Help_decrypt, Windows XP, usunięcie wirusa

zaatakowany2 · 31 Lipiec 2015 05:50

Witam. Mam notebooka od 5 lat i nigdy nie miałem problemów z wirusami, aż dotąd. Zawsze używałem Internet Security dla ochrony, ale tego wirusa nie wyłapał. Nigdy nie formatowałem dysku. Proszę o pomoc w pozbyciu się wirusa, a przy okazji wyczyszczenia komputera ze śmieci, które przez te lata się nazbierały.

Próbowałem usunąć wirusa programami: Malwarebytes oraz Spyhunter.

Ostatnio się przeprowadziłem i używałem internetu udostępnianego przez telefon komórkowy, czy to mogło być przyczyną infekcji?

Dimatheus · 31 Lipiec 2015 06:24

Hej,

Wykonaj logi programem Farbar Recovery Scan Tool - informacje o tym, jak dokładnie ustawić program i gdzie zamieścić logi znajdziesz w temacie: http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowi%C4%85zkowy-t478727/.

Pozdrawiam,

Dimatheus

zaatakowany2 · 31 Lipiec 2015 06:47

Logi:

http://wklej.org/id/1765822/

http://wklej.org/id/1765823/

http://wklej.org/id/1765824/

Z góry dziękuję za pomoc

Acorus · 31 Lipiec 2015 07:39

Otwórz notatnik systemowy i wklej:

CloseProcesses:
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
HKLM\...\Run: [RTHDCPL] => C:\WINDOWS\RTHDCPL.EXE [19520544 2010-03-17] (Realtek Semiconductor Corp.)
HKLM\...\Run: [GrooveMonitor] => C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
Startup: C:\Documents and Settings\Jarecki\Menu Start\Programy\Autostart\HELP_DECRYPT.HTML [2015-07-16] ()
Startup: C:\Documents and Settings\Jarecki\Menu Start\Programy\Autostart\HELP_DECRYPT.PNG [2015-07-16] ()
Startup: C:\Documents and Settings\Jarecki\Menu Start\Programy\Autostart\HELP_DECRYPT.TXT [2015-07-16] ()
InternetURL: C:\Documents and Settings\Jarecki\Menu Start\Programy\Autostart\HELP_DECRYPT.URL -> hxxp://6i3cb6owitcouepv.mywa2pay.com/1i8bvsz
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKU\S-1-5-21-532866624-3427821644-2924235846-1005\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\S-1-5-21-532866624-3427821644-2924235846-1005 -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL =
SearchScopes: HKU\S-1-5-21-532866624-3427821644-2924235846-1005 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL =
DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
CHR HKU\S-1-5-21-532866624-3427821644-2924235846-1005\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - https://clients2.google.com/service/update2/crx
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X]
S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S4 IntelIde; No ImagePath
2015-07-30 19:44 - 2015-07-13 20:13 - 00008590 _____ C:\Documents and Settings\Administrator\Ustawienia lokalne\HELP_DECRYPT.HTML
2015-07-30 19:44 - 2015-07-13 20:13 - 00008590 _____ C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.HTML
2015-07-30 19:44 - 2015-07-13 20:13 - 00004238 _____ C:\Documents and Settings\Administrator\Ustawienia lokalne\HELP_DECRYPT.TXT
2015-07-30 19:44 - 2015-07-13 20:13 - 00004238 _____ C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.TXT
2015-07-30 19:44 - 2015-07-13 20:13 - 00000276 _____ C:\Documents and Settings\Administrator\Ustawienia lokalne\HELP_DECRYPT.URL
2015-07-30 19:44 - 2015-07-13 20:13 - 00000276 _____ C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.URL
2015-07-13 20:45 - 2015-07-13 20:45 - 00008590 _____ C:\HELP_DECRYPT.HTML
2015-07-13 20:45 - 2015-07-13 20:45 - 00008590 _____ C:\Documents and Settings\NetworkService\HELP_DECRYPT.HTML
2015-07-13 20:45 - 2015-07-13 20:45 - 00008590 _____ C:\Documents and Settings\LocalService\Ustawienia lokalne\HELP_DECRYPT.HTML
2015-07-13 20:45 - 2015-07-13 20:45 - 00008590 _____ C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.HTML
2015-07-13 20:45 - 2015-07-13 20:45 - 00008590 _____ C:\Documents and Settings\LocalService\HELP_DECRYPT.HTML
2015-07-13 20:45 - 2015-07-13 20:45 - 00008590 _____ C:\Documents and Settings\HELP_DECRYPT.HTML
2015-07-13 20:45 - 2015-07-13 20:45 - 00004238 _____ C:\HELP_DECRYPT.TXT
2015-07-13 20:45 - 2015-07-13 20:45 - 00004238 _____ C:\Documents and Settings\NetworkService\HELP_DECRYPT.TXT
2015-07-13 20:45 - 2015-07-13 20:45 - 00004238 _____ C:\Documents and Settings\LocalService\Ustawienia lokalne\HELP_DECRYPT.TXT
2015-07-13 20:45 - 2015-07-13 20:45 - 00004238 _____ C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.TXT
2015-07-13 20:45 - 2015-07-13 20:45 - 00004238 _____ C:\Documents and Settings\LocalService\HELP_DECRYPT.TXT
2015-07-13 20:45 - 2015-07-13 20:45 - 00004238 _____ C:\Documents and Settings\HELP_DECRYPT.TXT
2015-07-13 20:45 - 2015-07-13 20:45 - 00000276 _____ C:\HELP_DECRYPT.URL
2015-07-13 20:45 - 2015-07-13 20:45 - 00000276 _____ C:\Documents and Settings\NetworkService\HELP_DECRYPT.URL
2015-07-13 20:45 - 2015-07-13 20:45 - 00000276 _____ C:\Documents and Settings\LocalService\Ustawienia lokalne\HELP_DECRYPT.URL
2015-07-13 20:45 - 2015-07-13 20:45 - 00000276 _____ C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.URL
2015-07-13 20:45 - 2015-07-13 20:45 - 00000276 _____ C:\Documents and Settings\LocalService\HELP_DECRYPT.URL
2015-07-13 20:45 - 2015-07-13 20:45 - 00000276 _____ C:\Documents and Settings\HELP_DECRYPT.URL
2015-07-13 20:44 - 2015-07-13 20:44 - 00008590 _____ C:\Documents and Settings\LocalService\Dane aplikacji\HELP_DECRYPT.HTML
2015-07-13 20:44 - 2015-07-13 20:44 - 00008590 _____ C:\Documents and Settings\Jarecki\Ustawienia lokalne\HELP_DECRYPT.HTML
2015-07-13 20:44 - 2015-07-13 20:44 - 00008590 _____ C:\Documents and Settings\Jarecki\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.HTML
2015-07-13 20:44 - 2015-07-13 20:44 - 00008590 _____ C:\Documents and Settings\Jarecki\HELP_DECRYPT.HTML
2015-07-13 20:44 - 2015-07-13 20:44 - 00004238 _____ C:\Documents and Settings\LocalService\Dane aplikacji\HELP_DECRYPT.TXT
2015-07-13 20:44 - 2015-07-13 20:44 - 00004238 _____ C:\Documents and Settings\Jarecki\Ustawienia lokalne\HELP_DECRYPT.TXT
2015-07-13 20:44 - 2015-07-13 20:44 - 00004238 _____ C:\Documents and Settings\Jarecki\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.TXT
2015-07-13 20:44 - 2015-07-13 20:44 - 00004238 _____ C:\Documents and Settings\Jarecki\HELP_DECRYPT.TXT
2015-07-13 20:44 - 2015-07-13 20:44 - 00000276 _____ C:\Documents and Settings\LocalService\Dane aplikacji\HELP_DECRYPT.URL
2015-07-13 20:44 - 2015-07-13 20:44 - 00000276 _____ C:\Documents and Settings\Jarecki\Ustawienia lokalne\HELP_DECRYPT.URL
2015-07-13 20:44 - 2015-07-13 20:44 - 00000276 _____ C:\Documents and Settings\Jarecki\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.URL
2015-07-13 20:44 - 2015-07-13 20:44 - 00000276 _____ C:\Documents and Settings\Jarecki\HELP_DECRYPT.URL
2015-07-13 20:30 - 2015-07-13 20:30 - 00008590 _____ C:\Documents and Settings\Jarecki\Moje dokumenty\HELP_DECRYPT.HTML
2015-07-13 20:30 - 2015-07-13 20:30 - 00004238 _____ C:\Documents and Settings\Jarecki\Moje dokumenty\HELP_DECRYPT.TXT
2015-07-13 20:30 - 2015-07-13 20:30 - 00000276 _____ C:\Documents and Settings\Jarecki\Moje dokumenty\HELP_DECRYPT.URL
2015-07-13 20:19 - 2015-07-13 20:19 - 00008590 _____ C:\Documents and Settings\Jarecki\Dane aplikacji\HELP_DECRYPT.HTML
2015-07-13 20:19 - 2015-07-13 20:19 - 00004238 _____ C:\Documents and Settings\Jarecki\Dane aplikacji\HELP_DECRYPT.TXT
2015-07-13 20:19 - 2015-07-13 20:19 - 00000276 _____ C:\Documents and Settings\Jarecki\Dane aplikacji\HELP_DECRYPT.URL
2015-07-13 20:15 - 2015-07-13 20:15 - 00008590 _____ C:\Documents and Settings\Gość\Ustawienia lokalne\HELP_DECRYPT.HTML
2015-07-13 20:15 - 2015-07-13 20:15 - 00008590 _____ C:\Documents and Settings\Gość\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.HTML
2015-07-13 20:15 - 2015-07-13 20:15 - 00008590 _____ C:\Documents and Settings\Gość\HELP_DECRYPT.HTML
2015-07-13 20:15 - 2015-07-13 20:15 - 00004238 _____ C:\Documents and Settings\Gość\Ustawienia lokalne\HELP_DECRYPT.TXT
2015-07-13 20:15 - 2015-07-13 20:15 - 00004238 _____ C:\Documents and Settings\Gość\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.TXT
2015-07-13 20:15 - 2015-07-13 20:15 - 00004238 _____ C:\Documents and Settings\Gość\HELP_DECRYPT.TXT
2015-07-13 20:15 - 2015-07-13 20:15 - 00000276 _____ C:\Documents and Settings\Gość\Ustawienia lokalne\HELP_DECRYPT.URL
2015-07-13 20:15 - 2015-07-13 20:15 - 00000276 _____ C:\Documents and Settings\Gość\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.URL
2015-07-13 20:15 - 2015-07-13 20:15 - 00000276 _____ C:\Documents and Settings\Gość\HELP_DECRYPT.URL
2015-07-13 20:14 - 2015-07-13 20:14 - 00008590 _____ C:\Documents and Settings\Gość\Moje dokumenty\HELP_DECRYPT.HTML
2015-07-13 20:14 - 2015-07-13 20:14 - 00008590 _____ C:\Documents and Settings\Gość\Dane aplikacji\HELP_DECRYPT.HTML
2015-07-13 20:14 - 2015-07-13 20:14 - 00004238 _____ C:\Documents and Settings\Gość\Moje dokumenty\HELP_DECRYPT.TXT
2015-07-13 20:14 - 2015-07-13 20:14 - 00004238 _____ C:\Documents and Settings\Gość\Dane aplikacji\HELP_DECRYPT.TXT
2015-07-13 20:14 - 2015-07-13 20:14 - 00000276 _____ C:\Documents and Settings\Gość\Moje dokumenty\HELP_DECRYPT.URL
2015-07-13 20:14 - 2015-07-13 20:14 - 00000276 _____ C:\Documents and Settings\Gość\Dane aplikacji\HELP_DECRYPT.URL
2015-07-13 20:13 - 2015-07-13 20:13 - 00008590 _____ C:\Documents and Settings\Default User\Ustawienia lokalne\HELP_DECRYPT.HTML
2015-07-13 20:13 - 2015-07-13 20:13 - 00008590 _____ C:\Documents and Settings\Default User\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.HTML
2015-07-13 20:13 - 2015-07-13 20:13 - 00008590 _____ C:\Documents and Settings\Default User\HELP_DECRYPT.HTML
2015-07-13 20:13 - 2015-07-13 20:13 - 00008590 _____ C:\Documents and Settings\Default User\Dane aplikacji\HELP_DECRYPT.HTML
2015-07-13 20:13 - 2015-07-13 20:13 - 00008590 _____ C:\Documents and Settings\All Users\HELP_DECRYPT.HTML
2015-07-13 20:13 - 2015-07-13 20:13 - 00004238 _____ C:\Documents and Settings\Default User\Ustawienia lokalne\HELP_DECRYPT.TXT
2015-07-13 20:13 - 2015-07-13 20:13 - 00004238 _____ C:\Documents and Settings\Default User\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.TXT
2015-07-13 20:13 - 2015-07-13 20:13 - 00004238 _____ C:\Documents and Settings\Default User\HELP_DECRYPT.TXT
2015-07-13 20:13 - 2015-07-13 20:13 - 00004238 _____ C:\Documents and Settings\Default User\Dane aplikacji\HELP_DECRYPT.TXT
2015-07-13 20:13 - 2015-07-13 20:13 - 00004238 _____ C:\Documents and Settings\All Users\HELP_DECRYPT.TXT
2015-07-13 20:13 - 2015-07-13 20:13 - 00000276 _____ C:\Documents and Settings\Default User\Ustawienia lokalne\HELP_DECRYPT.URL
2015-07-13 20:13 - 2015-07-13 20:13 - 00000276 _____ C:\Documents and Settings\Default User\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.URL
2015-07-13 20:13 - 2015-07-13 20:13 - 00000276 _____ C:\Documents and Settings\Default User\HELP_DECRYPT.URL
2015-07-13 20:13 - 2015-07-13 20:13 - 00000276 _____ C:\Documents and Settings\Default User\Dane aplikacji\HELP_DECRYPT.URL
2015-07-13 20:13 - 2015-07-13 20:13 - 00000276 _____ C:\Documents and Settings\All Users\HELP_DECRYPT.URL
2015-07-13 20:09 - 2015-07-13 20:09 - 00008590 _____ C:\Documents and Settings\All Users\Dane aplikacji\HELP_DECRYPT.HTML
2015-07-13 20:09 - 2015-07-13 20:09 - 00004238 _____ C:\Documents and Settings\All Users\Dane aplikacji\HELP_DECRYPT.TXT
2015-07-13 20:09 - 2015-07-13 20:09 - 00000276 _____ C:\Documents and Settings\All Users\Dane aplikacji\HELP_DECRYPT.URL
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

zaatakowany2 · 31 Lipiec 2015 07:50

Podczas fixowania wyskoczył błąd.

Acorus · 31 Lipiec 2015 07:55

Wykonaj w trybie awaryjnym.

zaatakowany2 · 31 Lipiec 2015 08:28

Fixlog: http://wklej.org/id/1765854/

Dr.Web skanuje…

bachus · 31 Lipiec 2015 09:00

Mega tapeta! Mówiąc szczerze, dobrze by było taki system przeinstalować od zera… Swoją drogą, mam nadzieję, że masz backup CV.

zaatakowany2 · 31 Lipiec 2015 09:20

Dr.Web znalazł 1 zagrożenie mówiąc, że to trojan. Zneutralizować?

http://wklej.org/id/1765892/

Acorus · 31 Lipiec 2015 11:56

A jak myślisz?Pokaż nowy log z FRST bez Addition.

zaatakowany2 · 31 Lipiec 2015 13:00

Nowe logi:

http://wklej.org/id/1766037/

http://wklej.org/id/1766038/

Acorus · 31 Lipiec 2015 13:42

Otwórz notatnik systemowy i wklej:

S3 eapihdrv; \\C:\DOCUME~1\Jarecki\USTAWI~1\Temp\ehdrv.sys [X]
2015-07-31 10:14 - 2015-07-31 14:39 - 00000000 ____ D C:\Documents and Settings\Jarecki\Doctor Web
2015-07-16 10:43 - 2015-07-16 10:43 - 00008590 _____ C:\Documents and Settings\Jarecki\Pulpit\HELP_DECRYPT.HTML
2015-07-16 10:43 - 2015-07-16 10:43 - 00004238 _____ C:\Documents and Settings\Jarecki\Pulpit\HELP_DECRYPT.TXT
2015-07-16 10:43 - 2015-07-16 10:43 - 00000276 _____ C:\Documents and Settings\Jarecki\Pulpit\HELP_DECRYPT.URL
2015-07-13 20:19 - 2015-07-13 20:19 - 0045472 _____ () C:\Documents and Settings\Jarecki\Dane aplikacji\HELP_DECRYPT.PNG
2015-07-13 20:44 - 2015-07-13 20:44 - 0045472 _____ () C:\Documents and Settings\Jarecki\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.PNG
2015-07-13 20:13 - 2015-07-13 20:13 - 0045472 _____ () C:\Documents and Settings\All Users\HELP_DECRYPT.PNG
DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

zaatakowany2 · 31 Lipiec 2015 14:07

http://wklej.org/id/1766092/

Co dalej?

Acorus · 31 Lipiec 2015 14:57

To wszystko.

zaatakowany2 · 31 Lipiec 2015 17:36

Nadal wszędzie pełno plików z help_decrypt. Wciąż pojawia się błąd przy starcie systemu.

Atis · 31 Lipiec 2015 17:54

Odinstaluj Disk Cleaner.

Błąd nie ma związku z infekcją, a jeśli coś powoduje problem to stary PC Tools.

Reinstaluj oprogramowanie od Synaptics.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CMD: del /q /s C:\HELP_DECRYPT.*
CMD: del /q /s D:\HELP_DECRYPT.*

Uruchom FRST i kliknij Fix. Później skasuj C:\FRST

zaatakowany2 · 31 Lipiec 2015 18:48

Zrobione http://wklej.org/id/1766299/

Atis · 31 Lipiec 2015 18:58

Masz jakieś punkty przywracania, ale to jest skuteczne na systemach Vista i nowszych.

Na XP w punktach jest kopia systemowego rejestru i niewiele poza tym.

Nie ma możliwości odszyfrowania tych plików:

http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information

Ewentualnie możesz spróbować programów do odzyskiwania danych.

Nie zapisuj żadnych plików i programów na dysku z którego chcesz odzyskać dane.

Recuva - Portable i zaznacz Głębokie skanowanie (Deep Scan):

http://www.piriform.com/recuva/builds

Puran File Recovery Portable:

http://www.puransoftware.com/File-Recovery-Download.html

Q PhotoRec:

http://www.cgsecurity.org/wiki/TestDisk_Download

http://traxter-online.net/testdisk-photorec-odzyskiwanie-danych/

zaatakowany2 · 31 Lipiec 2015 20:32

Recuva znalazła tylko 40 plików do odzyskania, ale żaden z nich nie był mi potrzebny. Spróbowałem jeden z nich odzyskać, ale i tak się nie udało.

Puran znalazł ponad 1700, głównie help_decrypt.

Kolejnych programów już nie próbowałem.

Dziękuję bardzo za pomoc.