... nie jest prawidłową aplikacją systemu Win32


(Wilkk07) #1

Witam mam taki problem od kilku dni moje wszystkie pliki typu zdjęcia, dokumenty itp. zamieniły się na jakieś "Plik EACLUHL". Gdy otwieram zdjęcie albo dokument zawartość pliku się nie wyświetla, a gdy próbuje otworzyć za pomocą innego programu i wchodzę w "otwórz za pomocą i wybierz program..." to  wyskoczyło mi takie okienko:


(Giiixxxx6) #2

Czesc,

Standardowo logi FRST ale czy czasem cos Ci nie podmienilo plikow? To Ci powiedza specjalisci jak Atis czy Acorus


(Atis) #3

Nowy log obowiązkowy - Farbar Recovery Scan Tool

Wirus CTB-Locker szyfruje pliki i dodaje losowe rozszerzenie.

Pliki zostały zaszyfrowane i nie ma możliwości odszyfrowania tych danych.

CTB-Locker:

http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

http://www.dobreprogramy.pl/Uwaga-na-CTBLockera-ktory-szyfruje-dane-polskich-internautow-i-zada-okupu,News,60779.html

http://www.eset.pl/O_nas/Centrum_prasowe/Aktualnosci,news_id,9084

Jeżeli wirus nie skasował punktów przywracania to możesz spróbować ShadowExplorer:

http://www.shadowexplorer.com/documentation/manual.html

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish


(Wilkk07) #4

tutaj logi:

FRST http://wklej.org/id/1632094/

Addition http://wklej.org/id/1632095/

 

Przy skanowaniu Farbar Recovery Scan Tool nie miałem takiej opcji jak “Known DLLs”

Dysku jeszcze nie skanowałem


(Atis) #5

Pliki zostały zaszyfrowane i nie ma sposobu żeby odszyfrować dane.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [MFARestart] => "C:\Documents and Settings\All Users\Dane aplikacji\MFAData\pack\avgrunasx.exe" /usereg
HKU\S-1-5-21-583907252-1770027372-839522115-1004\...\Run: [SoftonicAssistant] => C:\Documents and Settings\Danielki\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant\SoftonicAssistant.exe [1829832 2014-11-11] ()
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1423030357&from=cor&uid=WDCXWD1600AAJS-07PSA0_WD-WCAP9400224702247
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.qone8.com/web/?type=ds&ts=1397961513&from=smt&uid=WDCXWD1600AAJS-07PSA0_WD-WCAP9400224702247&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1423030357&from=cor&uid=WDCXWD1600AAJS-07PSA0_WD-WCAP9400224702247
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.qone8.com/web/?type=ds&ts=1397961513&from=smt&uid=WDCXWD1600AAJS-07PSA0_WD-WCAP9400224702247&q={searchTerms}
HKU\S-1-5-21-583907252-1770027372-839522115-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1423030357&from=cor&uid=WDCXWD1600AAJS-07PSA0_WD-WCAP9400224702247
HKU\S-1-5-21-583907252-1770027372-839522115-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1423030357&from=cor&uid=WDCXWD1600AAJS-07PSA0_WD-WCAP9400224702247
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1397961513&from=smt&uid=WDCXWD1600AAJS-07PSA0_WD-WCAP9400224702247
FF Extension: Fast Start - C:\Documents and Settings\Danielki\Dane aplikacji\Mozilla\Firefox\Profiles\z28rdsn3.default\Extensions\faststartff@gmail.com [2015-02-04]
CHR HomePage: Default -> hxxp://www.adoresearch.com/431
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
S4 IntelIde; No ImagePath
S3 qcserxp; system32\DRIVERS\qcserxp.sys [X]
U1 WS2IFSL; No ImagePath
S3 XDva409; \??\C:\WINDOWS\system32\XDva409.sys [X]
C:\Documents and Settings\Danielki\Ustawienia lokalne\Dane aplikacji\SoftonicAssistant
2015-02-04 07:12 - 2015-02-04 07:12 - 00000000 ____ D () C:\Documents and Settings\Danielki\Dane aplikacji\omiga-plus
2015-02-04 07:12 - 2015-02-09 23:41 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect
2015-02-08 09:53 - 2015-02-08 09:53 - 03686454 _____ () C:\Documents and Settings\Danielki\Moje dokumenty\!Decrypt-All-Files-aipkuhl.bmp
2015-02-08 09:53 - 2015-02-08 09:53 - 00001266 _____ () C:\Documents and Settings\Danielki\Moje dokumenty\!Decrypt-All-Files-aipkuhl.txt
2015-02-08 09:46 - 2015-02-08 09:46 - 03686454 _____ () C:\Documents and Settings\Danielki\Moje dokumenty\!Decrypt-All-Files-eacluhl.bmp
2015-02-08 09:46 - 2015-02-08 09:46 - 00001266 _____ () C:\Documents and Settings\Danielki\Moje dokumenty\!Decrypt-All-Files-eacluhl.txt
2014-02-19 09:20 - 2014-06-09 13:45 - 0001664 ____ C () C:\Documents and Settings\Danielki\Ustawienia lokalne\Dane aplikacji\iforex.CONFIG.eacluhl
2014-02-06 16:50 - 2015-02-04 07:06 - 0000064 _____ () C:\Documents and Settings\Danielki\Ustawienia lokalne\Dane aplikacji\SendToWorkFiles.TXT.eacluhl
EmptyTemp:

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST


(Wilkk07) #6

A gdzie mam zapisać ten plik tekstowy  fixlist ?


(Acorus) #7

Tam gdzie masz FRST czyli I:\Pobrane


(Wilkk07) #8

Gdy włączyłem FRSRT wyskoczylo mi zagrożenie czy to dobrze?


(Acorus) #9

Jakie zagrożenie?


(Wilkk07) #10

Przed jakimś wirusem nie czytałem dokładnie ale wziąłem i przeniosłem do kwarantanny i usunąłem program FRSRT

Coś zrobiłem nie tak, przeskanować jeszcze raz? I co z I/C:…nie jest prawidłową aplikacją systemu Win32.


(Atis) #11

Skasowałeś program FRST, bo śmieszny antywirus popełnił błąd.

 

Nie rozumiesz, że pliki zostały zaszyfrowane i dlatego nie można ich otworzyć.


(Wilkk07) #12

To dlaczego niektóre pliki mogę otworzyć które nie są EACLUHL a jak chce otworzyć za pomocą innego programu to wtedy wyskakuje to okienko


(Atis) #13

Co w tym dziwnego?

To normalne, że możesz otworzyć pliki które nie mają rozszerzenia eacluhl.


(Wilkk07) #14

ale gdy chce otworzyć inny plik za pomocą innego programu “otwórz za pomocą i wybierz program…” ktory nie ma rozszerzenia eacluhl to dalej mi ten sam błąd wyskakuje a nie jest zainfekowany, jak to naprawić i jak usunąć tego wirusa żeby nie szyfrował innych plików 


(Atis) #15

W tych logach nie widać żadnej aktywnej infekcji.

Oprócz zaszyfrowanych plikiów były tylko pozostałości związane z programami typu adware.


(Wilkk07) #16

Formatowanie systemu naprawi mi to?


(system) #17

Reinstalacja systemu wszystko Ci naprawi poza jednym, pliki zaszyfrowane pozostaną nadal zaszyfrowane. Nic z tym nie zrobisz! Niczym już je nie otworzysz.


(Wilkk07) #18

Dobra dzięki