Problem z wirusem HELP_DECRYPT


(Maurins) #1

Witam serdecznie mojej koleżanki laptop został zaatakowany przez wirusa

Ma poblokowane pliki

Zrobiłem raport z adwcleaner

Bardzo proszę o pomoc. Co dalej mamy robić?

 

 

 

 

http://wklej.org/id/1755124/


(Atis) #2

CryptoWall szyfruje pliki i nie ma możliwości odszyfrowania tych danych:

http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information

Przeczytaj przypięty temat Raport obowiązkowy.


(Maurins) #3

Masakra:( zaszyfrowane są tam naprawdę bardzo ważne pliki:(

Naprawde nic sie nie da zrobić? na jakimś forum przeczytałem, ze można po usunięciu wirusa klikać na przywracanie poprzedniej wersji pliku

?


(Atis) #4

Możesz użyć magicznego zaklęcia, bo wirus przeważnie kasuje wszystkie punkty przywracania i taka informacja znajduje się w podanym linku, więc mogłeś samodzielnie przeczytać.

W tym dziele wymagane są logi, bo nikt nie będzie wróżył z fusów.


(Maurins) #5

Dziękuję za pomoc. Pomagam przez telefon mam utrudnione widoki tego co się dzieje u koleżanki

Wklejam skan z frst

 

http://www.wklej.org/id/1755152/           FRST

http://www.wklej.org/id/1755155/      Adition


(Atis) #6

Nie ma żadnego punktu przywracania.

Odinstaluj McAfee Security Scan.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2014-02-20]
Startup: C:\Users\Doris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.HTML [2015-07-11] ()
Startup: C:\Users\Doris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.PNG [2015-07-11] ()
Startup: C:\Users\Doris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.TXT [2015-07-11] ()
InternetURL: C:\Users\Doris\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.URL -> hxxp://6i3cb6owitcouepv.myportopay.com/1RfQ45z
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.150\McAfeeMSS_IE.dll No File
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe [235696 2014-04-09] (McAfee, Inc.)
S2 Update WiseEnhance; "C:\Program Files\WiseEnhance\updateWiseEnhance.exe" [X]
S2 Util WiseEnhance; "C:\Program Files\WiseEnhance\bin\utilWiseEnhance.exe" [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
2015-07-11 00:07 - 2015-07-11 00:23 - 00000000 ____ D C:\AdwCleaner
2015-07-10 23:49 - 2014-10-08 20:02 - 00000000 ____ D C:\ProgramData\TEMP
C:\Program Files\McAfee Security Scan
CMD: del /q /s C:\HELP_DECRYPT.*
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(Maurins) #7

Dzień dobry.

Próbowaliśmy wkleić plik fixlist.txt do logów, skopiowaliśmy  również plik fixlist.txt do pliku gdzie na dysku był frst.exe i niestety po wybraniu fix. pojawia się komunikat, że plik fixlist nie został znaleziony.

Co w takiej sytuacji należy zrobić?

 

Dziękujemy z góry za pomoc.


(Atis) #8

Zapisz tam gdzie program FRST: C:\Users\Doris\Downloads

Zresztą wykonanie tego nic nie zmieni, bo plików i tak nie odszyfrujesz.


(Maurins) #9

Rozumiem.

Ale pomoże pozbyć się wirusa?


(Atis) #10

Za pomocą FRST można usunąć tego wirusa, ale pliki nadal będą zaszyfrowane.


(Maurins) #11

Witam ponownie

http://www.wklej.org/id/1755301/

 

mamy loga


(Atis) #12

Należy przeczytać całą odpowiedź:


(Maurins) #13

http://www.wklej.org/id/1755301/

 

Proszę


(Atis) #14

Kolejny raz wkleiłeś ten sam raport z usuwania.


(Maurins) #15

Faktycznie

 

http://www.wklej.org/id/1755348/  już poprawnie wkleiłem.


(Atis) #16

Wyraźnie napisałem, że nie masz pokazywać raportu Addition.


(Maurins) #17

Ok odhaczyliśmy w skanie Addition i Shortcut. 

 

http://www.wklej.org/id/1755515/


(Atis) #18

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

C:\Users\Doris\Downloads\FRST-OlderVersion
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST

Dysk przeskanuj ESET Online Scanner

Odinstaluj:

Adobe Flash Player 16 ActiveX

Java 8 Update 25

Zainstaluj:

Flash Player 18.0.0.203 ActiveX

Java 8 Update 45


(Maurins) #19

Pecha mamy. podczas wykonywania punktu "skasuj folder C:/frst Wirus ponownie wrócił, znowu na pulpicie pojawiły się ikonki z wirusem:(


(Atis) #20

Ten folder jest tworzony podczas każdego uruchomienia FRST.

Ten wirus nie może sobie sam wrócić.

Infekcja następuje przez uruchomienie zainfekowanego pliku, otwarcie szkodliwego załącznika do maila itp.