Cryptolocker jak usunąć?


(ewaryn) #1

Dzień dobry,

Dzisiaj spodziewając się przesyłki pocztowej,otworzyłem załącznik poczty/nie zwracając uwagi na błędy/i się zaczęło.Tym sposobem zainstalował mi się CryptOLOcker,powiadamiając o zaszyfrowaniu danych.Profilaktycznie użyłem MBAMa Free kilkukrotnie.Laptop Ex600 Vista HPsp2 x86.Teraz proszę fachowca o pomoc.Raport na

http://wklej.org wklejka#1761716.

Pozdrawiam

ewaryn


(Atis) #2

Wklej link, bo nikt nie będzie szukał tej wklejki.


(Drobok) #3

Mają być 3 wklejki z trzema logami :stuck_out_tongue:


(ewaryn) #4

http://wklej.org/id/1761900/

http://wklej.org/id/1761904/

http://wklej.org/id/1761905/


(Atis) #5

Uruchom FRST jako administrator i wtedy utwórz logi.


(ewaryn) #6

http://wklej.org/id/1761973/

http://wklej.org/id/1761977/

http://wklej.org/id/1761979/


(Atis) #7

Wkleiłeś dwa razy ten sam log i nie cytuj moich odpowiedzi.


(ewaryn) #8

http://wklej.org/id/1762040/


(Atis) #9

Użyj kavremover

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKLM\...\Run: [acilugus] => C:\Windows\apolanxw.exe [392192 2015-07-23] (Xara Ltd.)
ShellIconOverlayIdentifiers: [SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers: [SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers: [SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-598211566-535905212-3213114880-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
ShellExecuteHooks: - {4F07DA45-8170-4859-9B5F-037EF2970034} - No File []
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
S4 FA_Scheduler; No ImagePath
S3 cleanhlp; \??\C:\EEK\bin\cleanhlp32.sys [X]
S3 mdareDriver_48; No ImagePath
S3 mdareDriver_52; No ImagePath
U3 UmRdpService; No ImagePath
2015-07-23 10:10 - 2015-07-23 10:11 - 00000000 ____ D C:\ProgramData\atyhoqehyfyzytug
2015-07-23 10:10 - 2015-07-23 10:10 - 00392192 _____ (Xara Ltd.) C:\Windows\apolanxw.exe
Task: {6CC04237-F873-4F1D-9343-15BC4615B49F} - \Paragon Archive name arc_070414111225896 No Task File <==== ATTENTION
Task: {6F6A538B-3D85-472B-BCD0-AC85E03561AB} - System32\Tasks\{F7BA8B3D-BC0C-4852-AE00-3555B91DC173} => Iexplore.exe http://ui.skype.com/ui/0/5.10.0.114.259/pl/abandoninstall?source=lightinstaller&amp;page=tsMain
Task: {ABE1E8FB-E766-4525-9376-47D3D845BEC7} - System32\Tasks\{5442DBF4-CCD6-414B-A7CE-E023E1C947E9} => Iexplore.exe http://ui.skype.com/ui/0/7.0.0.100/pl/abandoninstall?source=lightinstaller&amp;page=tsMain
Task: {D10D8A97-3762-4E66-B56F-286F620658F9} - System32\Tasks\{169356D6-4C17-4339-B97D-FB8FCCE94177} => pcalua.exe -a F:\startuj.exe -d F:\
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver"
NHKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver"
CMD: del /q /s C:\DECRYPT_INSTRUCTIONS.*
CMD: del /q /s D:\DECRYPT_INSTRUCTIONS.*
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(ewaryn) #10

http://wklej.org/id/1762075/

http://wklej.org/id/1762084/


(Atis) #11

Nadal masz sterowniki od programu Kaspersky.

Skasuj C:\FRST

Dysk przeskanuj ESET Online Scanner

http://www.shadowexplorer.com/documentation/manual.html

http://www.howtogeek.com/howto/windows-vista/recover-files-with-shadow-copies-on-any-version-of-windows-vista/

http://www.bleepingcomputer.com/virus-removal/torrentlocker-cryptolocker-ransomware-information#shadow


(ewaryn) #12

Zastosowałem kavremower od KIS 09 do 2015 ,ESET znalazł 1 i  usunął.Shadowexplorer przestał działać.