Kompletnie zawirusowany komputer

Dla specjalistów Bezpieczeństwo
#1

Witam.Własnie przed chwilą ojciec włączył komputer i po włączeniu wyświetla się jakiś komunikat którego nie można zamknąć oraz kompletnie zmieniona jest tapeta pulpitu.Wydaje mi się że to jakiś wirus.Daje fotkę pulpitu i loga z programu  Farbar Recovery Scan Tool

 

http://www.wklej.org/id/1705750/

http://www.wklej.org/id/1705751/

http://www.wklej.org/id/1705752/

 

Foto pulpitu

http://www.fotosik.pl/pokaz_obrazek/pelny/724dae3a1b85d09a.html

#2

Wirus szyfrujący pliki Alpha Crypt:

http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM-x32\...\Run: [AVrSvc] => C:\Users\falubaz\AppData\Roaming\hcegged.exe [275456 2015-05-06] ()
HKU\S-1-5-21-3209263427-2217602978-1340033463-1000\...\Run: [AVrSvc] => C:\Users\falubaz\AppData\Roaming\hcegged.exe [275456 2015-05-06] ()
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
C:\Users\falubaz\AppData\Roaming\*.exe
2015-05-06 22:52 - 2014-12-08 14:45 - 00000000 ____ D () C:\AdwCleaner
2012-11-10 18:05 - 2012-11-10 18:05 - 33546240 _____ () C:\Program Files (x86)\GUTBD66.tmp
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

#3

Daje logi 

http://www.wklej.org/id/1705783/

http://www.wklej.org/id/1705785/

 

SebaKomp czy jest to konieczne co piszesz ? Nie jestem zaawansowanym użytkownikiem.

#4

Z informacji wynika, że nie można odszyfrować plików .EZZ:

 

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Startup: C:\Users\Lexus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_TO_SAVE_FILES.txt [2015-05-06] ()
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
2015-05-06 23:00 - 2015-05-06 23:00 - 02304678 _____ () C:\Users\falubaz\Desktop\HELP_TO_SAVE_FILES.bmp
2015-05-06 23:00 - 2015-05-06 23:00 - 00001592 _____ () C:\Users\falubaz\Desktop\Save_Files.lnk
2015-05-06 23:00 - 2015-05-06 23:00 - 00001353 _____ () C:\Users\falubaz\Desktop\HELP_TO_SAVE_FILES.txt
2015-05-06 22:57 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Public\HELP_TO_SAVE_FILES.txt
2015-05-06 22:57 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Public\Downloads\HELP_TO_SAVE_FILES.txt
2015-05-06 22:57 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Lexus\HELP_TO_SAVE_FILES.txt
2015-05-06 22:57 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Lexus\Downloads\HELP_TO_SAVE_FILES.txt
2015-05-06 22:57 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Lexus\Documents\HELP_TO_SAVE_FILES.txt
2015-05-06 22:57 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Lexus\Desktop\HELP_TO_SAVE_FILES.txt
2015-05-06 22:57 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Lexus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HELP_TO_SAVE_FILES.txt
2015-05-06 22:57 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Lexus\AppData\Roaming\Microsoft\Windows\Start Menu\HELP_TO_SAVE_FILES.txt
2015-05-06 22:57 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Lexus\AppData\Roaming\HELP_TO_SAVE_FILES.txt
2015-05-06 22:57 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Lexus\AppData\HELP_TO_SAVE_FILES.txt
2015-05-06 22:57 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Lexus\AppData\Roaming\HELP_TO_SAVE_FILES.txt
2015-05-06 22:57 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Lexus\AppData\HELP_TO_SAVE_FILES.txt
2015-05-06 22:56 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Lexus\AppData\Local\HELP_TO_SAVE_FILES.txt
2015-05-06 22:56 - 2015-05-06 22:56 - 00001353 _____ () C:\Users\Lexus\AppData\Local\Apps\HELP_TO_SAVE_FILES.txt
2015-05-06 22:56 - 2015-05-06 22:56 - 00001353 _____ () C:\Users\falubaz\HELP_TO_SAVE_FILES.txt
2015-05-06 22:56 - 2015-05-06 22:56 - 00001353 _____ () C:\Users\falubaz\Downloads\HELP_TO_SAVE_FILES.txt
2015-05-06 22:56 - 2015-05-06 22:56 - 00001353 _____ () C:\Users\falubaz\Documents\HELP_TO_SAVE_FILES.txt
2015-05-06 22:56 - 2015-05-06 22:56 - 00001353 _____ () C:\Users\falubaz\AppData\Roaming\Microsoft\Windows\Start Menu\HELP_TO_SAVE_FILES.txt
2015-05-06 22:56 - 2015-05-06 22:56 - 00001353 _____ () C:\Users\falubaz\AppData\Local\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Public\Documents\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\Public\Desktop\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\falubaz\AppData\Roaming\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\falubaz\AppData\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default\Downloads\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default\Documents\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default\Desktop\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default\AppData\Roaming\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default\AppData\Local\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default\AppData\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default User\Downloads\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default User\Documents\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default User\Desktop\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default User\AppData\Roaming\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default User\AppData\Local\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Default User\AppData\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Administrator\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Administrator\AppData\Local\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Users\Administrator\AppData\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\ProgramData\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Program Files\HELP_TO_SAVE_FILES.txt
2015-05-06 22:55 - 2015-05-06 22:55 - 00001353 _____ () C:\Program Files\Common Files\HELP_TO_SAVE_FILES.txt
2015-05-06 22:52 - 2015-05-06 22:57 - 00001353 _____ () C:\Users\HELP_TO_SAVE_FILES.txt
2015-05-06 22:51 - 2015-05-06 23:00 - 00955574 _____ () C:\Users\falubaz\AppData\Roaming\log.html
2015-05-06 22:51 - 2015-05-06 23:00 - 00000752 _____ () C:\Users\falubaz\AppData\Roaming\key.dat
2015-05-06 22:51 - 2015-05-06 22:51 - 00000232 _____() C:\Users\falubaz\Documents\RECOVERY_FILE.TXTa2015-05-06 22:55 - 2014-11-28 21:04 - 00000000___HD () C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
2015-05-06 22:51 - 2015-05-06 23:00 - 0955574 _____ () C:\Users\falubaz\AppData\Roaming\log.html
2012-01-10 05:47 - 2012-01-10 05:48 - 0000109 _____ () C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
2012-01-10 05:46 - 2012-01-10 05:47 - 0000105 _____ () C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
2012-01-10 05:46 - 2012-01-10 05:46 - 0000107 _____ () C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
C:\Users\falubaz\AppData\Roaming\*.exe
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

#5

http://www.wklej.org/id/1705809/

http://www.wklej.org/id/1705811/

http://www.wklej.org/id/1705813/

#6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HELP_TO_SAVE_FILES.txt
C:\Users\falubaz\Desktop\HELP_TO_SAVE_FILES.bmp
C:\Users\falubaz\Documents\RECOVERY_FILE.TXT
C:\temp
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST

Dysk przeskanuj ESET Online Scanner

Odinstaluj:

Adobe Flash Player 10 Plugin

Adobe Flash Player 15 ActiveX

Adobe Shockwave Player 11.6

Zainstaluj:

Flash Player 17.0.0.169 Plugin

Flash Player 17.0.0.169 ActiveX

#7

Zrobione ! Przeskanowałem tym programem Eset Online Scanner lecz po godzinie skanowania zawiesił się kompletnie.Odinstalowałem swój program antywirusowy i zainstalowałem Eseta w wersji testowej.Po przeskanowaniu komputera usunął 3000 zagrożeń.Komputer chodzi w miarę normalnie lecz nie mogę otworzyć żadnego zdjęcia na dysku a mam ich bardzo dużo.Wszystkie mają po nazwie zakończenie .ezz Jak to naprawić ?

#8

Nie możesz otworzyć ponieważ zdjęcia zostały zaszyfrowane przez wirusa Alpha Crypt.

Przecież napisałem, że prawdopodobnie nie ma sposobu żeby odszyfrować dane.

Możesz skopiować te pliki i czekać, bo może kiedyś ktoś wymyśli sposób żeby odszyfrować pliki.

Czasem sprawdzaj czy na forum bleepingcomputer pojawią się jakieś nowe informacje:

http://www.bleepingcomputer.com/forums/t/574900/teslacrypt-ransomware-changes-its-name-to-alpha-crypt/

#9

Rozumiem ale ogólnie to dziękuje za pomoc ! pozdrawiam