Witam!

Mam komputer po prawdopodobnym ataku CryptoWall.

Anti Malware usunął jakieś ‘syfy’, ESET online Scaner też.

Załączam logi FRST z prośbą o sprawdzenie.

FRST: http://wklej.to/xKTl5

Addition: http://wklej.to/08EgF

schortcut: http://wklej.to/QKQ9E

Z góry dziękuję i pozdrawiam,

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKLM -> DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = 
S4 eapihdrv; \??\C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\ehdrv.sys [X]
S4 IntelIde; No ImagePath
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
CMD: del /q /s C:\HELP_DECRYPT.*
EmptyTemp:

Uruchom FRST i kliknij Fix. Później skasuj C:\FRST

Chciałem prosić jeszcze o sprawdzenie logów z ‘serwera’ do którego podłączony był zainfekowany komputer i miał z niego mapowane dyski sieciowe.

Nie widać infekcji.

Jeżeli zostały zaszyfrowane pliki to nie ma możliwości żeby odszyfrować dane:

http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information

Nic nie zaszyfrował na szczęście.

W ogóle bardzo “dziwnie” się zachował, bo ani na stacji roboczej, ani na ‘serwerze’ nic nie zaszyfrował. Zostawił tylko w różnych miejscach po 3 pliki: HELP_DECRYPT.txt, HELP_DECRYPT.PNG i HELP_DECRYPT.HTMl.

Dziwne też, że na stacji przepuścił go ESET Smart Security

Mam nadzieję, że nie odpali w przyszłości.

Możesz podpowiedzieć, czy jest sens zastosować to zabezpieczenie w całej sieci: FoolishIT LLC z opcją default?

Nie wiem, bo nigdy tego nie stosowałem. Na blogu masz wpis na ten temat:

http://www.dobreprogramy.pl/bachus/WBZIN,65065.html

Pliki możesz skasować za pomocą wiersza polecenia cmd.exe.

W wierszu polecenia wpisz: del /q /s X :\HELP_DECRYPT.*

X - podstaw literę dysku.