Witam !
Proszę o pomoc w usunięciu infekcji i a może przede wszystkim w odszyfrowaniu plików
poniżej raporty FRST
z góry dziękuję
Witam !
Proszę o pomoc w usunięciu infekcji i a może przede wszystkim w odszyfrowaniu plików
poniżej raporty FRST
z góry dziękuję
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000\...\RunOnce: [FlashPlayerUpdate] = C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10v_ActiveX.exe -update activex
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000\...\RunOnce: [CTAutoUpdate] = C:\Program Files (x86)\Creative\Shared Files\Software Update\AutoUpdate.exe [623416 2009-06-19] (Creative Technology Ltd)
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000\...\RunOnce: [InetReg] = "C:\Program Files (x86)\Creative\Product Registration\English\InetReg.exe" /PreProcess=RegFlash.exe /Delay=6
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [FlashPlayerUpdate] = C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10v_ActiveX.exe -update activex
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [CTAutoUpdate] = C:\Program Files (x86)\Creative\Shared Files\Software Update\AutoUpdate.exe [623416 2009-06-19] (Creative Technology Ltd)
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\RunOnce: [InetReg] = "C:\Program Files (x86)\Creative\Product Registration\English\InetReg.exe" /PreProcess=RegFlash.exe /Delay=6
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\...\RunOnce: [FlashPlayerUpdate] = C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10v_ActiveX.exe -update activex
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\...\RunOnce: [CTAutoUpdate] = C:\Program Files (x86)\Creative\Shared Files\Software Update\AutoUpdate.exe [623416 2009-06-19] (Creative Technology Ltd)
HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1\...\RunOnce: [InetReg] = "C:\Program Files (x86)\Creative\Product Registration\English\InetReg.exe" /PreProcess=RegFlash.exe /Delay=6
Startup: C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Torpedo.lnk [2016-01-02]
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1995039704-1968313469-3668317894-1000 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1995039704-1968313469-3668317894-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1995039704-1968313469-3668317894-1001 - {49D6428E-91C9-4E57-ACB7-809443A48585} URL =
SearchScopes: HKU\S-1-5-21-1995039704-1968313469-3668317894-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 - {49D6428E-91C9-4E57-ACB7-809443A48585} URL =
SearchScopes: HKU\S-1-5-21-1995039704-1968313469-3668317894-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-1 - {49D6428E-91C9-4E57-ACB7-809443A48585} URL =
BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll = Brak pliku
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X]
S3 zgdcat; system32\DRIVERS\zgdcat.sys [X]
S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X]
S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X]
S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X]
S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X]
2016-01-02 09:29 - 2016-01-02 13:13 - 00000000 ____ D C:\ProgramData\Norton
2014-09-01 09:18 - 2014-09-01 09:18 - 0001248 _____ () C:\Users\PC\AppData\Roaming\GCGKU
2014-09-01 09:18 - 2014-09-01 09:18 - 0001248 _____ () C:\Users\PC\AppData\Roaming\PRFYB
2014-05-29 07:05 - 2014-05-29 07:06 - 0106375 _____ () C:\Users\PC\AppData\Roaming\SkrybotConfig.xml
2014-09-01 09:18 - 2014-09-01 09:18 - 0002086 _____ () C:\Users\PC\AppData\Roaming\SSPNXD
2014-09-01 09:18 - 2014-09-01 09:18 - 0002086 _____ () C:\Users\PC\AppData\Roaming\ZD
2015-12-29 20:37 - 2015-12-29 20:37 - 0000068 ___SH () C:\ProgramData\.Identifier
2015-12-31 14:20 - 2015-12-31 14:20 - 0000000 _____ () C:\ProgramData\decrypting.txt
2015-12-31 11:27 - 2015-12-31 11:27 - 0000000 _____ () C:\ProgramData\start.txt
Task: {0DB9DFF5-972D-48C6-84A8-451CB8AD2D00} - \Installer_iwebar - Brak pliku ==== UWAGA
Task: {4E323106-DFFA-4388-82AC-4EC2B441F15C} - System32\Tasks\SSPNXD = C:\Users\PC\AppData\Roaming\SSPNXD.exe ==== UWAGA
Task: {73486AAC-1AE3-4B63-98F0-93FAB2431C53} - \Installer_shopperpro - Brak pliku ==== UWAGA
Task: {7E8FED4F-E48B-4F25-930B-D8670DD071EC} - System32\Tasks\{E4F73DAA-C3CC-42AD-B5DE-15AC51F0E3A9} = pcalua.exe -a "C:\Users\PC\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MQ2QV6WW\PokerStarsInstallEU.exe" -d C:\Users\PC\Desktop
Task: {C7AF48A9-1F11-4055-AEB0-A24F28224B94} - System32\Tasks\PRFYB = C:\Users\PC\AppData\Roaming\PRFYB.exe ==== UWAGA
Task: {CAE1E737-44B0-4DE8-9515-8B90F798440E} - System32\Tasks\avast! Emergency Update = C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
Task: {D356446C-CBFC-47B5-BBF1-11A408204C13} - System32\Tasks\ZD = C:\Users\PC\AppData\Roaming\ZD.exe ==== UWAGA
Task: {EB5B9CDC-92D1-4FE3-95F7-7C337E5CF230} - System32\Tasks\GCGKU = C:\Users\PC\AppData\Roaming\GCGKU.exe ==== UWAGA
Task: C:\Windows\Tasks\GCGKU.job = C:\Users\PC\AppData\Roaming\GCGKU.exe ==== UWAGA
Task: C:\Windows\Tasks\PRFYB.job = C:\Users\PC\AppData\Roaming\PRFYB.exe ==== UWAGA
Task: C:\Windows\Tasks\SSPNXD.job = C:\Users\PC\AppData\Roaming\SSPNXD.exe ==== UWAGA
Task: C:\Windows\Tasks\ZD.job = C:\Users\PC\AppData\Roaming\ZD.exe ==== UWAGA
C:\Users\PC\AppData\Roaming\*.exe
EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Witam !
fixlog:
http://www.wklej.org/id/1894394/
FRST:
http://www.wklej.org/id/1894397/
Addition:
http://www.wklej.org/id/1894399/
Czekam na dalsze instrukcje pliki nadal zaszyfrowane …
W logach nie widać zaszyfrowanych plików i żadnych plików wirusa pozwalających rozpoznać typ infekcji.
witam !
nie mogę otworzyć żadnych plików doc, pdf, jpg, ods, odf
wcześniej wyskoczył komunikat że należy zapłacić okup bo wszystkie pliki zosytały zaszyforwane i wtedu otrzymam kod do odszyfrowania
Postanowiłem przywrócić system do ostatniego punktu przywracania
Komunikat znikął ale plików nadal nie mogę otworzyć
czekam na sugestję
ps
wszystkie pliki mają identyczną datę ostatniej modyfikacji
Ciekawe ponieważ nie masz punktów przywracania.
fakt chyba za szybko usunąłem ten komunikat - i teraz nie wiemy z czym walczymy
dzięki z zainteresowanie
pozdrawiam