 - 2022-06-24 18:27 - 000047199 _____ C:\Users\Kamil\Downloads\Addition.txt.eijy 2022-06-24 17:12 - 2022-06-24 18:27 - 000044294 _____ C:\Users\Kamil\Downloads\FRST.txt.eijy EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). Jeśli Twoje pliki już nie będą się zakodowywać dalej, to usuniesz wszystkie mające w rozszerzeniu *eijy - o ile wiem, to nie ma na to dekodera. jessi Odnośnik do komentarza
kamil840601 Opublikowano 24 Czerwca 2022 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 aha oki myślałem że już koniec 🙂 Odnośnik do komentarza
jessica Opublikowano 24 Czerwca 2022 Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 wróć do mojego poprzedniego postu jessi Odnośnik do komentarza
kamil840601 Opublikowano 24 Czerwca 2022 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 ok dziękuje Odnośnik do komentarza
kamil840601 Opublikowano 24 Czerwca 2022 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 Jessi niestety tylko chwile było oki a teraz znów się pliki kodują. Nawet jak zrobiłem loga po ostatniej twojej naprawie to ten plik od razu się zakodował Odnośnik do komentarza
kamil840601 Opublikowano 24 Czerwca 2022 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 Nowe logi. Proszę o sprawdzenie Addition_24-06-2022 23.09.04.txt FRST_24-06-2022 23.09.04.txt Odnośnik do komentarza
jessica Opublikowano 24 Czerwca 2022 Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) Spoiler START:: HKU\S-1-5-21-4182285792-3264255131-334601476-1000\...\Run: [SysHelper] => C:\Users\Kamil\AppData\Local\cc45d350-13c4-444c-9572-09210b9fad72\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA C:\Users\Kamil\AppData\Local\cc45d350-13c4-444c-9572-09210b9fad72\9FQwbgb051ULLdKsOdWAGV6p.exe RemoveDirectory: C:\Users\Kamil\AppData\Local\cc45d350-13c4-444c-9572-09210b9fad72 AutoConfigURL: [S-1-5-21-4182285792-3264255131-334601476-1000] => hxxp://35.236.159.79/win.pac <==== UWAGA RemoveDirectory: C:\Users\Kamil\Downloads\FRST-OlderVersion 2022-06-24 22:54 - 2022-06-24 23:00 - 000006144 _____ (Microsoft Corporation) C:\Windows\system32\VPUK7KTTEJ.tmp 2022-06-24 22:54 - 2022-06-24 22:54 - 000000000 ____D C:\Users\Kamil\AppData\Local\22d2c589-3776-4a7b-ac10-5dbc344d8970 2022-06-24 21:17 - 2022-06-24 21:17 - 000001111 _____ C:\Users\Kamil\_readme.txt EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). jessi Odnośnik do komentarza
kamil840601 Opublikowano 24 Czerwca 2022 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 ok dziekuje Odnośnik do komentarza
kamil840601 Opublikowano 24 Czerwca 2022 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 Log po naprawie Fixlog.txt Odnośnik do komentarza
Erykys111 Opublikowano 24 Czerwca 2022 Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 Hej, też złapałem jakoś tego wirusa... Czy format pomoże? Odnośnik do komentarza
kamil840601 Opublikowano 24 Czerwca 2022 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2022 Po godzinie od ostatniej naprawy nie ma nowych zakodowanych plików więc wątek można chyba zamknąć. Jeszcze raz bardzo dziękuje za pomoc Odnośnik do komentarza
jessica Opublikowano 25 Czerwca 2022 Zgłoś Udostępnij Opublikowano 25 Czerwca 2022 @Erykys111 Cytat Czy format pomoże? Powinien pomóc. jessi Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się