Infekcja Crypotolocker

Dla specjalistów Bezpieczeństwo
#1

Witam !

Proszę o pomoc w usunięciu infekcji i a może przede wszystkim w odszyfrowaniu plików

poniżej raporty FRST

z góry dziękuję

http://www.wklej.org/id/1894291/

#2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-1995039704-1968313469-3668317894-1000\...\RunOnce: [FlashPlayerUpdate] = C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10v_ActiveX.exe -update activex
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000\...\RunOnce: [CTAutoUpdate] = C:\Program Files (x86)\Creative\Shared Files\Software Update\AutoUpdate.exe [623416 2009-06-19] (Creative Technology Ltd)
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000\...\RunOnce: [InetReg] = "C:\Program Files (x86)\Creative\Product Registration\English\InetReg.exe" /PreProcess=RegFlash.exe /Delay=6
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [FlashPlayerUpdate] = C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10v_ActiveX.exe -update activex
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [CTAutoUpdate] = C:\Program Files (x86)\Creative\Shared Files\Software Update\AutoUpdate.exe [623416 2009-06-19] (Creative Technology Ltd)
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [InetReg] = "C:\Program Files (x86)\Creative\Product Registration\English\InetReg.exe" /PreProcess=RegFlash.exe /Delay=6
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\...\RunOnce: [FlashPlayerUpdate] = C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10v_ActiveX.exe -update activex
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\...\RunOnce: [CTAutoUpdate] = C:\Program Files (x86)\Creative\Shared Files\Software Update\AutoUpdate.exe [623416 2009-06-19] (Creative Technology Ltd)
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\...\RunOnce: [InetReg] = "C:\Program Files (x86)\Creative\Product Registration\English\InetReg.exe" /PreProcess=RegFlash.exe /Delay=6
Startup: C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Torpedo.lnk [2016-01-02]
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1995039704-1968313469-3668317894-1000 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1995039704-1968313469-3668317894-1001 - {49D6428E-91C9-4E57-ACB7-809443A48585} URL =
SearchScopes: HKU\S-1-5-21-1995039704-1968313469-3668317894-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - {49D6428E-91C9-4E57-ACB7-809443A48585} URL =
SearchScopes: HKU\S-1-5-21-1995039704-1968313469-3668317894-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1 - {49D6428E-91C9-4E57-ACB7-809443A48585} URL =
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll = Brak pliku
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X]
S3 zgdcat; system32\DRIVERS\zgdcat.sys [X]
S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X]
S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X]
S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X]
S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X]
2016-01-02 09:29 - 2016-01-02 13:13 - 00000000 ____ D C:\ProgramData\Norton
2014-09-01 09:18 - 2014-09-01 09:18 - 0001248 _____ () C:\Users\PC\AppData\Roaming\GCGKU
2014-09-01 09:18 - 2014-09-01 09:18 - 0001248 _____ () C:\Users\PC\AppData\Roaming\PRFYB
2014-05-29 07:05 - 2014-05-29 07:06 - 0106375 _____ () C:\Users\PC\AppData\Roaming\SkrybotConfig.xml
2014-09-01 09:18 - 2014-09-01 09:18 - 0002086 _____ () C:\Users\PC\AppData\Roaming\SSPNXD
2014-09-01 09:18 - 2014-09-01 09:18 - 0002086 _____ () C:\Users\PC\AppData\Roaming\ZD
2015-12-29 20:37 - 2015-12-29 20:37 - 0000068 ___SH () C:\ProgramData\.Identifier
2015-12-31 14:20 - 2015-12-31 14:20 - 0000000 _____ () C:\ProgramData\decrypting.txt
2015-12-31 11:27 - 2015-12-31 11:27 - 0000000 _____ () C:\ProgramData\start.txt
Task: {0DB9DFF5-972D-48C6-84A8-451CB8AD2D00} - \Installer_iwebar - Brak pliku ==== UWAGA
Task: {4E323106-DFFA-4388-82AC-4EC2B441F15C} - System32\Tasks\SSPNXD = C:\Users\PC\AppData\Roaming\SSPNXD.exe ==== UWAGA
Task: {73486AAC-1AE3-4B63-98F0-93FAB2431C53} - \Installer_shopperpro - Brak pliku ==== UWAGA
Task: {7E8FED4F-E48B-4F25-930B-D8670DD071EC} - System32\Tasks\{E4F73DAA-C3CC-42AD-B5DE-15AC51F0E3A9} = pcalua.exe -a "C:\Users\PC\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MQ2QV6WW\PokerStarsInstallEU.exe" -d C:\Users\PC\Desktop
Task: {C7AF48A9-1F11-4055-AEB0-A24F28224B94} - System32\Tasks\PRFYB = C:\Users\PC\AppData\Roaming\PRFYB.exe ==== UWAGA
Task: {CAE1E737-44B0-4DE8-9515-8B90F798440E} - System32\Tasks\avast! Emergency Update = C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
Task: {D356446C-CBFC-47B5-BBF1-11A408204C13} - System32\Tasks\ZD = C:\Users\PC\AppData\Roaming\ZD.exe ==== UWAGA
Task: {EB5B9CDC-92D1-4FE3-95F7-7C337E5CF230} - System32\Tasks\GCGKU = C:\Users\PC\AppData\Roaming\GCGKU.exe ==== UWAGA
Task: C:\Windows\Tasks\GCGKU.job = C:\Users\PC\AppData\Roaming\GCGKU.exe ==== UWAGA
Task: C:\Windows\Tasks\PRFYB.job = C:\Users\PC\AppData\Roaming\PRFYB.exe ==== UWAGA
Task: C:\Windows\Tasks\SSPNXD.job = C:\Users\PC\AppData\Roaming\SSPNXD.exe ==== UWAGA
Task: C:\Windows\Tasks\ZD.job = C:\Users\PC\AppData\Roaming\ZD.exe ==== UWAGA
C:\Users\PC\AppData\Roaming\*.exe
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

 

#3

Witam !

fixlog:

http://www.wklej.org/id/1894394/

FRST:

http://www.wklej.org/id/1894397/

Addition:

http://www.wklej.org/id/1894399/

Czekam na dalsze instrukcje pliki nadal zaszyfrowane …

 

#4

W logach nie widać zaszyfrowanych plików i żadnych plików wirusa pozwalających rozpoznać typ infekcji.

#5

witam !

nie mogę otworzyć żadnych plików doc, pdf, jpg, ods, odf

wcześniej wyskoczył komunikat że należy zapłacić okup bo wszystkie pliki zosytały zaszyforwane i wtedu otrzymam kod do odszyfrowania

Postanowiłem przywrócić system do ostatniego punktu przywracania

Komunikat znikął ale plików nadal nie mogę otworzyć

czekam na sugestję

ps

wszystkie pliki mają identyczną datę ostatniej modyfikacji

 

#6

Ciekawe ponieważ nie masz punktów przywracania.

#7

fakt chyba za szybko usunąłem ten komunikat - i teraz nie wiemy z czym walczymy

dzięki z zainteresowanie

pozdrawiam