Eijy File Virus Ransomware

[kamil840601]

Cześć. Bardzo proszę o pomoc w usunięciu infekcji Eijy File Virus Ransomware . Kilka dni temu prosiłem o to samo, Jessi mi bardzo pomogła, myślałem że infekcja została usunięta ale niestety nadal pliki nawet we włożonym do USB pendrivie się kodują. W załączniku przesyłam logi FRST Z góry dziękuje za pomoc

 

 

 

 

Addition_26-06-2022 22.57.39.txt FRST_26-06-2022 22.57.39.txt

[jessica]

Spoiler

HKU\S-1-5-21-4182285792-3264255131-334601476-1000\...\Run: [SysHelper] => C:\Users\Kamil\AppData\Local\21c19807-da64-453b-ba64-8582fd23dbb1\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA

Task: {A74BA063-3828-4477-BF94-1EEC93EFC6BE} - System32\Tasks\Time Trigger Task => C:\Users\Kamil\AppData\Local\21c19807-da64-453b-ba64-8582fd23dbb1\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA

AutoConfigURL: [S-1-5-21-4182285792-3264255131-334601476-1000] => hxxp://35.236.159.79/win.pac <==== UWAGA

ManualProxies: 0hxxp://35.236.159.79/win.pac <==== UWAGA

S2 AppServicen; C:\Windows\system32\VPUK7KTTEJ.tmp [6144 2022-06-26] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA

Jak widać, to stale powraca.

Wg mnie najlepszym wyjściem będzie sformatowanie dysku oraz pendrive.

 

jessi

[kamil840601]

Jessi czy mogę ciebie prosić żebyś spróbowała za pomocą tych logów naprawić tak jak ostatnio? Chciałbym uniknąć formatowania dysku ponieważ nie mam nawet Windowsa na płycie. Komputer został kupiony już z wgranym oprogramowaniem bez żadnych kopii zapasowych.

[kamil840601]

Jessi proszę sprawdź te logi co teraz wklejam, poprzednie logi są nie aktualne. Udało mi się zahamować działanie wirusa za pomocą wykasowania działań z harmonogramu gdyż taki sposób znalazłem w internecie na amerykańskich stronach internetowych, lecz nadal wirus jest na dysku ponieważ próbowałem włączyć darmową wersję premium Malwarebytes i pojawił się komunikat ze rookit blokuje działanie programu

Addition_27-06-2022 02.35.58.txt FRST_27-06-2022 02.35.58.txt

[jessica]

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) (FRST sam wyszuka w schowku Systemowym)

Spoiler

START::
S2 AppServicer; C:\Windows\system32\VPUK7KTTEJ.tmp [6144 2022-06-27] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA
C:\Windows\system32\VPUK7KTTEJ.tmp
R1 BdfNdisf; C:\Windows\System32\DRIVERS\BdfNdisf6.sys [87048 2009-10-19] (BITDEFENDER LLC -> BitDefender LLC)
C:\Windows\System32\DRIVERS\BdfNdisf6.sys
C:\Windows\Minidump\062722-17986-01.dmp
RemoveDirectory: C:\Users\Kamil\Downloads\FRST-OlderVersion
2022-06-26 22:41 - 2022-06-26 22:49 - 002369358 _____ C:\Users\Kamil\Downloads\FRST64.exe.eijy
2022-06-26 22:41 - 2022-06-26 22:49 - 000033382 _____ C:\Users\Kamil\Downloads\FRST.txt.eijy
2022-06-26 22:41 - 2022-06-26 22:49 - 000026177 _____ C:\Users\Kamil\Downloads\Addition.txt.eijy
2022-06-24 23:21 - 2022-06-27 02:31 - 000006144 _____ (Microsoft Corporation) C:\Windows\system32\VPUK7KTTEJ.tmp
RemoveDirectory: C:\Users\Kamil\AppData\Local\1c636686-7cf4-4ab0-98b7-699518e6805d
RemoveDirectory: C:\Users\Kamil\AppData\Local\281ea0e5-4725-462e-9778-96da56229b9d
RemoveDirectory: C:\Users\Kamil\AppData\Local\21c19807-da64-453b-ba64-8582fd23dbb1
RemoveDirectory: C:\ProgramData\AVG
C:\Windows\system32\avgBoot.exe
RemoveDirectory: C:\ProgramData\BitDefender
RemoveDirectory: C:\Users\Kamil\AppData\Roaming\BitDefender
RemoveDirectory: C:\Users\Kamil\AppData\Local\Lavasoft
RemoveDirectory: C:\Users\Kamil\AppData\Roaming\Lavasoft
RemoveDirectory: C:\ProgramData\Lavasoft
C:\Windows\system32\Drivers\bddci.sys
RemoveProxy:
EmptyTemp:
END::

W FRST kliknij na Fix (NAPRAW).

 

jessi

[kamil840601]

Jessi musi być jakiś wirus, ponieważ zablokował mi nawet możliwość instalacji czegokolwiek na dysku, mogłem tylko przeglądać pliki. Musiałem z poziomu konta administratora odblokować sobie możliwość instalowania. Na szczęście to ogarnąłem Proszę o sprawdzenie loga po naprawie

Fixlog_27-06-2022 10.32.40.txt

[kamil840601]

Jessi w wolnym czasie przejrzyj mój raport z Malwarebytes . Wyszukał trojany ☹️ i przeniósł je do kwarantanny Nie wiem co z tym teraz zrobić. Po za tym nadal ten chyba trojan ogranicza mi możliość zapisywania plików na dysku. Muszę odblokowywać sobie to z poziomu konta administratora ponieważ nawet loga nie mogłem zapisać na dysku bez odblokowania 

Malware.txt

[jessica]

To co wykrywał MBAM to w większości ja dałam do usuwania przy pomocy FRST.

Z Kwarantanną nic nie musisz robić.

 

jessi

[kamil840601]

Jessi ale cały czas pojawiają si  komunikaty o trojanach. Internet mi sie blokuje

[jessica]

Cytat

nie mam nawet Windowsa na płycie. Komputer został kupiony już z wgranym oprogramowaniem bez żadnych kopii zapasowych.

Poszukaj jakiegoś serwisu naprawczego komputerów, i zapytaj, czy da się coś jeszcze z tym fantem zrobić,

Jeśli nie, to niech wymienią dysk twardy, lub kupisz nowy komputer.

 

 

jessi

[kamil840601]

Ok. Jessi jeszcze raz dziękuje tobie za pomoc. Sformatuje dysk i ogarnę sobie oprogramowanie

[kamil840601]

Załatwiłem sobie bardzo dobry program antywirusowy i wirus został usunięty. Nie trzeba formatować dysku 🙂 Jeszcze raz bardzo dziękuje za pomoc