Witam serdecznie mojej koleżanki laptop został zaatakowany przez wirusa
Ma poblokowane pliki
Zrobiłem raport z adwcleaner
Bardzo proszę o pomoc. Co dalej mamy robić?
CryptoWall szyfruje pliki i nie ma możliwości odszyfrowania tych danych:
http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information
Przeczytaj przypięty temat Raport obowiązkowy.
Masakra:( zaszyfrowane są tam naprawdę bardzo ważne pliki:(
Naprawde nic sie nie da zrobić? na jakimś forum przeczytałem, ze można po usunięciu wirusa klikać na przywracanie poprzedniej wersji pliku
?
Możesz użyć magicznego zaklęcia, bo wirus przeważnie kasuje wszystkie punkty przywracania i taka informacja znajduje się w podanym linku, więc mogłeś samodzielnie przeczytać.
W tym dziele wymagane są logi, bo nikt nie będzie wróżył z fusów.
Dziękuję za pomoc. Pomagam przez telefon mam utrudnione widoki tego co się dzieje u koleżanki
Wklejam skan z frst
http://www.wklej.org/id/1755152/ FRST
http://www.wklej.org/id/1755155/ Adition
Nie ma żadnego punktu przywracania.
Odinstaluj McAfee Security Scan.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2014-02-20]
Startup: C:\Users\Doris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.HTML [2015-07-11] ()
Startup: C:\Users\Doris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.PNG [2015-07-11] ()
Startup: C:\Users\Doris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.TXT [2015-07-11] ()
InternetURL: C:\Users\Doris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.URL -> hxxp://6i3cb6owitcouepv.myportopay.com/1RfQ45z
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll No File
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [235696 2014-04-09] (McAfee, Inc.)
S2 Update WiseEnhance; "C:\Program Files\WiseEnhance\updateWiseEnhance.exe" [X]
S2 Util WiseEnhance; "C:\Program Files\WiseEnhance\bin\utilWiseEnhance.exe" [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
2015-07-11 00:07 - 2015-07-11 00:23 - 00000000 ____ D C:\AdwCleaner
2015-07-10 23:49 - 2014-10-08 20:02 - 00000000 ____ D C:\ProgramData\TEMP
C:\Program Files\McAfee Security Scan
CMD: del /q /s C:\HELP_DECRYPT.*
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
Dzień dobry.
Próbowaliśmy wkleić plik fixlist.txt do logów, skopiowaliśmy również plik fixlist.txt do pliku gdzie na dysku był frst.exe i niestety po wybraniu fix. pojawia się komunikat, że plik fixlist nie został znaleziony.
Co w takiej sytuacji należy zrobić?
Dziękujemy z góry za pomoc.
Zapisz tam gdzie program FRST: C:\Users\Doris\Downloads
Zresztą wykonanie tego nic nie zmieni, bo plików i tak nie odszyfrujesz.
Rozumiem.
Ale pomoże pozbyć się wirusa?
Za pomocą FRST można usunąć tego wirusa, ale pliki nadal będą zaszyfrowane.
Należy przeczytać całą odpowiedź:
Kolejny raz wkleiłeś ten sam raport z usuwania.
Wyraźnie napisałem, że nie masz pokazywać raportu Addition.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
C:\Users\Doris\Downloads\FRST-OlderVersion
DeleteQuarantine:
Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST
Dysk przeskanuj ESET Online Scanner
Odinstaluj:
Adobe Flash Player 16 ActiveX
Java 8 Update 25
Zainstaluj:
Pecha mamy. podczas wykonywania punktu "skasuj folder C:/frst Wirus ponownie wrócił, znowu na pulpicie pojawiły się ikonki z wirusem:(
Ten folder jest tworzony podczas każdego uruchomienia FRST.
Ten wirus nie może sobie sam wrócić.
Infekcja następuje przez uruchomienie zainfekowanego pliku, otwarcie szkodliwego załącznika do maila itp.