KNP
(Konoppl)
24 Wrzesień 2016 00:44
#1
Mam identyczna sytuacje jak kolega wyżej.Poblokowane zdjęcia filmy(klika działa w innych niż domyślne playerach) i pliki tekstowe(niektóre da się otworzyć w wordapad) w folderach w których pojawia się plik tekstowy Files encrypted - zawartość :
You used to download illegal
files from the internet.
Now all of your private files
has been locked and encrypted!
To unblock them visit one
of these websites:
http://unblockupc.xyz
http://unblockupc.in
http://moscovravir.ru
http://213.167.243.215
http://185.45.192.17
http://unblockupc.club
Your UID: U1K7XHOQHA
addition : http://wklej.org/id/2865110/
FRST : http://wklej.org/id/2865111/
shortcut : [http://wklej.org/id/2865112/
Help!](http://wklej.org/id/2865112/ )
Wklej do natatnika:
CloseProcesses: Startup: C:\Users\FalszywyCzarodziej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe [2016-09-23] () GroupPolicyScripts: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3132610a-08db-4cbb-913a-c27d0ed915f9} <======= UWAGA (Ograniczenia - IP) HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR HomePage: Default -> search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> web/?type=dspp&q={searchTerms} CHR DefaultSearchKeyword: Default -> search.ask.com CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] 2016-09-24 00:49 - 2015-03-11 01:10 - 00001736 _____ C:\Windows\Tasks\VPVKSWG.job 2016-09-24 00:49 - 2015-03-10 22:41 - 00001390 _____ C:\Windows\Tasks\NECPTY.job 2016-09-24 00:49 - 2015-03-10 22:34 - 00001736 _____ C:\Windows\Tasks\SKJGGBS.job 2016-09-24 00:49 - 2015-03-10 22:25 - 00001388 _____ C:\Windows\Tasks\XEBOZ.job 2015-03-09 22:30 - 2015-03-09 22:30 - 0005487 _____ () C:\Users\FalszywyCzarodziej\AppData\Roaming\NECPTY 2015-03-09 22:30 - 2015-03-09 22:30 - 0005487 _____ () C:\Users\FalszywyCzarodziej\AppData\Roaming\SKJGGBS 2016-09-23 17:59 - 2016-09-23 23:58 - 0000020 _____ () C:\Users\FalszywyCzarodziej\AppData\Roaming\uid.txt 2015-03-09 22:30 - 2015-03-09 22:30 - 0005487 _____ () C:\Users\FalszywyCzarodziej\AppData\Roaming\VPVKSWG 2015-01-25 17:12 - 2015-01-25 17:12 - 0001248 _____ () C:\Users\FalszywyCzarodziej\AppData\Roaming\XEBOZ 2016-09-23 17:59 - 2016-09-24 00:00 - 1986560 _____ () C:\ProgramData\encfiles.log 2016-09-23 17:59 - 2016-09-23 23:58 - 0000020 _____ () C:\ProgramData\uid.txt Task: C:\Windows\Tasks\NECPTY.job => C:\Users\FalszywyCzarodziej\AppData\Roaming\NECPTY.exe <==== UWAGA Task: C:\Windows\Tasks\SKJGGBS.job => C:\Users\FalszywyCzarodziej\AppData\Roaming\SKJGGBS.exe <==== UWAGA Task: C:\Windows\Tasks\VPVKSWG.job => C:\Users\FalszywyCzarodziej\AppData\Roaming\VPVKSWG.exe <==== UWAGA Task: C:\Windows\Tasks\XEBOZ.job => C:\Users\FalszywyCzarodziej\AppData\Roaming\XEBOZ.exe <==== UWAGA C:\Users\FalszywyCzarodziej\AppData\Roaming\XEBOZ.exe C:\Users\FalszywyCzarodziej\AppData\Roaming\VPVKSWG.exe C:\Users\FalszywyCzarodziej\AppData\Roaming\SKJGGBS.exe C:\Users\FalszywyCzarodziej\AppData\Roaming\NECPTY.exe C:\Users\FalszywyCzarodziej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [119] HKU\S-1-5-21-716998437-1348604962-1507441090-1000\Software\Classes\exefile: <===== UWAGA HKU\S-1-5-21-716998437-1348604962-1507441090-1000\Software\Classes.exe: => <===== UWAGA HKU\S-1-5-21-716998437-1348604962-1507441090-1000\Software\Classes.bat: => <===== UWAGA HKU\S-1-5-21-716998437-1348604962-1507441090-1000\Software\Classes.com : => <===== UWAGA HKU\S-1-5-21-716998437-1348604962-1507441090-1000\Software\Classes.cmd: => <===== UWAGA EmptyTemp:
Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Napraw Raport z usuwania pokaż na forum. Następnie ponownie uruchom FRST klikasz Skanuj pokaż nowy raport FRST.txt na forum
KNP
(Konoppl)
24 Wrzesień 2016 01:15
#3
Skasuj pliki:
Wykonaj pełny skan Malwarebytes, jeśli program coś wykryje pokaż raport na forum
KNP
(Konoppl)
24 Wrzesień 2016 02:26
#5
Wcześniej skanowałem malwarebytes i hitman do tego przywracałem system z przed 2 dni(wszystko zanim napisałem tutaj na forum).
hitman wczoraj wieczór : http://wklej.org/id/2865191/
malwarebytes wczoraj wieczor : http://wklej.org/id/2865194/
hitman teraz : http://wklej.org/id/2865193/
malwarebytes teraz : http://wklej.org/id/2865195/
KNP
(Konoppl)
24 Wrzesień 2016 11:29
#7
Update zrobiony firefox odinstalowany.
fixlog : http://wklej.org/id/2865608/
delfix : http://wklej.org/id/2865617/