Witam mam taki problem od kilku dni moje wszystkie pliki typu zdjęcia, dokumenty itp. zamieniły się na jakieś “Plik EACLUHL”. Gdy otwieram zdjęcie albo dokument zawartość pliku się nie wyświetla, a gdy próbuje otworzyć za pomocą innego programu i wchodzę w “otwórz za pomocą i wybierz program…” to wyskoczyło mi takie okienko:
Czesc,
Standardowo logi FRST ale czy czasem cos Ci nie podmienilo plikow? To Ci powiedza specjalisci jak Atis czy Acorus
Nowy log obowiązkowy - Farbar Recovery Scan Tool
Wirus CTB-Locker szyfruje pliki i dodaje losowe rozszerzenie.
Pliki zostały zaszyfrowane i nie ma możliwości odszyfrowania tych danych.
CTB-Locker:
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information
http://www.eset.pl/O_nas/Centrum_prasowe/Aktualnosci,news_id,9084
Jeżeli wirus nie skasował punktów przywracania to możesz spróbować ShadowExplorer:
http://www.shadowexplorer.com/documentation/manual.html
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
tutaj logi:
FRST http://wklej.org/id/1632094/
Addition http://wklej.org/id/1632095/
Przy skanowaniu Farbar Recovery Scan Tool nie miałem takiej opcji jak “Known DLLs”
Dysku jeszcze nie skanowałem
Pliki zostały zaszyfrowane i nie ma sposobu żeby odszyfrować dane.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\...\Run: [MFARestart] => "C:\Documents and Settings\All Users\Dane aplikacji\MFAData\pack\avgrunasx.exe" /usereg
HKU\S-1-5-21-583907252-1770027372-839522115-1004\...\Run: [SoftonicAssistant] => C:\Documents and Settings\Danielki\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant\SoftonicAssistant.exe [1829832 2014-11-11] ()
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1423030357&from=cor&uid=WDCXWD1600AAJS-07PSA0_WD-WCAP9400224702247
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1397961513&from=smt&uid=WDCXWD1600AAJS-07PSA0_WD-WCAP9400224702247&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1423030357&from=cor&uid=WDCXWD1600AAJS-07PSA0_WD-WCAP9400224702247
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1397961513&from=smt&uid=WDCXWD1600AAJS-07PSA0_WD-WCAP9400224702247&q={searchTerms}
HKU\S-1-5-21-583907252-1770027372-839522115-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1423030357&from=cor&uid=WDCXWD1600AAJS-07PSA0_WD-WCAP9400224702247
HKU\S-1-5-21-583907252-1770027372-839522115-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1423030357&from=cor&uid=WDCXWD1600AAJS-07PSA0_WD-WCAP9400224702247
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1397961513&from=smt&uid=WDCXWD1600AAJS-07PSA0_WD-WCAP9400224702247
FF Extension: Fast Start - C:\Documents and Settings\Danielki\Dane aplikacji\Mozilla\Firefox\Profiles\z28rdsn3.default\Extensions\faststartff@gmail.com [2015-02-04]
CHR HomePage: Default -> hxxp://www.adoresearch.com/431
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
S4 IntelIde; No ImagePath
S3 qcserxp; system32\DRIVERS\qcserxp.sys [X]
U1 WS2IFSL; No ImagePath
S3 XDva409; \??\C:\WINDOWS\system32\XDva409.sys [X]
C:\Documents and Settings\Danielki\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant
2015-02-04 07:12 - 2015-02-04 07:12 - 00000000 ____ D () C:\Documents and Settings\Danielki\Dane aplikacji\omiga-plus
2015-02-04 07:12 - 2015-02-09 23:41 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect
2015-02-08 09:53 - 2015-02-08 09:53 - 03686454 _____ () C:\Documents and Settings\Danielki\Moje dokumenty\!Decrypt-All-Files-aipkuhl.bmp
2015-02-08 09:53 - 2015-02-08 09:53 - 00001266 _____ () C:\Documents and Settings\Danielki\Moje dokumenty\!Decrypt-All-Files-aipkuhl.txt
2015-02-08 09:46 - 2015-02-08 09:46 - 03686454 _____ () C:\Documents and Settings\Danielki\Moje dokumenty\!Decrypt-All-Files-eacluhl.bmp
2015-02-08 09:46 - 2015-02-08 09:46 - 00001266 _____ () C:\Documents and Settings\Danielki\Moje dokumenty\!Decrypt-All-Files-eacluhl.txt
2014-02-19 09:20 - 2014-06-09 13:45 - 0001664 ____ C () C:\Documents and Settings\Danielki\Ustawienia lokalne\Dane aplikacji\iforex.CONFIG.eacluhl
2014-02-06 16:50 - 2015-02-04 07:06 - 0000064 _____ () C:\Documents and Settings\Danielki\Ustawienia lokalne\Dane aplikacji\SendToWorkFiles.TXT.eacluhl
EmptyTemp:
Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST
A gdzie mam zapisać ten plik tekstowy fixlist ?
Tam gdzie masz FRST czyli I:\Pobrane
Gdy włączyłem FRSRT wyskoczylo mi zagrożenie czy to dobrze?
Jakie zagrożenie?
Przed jakimś wirusem nie czytałem dokładnie ale wziąłem i przeniosłem do kwarantanny i usunąłem program FRSRT
Coś zrobiłem nie tak, przeskanować jeszcze raz? I co z I/C:…nie jest prawidłową aplikacją systemu Win32.
Skasowałeś program FRST, bo śmieszny antywirus popełnił błąd.
Nie rozumiesz, że pliki zostały zaszyfrowane i dlatego nie można ich otworzyć.
To dlaczego niektóre pliki mogę otworzyć które nie są EACLUHL a jak chce otworzyć za pomocą innego programu to wtedy wyskakuje to okienko
Co w tym dziwnego?
To normalne, że możesz otworzyć pliki które nie mają rozszerzenia eacluhl.
ale gdy chce otworzyć inny plik za pomocą innego programu “otwórz za pomocą i wybierz program…” ktory nie ma rozszerzenia eacluhl to dalej mi ten sam błąd wyskakuje a nie jest zainfekowany, jak to naprawić i jak usunąć tego wirusa żeby nie szyfrował innych plików
W tych logach nie widać żadnej aktywnej infekcji.
Oprócz zaszyfrowanych plikiów były tylko pozostałości związane z programami typu adware.
Formatowanie systemu naprawi mi to?
Reinstalacja systemu wszystko Ci naprawi poza jednym, pliki zaszyfrowane pozostaną nadal zaszyfrowane. Nic z tym nie zrobisz! Niczym już je nie otworzysz.
Dobra dzięki