[CryptoWall] Prośba o sprawdzenie logów


(Jpole) #1

Jesienna aura nie spowodowała co prawda u mnie żadnej jesiennej choroby, niemniej do mojego komputera zakradł się CryptoWall albo coś podobnego.

Byłbym wdzięczny, jeżeli koledzy sprawdziliby mi logi z FRST.

Z góry dziękuję.

Shortcut.txt http://wklej.org/id/1869902/

Addition.txt http://wklej.org/id/1869904/

FRST.txt http://wklej.org/id/1869905/

 

Z góry dziękuję.

 


(Atis) #2

Nie odszyfrujesz tych plików. CryptoWall 4.0:


(Jpole) #3

Niestety wiem, że pliki nie do odzyskania, ale co miesiąc robię kopię ważnych rzeczy.

Dziękuję za odzew, poniżej Fixlog

 

http://wklej.org/id/1870256/


(Atis) #4

Przecież napisałem, że masz pokazać nowy log.

 


(Jpole) #5

Oi, gapa ze mnie :wink:

 

Log z ponownego skanowania: http://wklej.org/id/1870595/


(Atis) #6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-3177387515-2669887478-1768055043-1001\...\Run: [SpybotPostWindows10UpgradeReInstall] = "C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe"
HKU\S-1-5-21-3177387515-2669887478-1768055043-1001\...\Run: [svc.exe] = C:\Program Files (x86)\MS OFFICE 2010 Aktywator\svc.exe
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - {47BDEED3-B88C-4327-BA1C-42FEA421D37B} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8tag=hp-uk3-vsb-21link%5Fcode=qsindex=apsfield-keywords={searchTerms}
SearchScopes: HKU\S-1-5-21-3177387515-2669887478-1768055043-1001 - {47BDEED3-B88C-4327-BA1C-42FEA421D37B} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8tag=hp-uk3-vsb-21link%5Fcode=qsindex=apsfield-keywords={searchTerms}
CHR StartupUrls: Default - "hxxp://www.google.com/ig/redirectdomain?brand=TEUAbmod=TEUA","hxxp://www.oursurfing.com/?type=hpts=1440252848z=a0d77d7dfbb3849c76cfdd8g7zezaeeo2wbo8baw7efrom=amtuid=ST1000LM014-1EJ164-SSHD_W770TKE3","hxxp://www.mystartsearch.com/?type=hpts=1440255459z=d9fc866a2714a4828468ae2gez6z2efofw9wccaw2zfrom=cmiuid=ST1000LM014-1EJ164-SSHD_W770TKE3","hxxp://www.istartsurf.com/?type=hpts=1442759715z=4728c392c4b93bf987ad2d8gcz7z0o3m8w7t9wazeqfrom=coruid=ST1000LM014-1EJ164-SSHD_W770TKE3"
S3 wxpSvc; C:\Program Files (x86)\wLite\wService.exe /startedbyscm:5053B757-40E35B3B-webcamSRV [X]
S3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHD64.sys [X]
S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X]
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-07] ()
2015-12-07 15:09 - 2015-12-07 15:09 - 00000000 _____ C:\autoexec.bat
2015-12-07 15:08 - 2015-12-07 15:08 - 00022704 _____ C:\WINDOWS\system32\Drivers\EsgScanner.sys
2015-11-08 15:59 - 2015-12-07 19:35 - 00000000 ____ D C:\AdwCleaner
2015-12-06 16:03 - 2015-12-06 16:03 - 0001534 _____ () C:\ProgramData\ss.ini
C:\Users\Marcin\*.exe
DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C;:\FRST