Poblokowane zdjęcia oraz filmy, wirus?

KNP · 24 Wrzesień 2016 00:44

Mam identyczna sytuacje jak kolega wyżej.Poblokowane zdjęcia filmy(klika działa w innych niż domyślne playerach) i pliki tekstowe(niektóre da się otworzyć w wordapad) w folderach w których pojawia się plik tekstowy Files encrypted - zawartość :

You used to download illegal
files from the internet.
Now all of your private files
has been locked and encrypted!

To unblock them visit one
of these websites:
http://unblockupc.xyz
http://unblockupc.in
http://moscovravir.ru
http://213.167.243.215
http://185.45.192.17
http://unblockupc.club

Your UID: U1K7XHOQHA

addition : http://wklej.org/id/2865110/
FRST : http://wklej.org/id/2865111/
shortcut : [http://wklej.org/id/2865112/

Help!](http://wklej.org/id/2865112/)

spandaupol · 24 Wrzesień 2016 01:03

Wklej do natatnika:

CloseProcesses: Startup: C:\Users\FalszywyCzarodziej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe [2016-09-23] () GroupPolicyScripts: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3132610a-08db-4cbb-913a-c27d0ed915f9} <======= UWAGA (Ograniczenia - IP) HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR HomePage: Default -> search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> web/?type=dspp&q={searchTerms} CHR DefaultSearchKeyword: Default -> search.ask.com CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] 2016-09-24 00:49 - 2015-03-11 01:10 - 00001736 _____ C:\Windows\Tasks\VPVKSWG.job 2016-09-24 00:49 - 2015-03-10 22:41 - 00001390 _____ C:\Windows\Tasks\NECPTY.job 2016-09-24 00:49 - 2015-03-10 22:34 - 00001736 _____ C:\Windows\Tasks\SKJGGBS.job 2016-09-24 00:49 - 2015-03-10 22:25 - 00001388 _____ C:\Windows\Tasks\XEBOZ.job 2015-03-09 22:30 - 2015-03-09 22:30 - 0005487 _____ () C:\Users\FalszywyCzarodziej\AppData\Roaming\NECPTY 2015-03-09 22:30 - 2015-03-09 22:30 - 0005487 _____ () C:\Users\FalszywyCzarodziej\AppData\Roaming\SKJGGBS 2016-09-23 17:59 - 2016-09-23 23:58 - 0000020 _____ () C:\Users\FalszywyCzarodziej\AppData\Roaming\uid.txt 2015-03-09 22:30 - 2015-03-09 22:30 - 0005487 _____ () C:\Users\FalszywyCzarodziej\AppData\Roaming\VPVKSWG 2015-01-25 17:12 - 2015-01-25 17:12 - 0001248 _____ () C:\Users\FalszywyCzarodziej\AppData\Roaming\XEBOZ 2016-09-23 17:59 - 2016-09-24 00:00 - 1986560 _____ () C:\ProgramData\encfiles.log 2016-09-23 17:59 - 2016-09-23 23:58 - 0000020 _____ () C:\ProgramData\uid.txt Task: C:\Windows\Tasks\NECPTY.job => C:\Users\FalszywyCzarodziej\AppData\Roaming\NECPTY.exe <==== UWAGA Task: C:\Windows\Tasks\SKJGGBS.job => C:\Users\FalszywyCzarodziej\AppData\Roaming\SKJGGBS.exe <==== UWAGA Task: C:\Windows\Tasks\VPVKSWG.job => C:\Users\FalszywyCzarodziej\AppData\Roaming\VPVKSWG.exe <==== UWAGA Task: C:\Windows\Tasks\XEBOZ.job => C:\Users\FalszywyCzarodziej\AppData\Roaming\XEBOZ.exe <==== UWAGA C:\Users\FalszywyCzarodziej\AppData\Roaming\XEBOZ.exe C:\Users\FalszywyCzarodziej\AppData\Roaming\VPVKSWG.exe C:\Users\FalszywyCzarodziej\AppData\Roaming\SKJGGBS.exe C:\Users\FalszywyCzarodziej\AppData\Roaming\NECPTY.exe C:\Users\FalszywyCzarodziej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [119] HKU\S-1-5-21-716998437-1348604962-1507441090-1000\Software\Classes\exefile: <===== UWAGA HKU\S-1-5-21-716998437-1348604962-1507441090-1000\Software\Classes.exe: => <===== UWAGA HKU\S-1-5-21-716998437-1348604962-1507441090-1000\Software\Classes.bat: => <===== UWAGA HKU\S-1-5-21-716998437-1348604962-1507441090-1000\Software\Classes.com: => <===== UWAGA HKU\S-1-5-21-716998437-1348604962-1507441090-1000\Software\Classes.cmd: => <===== UWAGA EmptyTemp:

Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Napraw Raport z usuwania pokaż na forum. Następnie ponownie uruchom FRST klikasz Skanuj pokaż nowy raport FRST.txt na forum

KNP · 24 Wrzesień 2016 01:15

fixlist : http://wklej.org/id/2865150/
FRST : http://wklej.org/id/2865151/

spandaupol · 24 Wrzesień 2016 01:26

Skasuj pliki:

Wykonaj pełny skan Malwarebytes, jeśli program coś wykryje pokaż raport na forum

KNP · 24 Wrzesień 2016 02:26

Wcześniej skanowałem malwarebytes i hitman do tego przywracałem system z przed 2 dni(wszystko zanim napisałem tutaj na forum).

hitman wczoraj wieczór : http://wklej.org/id/2865191/

malwarebytes wczoraj wieczor : http://wklej.org/id/2865194/

hitman teraz : http://wklej.org/id/2865193/

malwarebytes teraz : http://wklej.org/id/2865195/

spandaupol · 24 Wrzesień 2016 07:21

Wklej do notatnika:

CloseProcesses: Task: {1F912EFE-5105-4B89-9F7C-D6708766B778} - System32\Tasks\VPVKSWG => C:\Users\FalszywyCzarodziej\AppData\Roaming\VPVKSWG.exe <==== UWAGA Task: {2817C8E5-18E4-4611-90CE-2B13F8231804} - System32\Tasks{33A7C2E4-1BFA-40A5-9C10-75FAAF953169} => pcalua.exe -a J:\SETUP.EXE -d J:\ Task: {404E8E4B-98C8-47FD-A48D-30CB63AE0BCF} - System32\Tasks\SKJGGBS => C:\Users\FalszywyCzarodziej\AppData\Roaming\SKJGGBS.exe <==== UWAGA Task: {5323CF83-8B40-4B1C-A6EC-2021BDBC6117} - System32\Tasks\XEBOZ => C:\Users\FalszywyCzarodziej\AppData\Roaming\XEBOZ.exe <==== UWAGA Task: {6D943F74-6C18-48F8-8809-5BC188F4E64A} - System32\Tasks{6D2CB571-0C40-4751-979B-6D52CD7567C0} => pcalua.exe -a M:\Setup.exe -d M:\ Task: {792E5AC9-24FB-480C-97F5-27BA6DF3D0EE} - System32\Tasks\NECPTY => C:\Users\FalszywyCzarodziej\AppData\Roaming\NECPTY.exe <==== UWAGA Task: {7C89F1FF-1786-4958-BF1F-AC8D509874DE} - System32\Tasks{3033D2E4-8995-4CB1-9886-309E4B7BC702} => pcalua.exe -a C:\Users\FalszywyCzarodziej\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=tugs Task: {8601A1DD-E6D3-4B42-8BBA-567BE1BDC0B8} - \SmartWeb Upgrade Trigger Task -> Brak pliku <==== UWAGA Task: {9769F74C-6D71-4022-8F2B-44E5ADB84533} - System32\Tasks{2C912DB1-7978-4C5D-8434-079301EDBD23} => pcalua.exe -a “D:\gry\moh\eReg\Medal of Honor Allied Assault_uninst.exe” -d D:\gry\moh\eReg Task: {A6A20305-72AA-4A02-BC94-E830F0BA6D03} - System32\Tasks{AF9292EA-B9C7-463F-9387-D54CAAE79A77} => pcalua.exe -a “C:\Users\FalszywyCzarodziej\Downloads\chromeinstall-8u45 (1).exe” -d C:\Users\FalszywyCzarodziej\Downloads Task: {BC5EA30E-863E-4072-94D8-D80BE3767C7B} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2015-03-11] (Google Inc.) Task: {FF18FC8C-9341-4107-B815-C6A0BF8F4799} - System32\Tasks{D8ADAFE5-8D4E-4A6D-B814-36BB32315F70} => pcalua.exe -a M:\Patch\heroes_might_magic_5_1.01_cz_pl_collector.exe -d M:\Patch EmptyTemp:

Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Napraw Raport z usuwania pokaż na forum.

Użyj Delfix instrukcja https://forum.dobreprogramy.pl/dzialania-konczace-temat-dezynfekcji-528283t.html/

Zaktualizuj:

Adobe Reader http://www.dobreprogramy.pl/Adobe-Reader-XI,Program,Windows,21590.htmlb

Java https://www.java.com/pl/download/

Firefox http://www.dobreprogramy.pl/Firefox,Program,Windows,13108.html

KNP · 24 Wrzesień 2016 11:29

Update zrobiony firefox odinstalowany.

fixlog : http://wklej.org/id/2865608/
delfix : http://wklej.org/id/2865617/

spandaupol · 25 Wrzesień 2016 16:28

Z mojej strony to wszystko. Plików niestety nie można obecnie odszyfrować http://www.bleepingcomputer.com/forums/t/627582/unblockupc-ransomware-help-support-topic-files-encryptedtxt/