De crypt - prośba o sprawdzenie logów

Axles · 19 Kwiecień 2016 11:51

Witam, decrypt zdemolował notebooka, pliki przywrócone z kopii, plik wykonywalny usunięty, ale proszę o sprawdzenie jeszcze logów.

Komputer działa na prawach zwykłego użytkownika, czy decrypt roznosi się poprzez pdfy czy przez pliki wykonywalne tylko?

FRST.txt

Atis · 19 Kwiecień 2016 12:27

Nie widzę logów tylko jeden log.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
2016-04-19 09:36 - 2016-04-19 09:36 - 01551174 ____ T C:\Users\jhoppe\Downloads\de_crypt_readme.bmp
2016-04-19 09:35 - 2016-04-19 09:35 - 01551174 ____ T C:\Users\jhoppe\Documents\de_crypt_readme.bmp
2016-04-19 09:32 - 2016-04-19 09:32 - 01551174 ____ T C:\Users\jhoppe\Desktop\de_crypt_readme.bmp
2016-04-19 09:05 - 2016-04-19 12:40 - 00000000 ____ D C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
2016-04-19 09:05 - 2016-04-19 09:05 - 00000003 _____ C:\ProgramData\EF373465B75F.dat
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST

Axles · 19 Kwiecień 2016 12:52

Ah tego additional brakuje, jutro dorzucę. A co do tego odnośnika to ten mój De_crypt i CryptXXX to chyba nie to samo?

Atis · 19 Kwiecień 2016 14:17

Tego typu pliki nie występowały dotychczas w żadnej innej infekcji.

Axles · 20 Kwiecień 2016 05:39

Czyli zaatakowany zostałem przez jakąś wypaśniejszą wersję

Załączyłem pliki.

Te bmp, txt, html to ja sobie wyłapię po nazwie.

FRST.txt

Addition.txt

Atis · 20 Kwiecień 2016 08:18

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
C:\Users\jhoppe\Downloads\de_crypt_readme.bmp
C:\Users\jhoppe\Documents\de_crypt_readme.bmp
C:\Users\jhoppe\Desktop\de_crypt_readme.bmp
C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
C:\ProgramData\EF373465B75F.dat
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST

Chyba masz jakiś problem z dyskiem:

Error: (04/19/2016 01:16:09 PM) (Source: Disk) (EventID: 11) (User: )
Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1.

Axles · 20 Kwiecień 2016 09:17

Dzięki.