Problem z .zepto lucky

Sombrer · 16 Październik 2016 10:37

Witam.

Jest pewien problem z szkodnikiem .zepto Locky na laptopie mojej siostry.

Przemieliłem wiele wpisów na temat uśnięcia i odszyfrowania plików które to ustrojstwo zaszyfrowało.

Mam problemy z usunięciem samego szkodnika z laptopa.

Żaden program nie wykrywa go, tylko te komercyjne i płatne…

Już nie wspomnę o samym odzyskaniu plików.

Tapeta informująca o szkodniku:

W załączniku podaje raport z FRST

Addition.txt

FRST.txt

Atis · 16 Październik 2016 11:41

Nie widać aktywnej infekcji tylko plik graficzny BMP ustawiony jako tapeta:

Zmień tapetę i skasuj ten plik: C:\Users\Adam W\Desktop_HELP_instructions.bmp

Nie ma możliwości odszyfrowania tych plików:

https://malwaretips.com/blogs/remove-zepto-virus/

Sombrer · 16 Październik 2016 11:50

Cóż wszystkie pliki audio, pliki z filmami, pliki ze zdjęciami i jeszcze jakieś pewnie są zaszyfrowane…

Parę plików jest też na pulpicie i dlatego piszesz o tym z pulpitu…

Na różnych stronach podają różne metody z opisem jak pozbyć się tego (przywracanie systemu itp.), w tym kierują do płatnych programów które niby to wykrywają…

Tapetę mogę wgrać nową, a te co były zostały już zainfekowane…

Pozostaje usunąć all zainfekowane pliki lub zbić format… i od nowa wgrać antywirusa który był i ktoś go usunął (avast)…

Atis · 16 Październik 2016 11:59

Nie ma czego wykrywać, bo nie ma żadnej aktywnej infekcji, więc musiała już wcześniej zostać usunięta.

Nie ma żadnych płatnych lub darmowych programów które odszyfrują pliki.

Na śmieciowych stronach zachęcają do instalacji podejrzanych programów typu SpyHunter, Plumbytes Anti-Malware.

Nie potrzeba programów żeby skasować jeden szkodliwy plik:

C:\Users\Adam W\Desktop_HELP_instructions.bmp

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

ICSvc.dllampa.sysSearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości CHR HKLM-x32…\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32…\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx S2 ZAMSvc; “C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe” /service [X] S3 gkernel; ??\C:\Users\ADAMW~1\AppData\Local\Temp\gkernel.sys [X] S1 ZAM; ??\C:\Windows\System32\drivers\zam64.sys [X] S1 ZAM_Guard; ??\C:\Windows\System32\drivers\zamguard64.sys [X] 2016-10-16 00:16 - 2016-10-16 00:16 - 00000000 ____D C:\Users\Adam W\Doctor Web 2016-10-16 11:19 - 2016-10-16 11:36 - 00000000 ____D C:\Program Files\Plumbytes Software 2016-10-16 00:16 - 2016-10-16 00:16 - 00000000 ____D C:\Users\Adam W\Doctor Web 2016-10-16 00:03 - 2016-10-16 12:24 - 00000000 ____D C:\Program Files (x86)\Zemana AntiMalware 2016-10-16 00:03 - 2016-10-16 12:23 - 00038692 _____ C:\Windows\ZAM_Guard.krnl.trace 2016-10-16 00:03 - 2016-10-16 00:15 - 00012718 _____ C:\Windows\ZAM.krnl.trace 2016-10-16 00:03 - 2016-10-16 00:03 - 00000000 ____D C:\Users\Adam W\AppData\Local\Zemana 2016-10-15 23:01 - 2016-10-15 23:01 - 00000000 _____ C:\autoexec.bat C:\Users\Adam W\Desktop_HELP_instructions.bmp DeleteQuarantine: EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST

Sombrer · 16 Październik 2016 13:30

To wiem, potrafię czytać “przenośnie i podteksty itd.”, ale pytam dla pewności…

Cóż dzięki za upewnienie się i szkoda tych plików co były na dysku (zdjęcia, multimedia).

Szkoda że nie ma sposobu na odszyfrowanie plików… niby jest ale…

Dziki za pomoc. Pozdrawiam.

Atis · 16 Październik 2016 15:22

Co to niby znaczy?

Nie ma sposobu na odszyfrowanie plików, a na śmieciowych stronach polecają różne podejrzane komercyjne programy, żeby naciągnąć zdesperowanych użytkowników na opłaty.

Programy polecane na tego typu stronach niczego nie odszyfrują.