Kaszka
(Kaszka)
13 Maj 2015 13:42
#1
Witam nie mogę otworzyć plików z worda a mam zwane dokumenty na moim laptopie, wczoraj jeszcze wszystko było ok musiał je zainfekować jakiś wirus proszę o przejrzenie loga i sprawdzenie czy jakieś pliki zostały zainfekowane. Wczoraj na pc miałem jakieś syfy ale dzięki Acorus udało się posprzątać a dziś to masakra jakaś.
http://wklej.org/id/1710493/
http://wklej.org/id/1710495/
http://wklej.org/id/1710496/
Atis
(Atis)
13 Maj 2015 14:08
#2
Losowe rozszerzenie wskazuje na wirusa szyfrującego pliki typu CTB Locker:
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information
http://www.dobreprogramy.pl/Ransomware-coraz-sprytniejsze-udaja-Poczte-Polska-by-zaszyfrowac-ofiarom-pliki,News,62956.html
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3926007747-1577261744-3546285809-1000 -> {D295DECA-B3C4-4BC9-BEE6-FEE184DCACAE} URL =
BHO: No Name -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 nmwcdcx64; system32\drivers\ccdcmbox64.sys [X]
S3 nmwcdx64; system32\drivers\ccdcmbx64.sys [X]
S3 upperdev; system32\DRIVERS\usbser_lowerfltx64.sys [X]
S3 UsbserFilt; system32\DRIVERS\usbser_lowerfltx64j.sys [X]
2015-05-13 00:59 - 2015-05-13 00:59 - 00001266 _____ () C:\Users\kk\Documents\!Decrypt-All-Files-hnplnfm.txt
2015-04-29 22:18 - 2015-05-13 00:59 - 00533136 _____ () C:\ProgramData\gnhvghc.html
2012-02-20 19:21 - 2012-02-20 19:21 - 2371152 _____ (DownVision ) C:\Users\kk\AppData\Local\setup.exe
Task: {2D4B4298-7EE5-4D71-80F8-8A15120A5288} - System32\Tasks\{73B640BA-EC6D-4FDF-A7B6-1A678F0D6F2F} => pcalua.exe -a C:\Windows\system32\pcwrun.exe -c "C:\Program Files (x86)\SubEdit-Player\subedit.exe"
Task: {622614E0-3FD2-4CCE-8F56-9AD0B588D19F} - System32\Tasks\eqkmsjf => C:\Users\kk\AppData\Local\Temp\uplunoa.exe <==== ATTENTION
Task: {A4B10044-97AA-4BB3-8375-94CECFD0EBC5} - System32\Tasks\{0945B815-3C1A-4001-92D7-56E5B0762BE6} => pcalua.exe -a C:\Users\kk\Desktop\subedit+codecpack_b4072_install.exe -d C:\Users\kk\Desktop
Task: {EB8B6850-FC99-4C6A-ABCF-CE09BA53080B} - System32\Tasks\{C1F7084C-2C85-45E2-91CA-9FD714A10ADF} => pcalua.exe -a "C:\Users\kk\Downloads\subedit-player [1].exe" -d C:\Users\kk\Downloads
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
Wirus nie skasował punktów przywracania, więc spróbuj odzyskać pliki za pomocą ShadowExplorer:
http://www.shadowexplorer.com/documentation/manual.html
http://www.howtogeek.com/howto/windows-vista/recover-files-with-shadow-copies-on-any-version-of-windows-vista/
Kaszka
(Kaszka)
13 Maj 2015 15:02
#3
http://wklej.org/id/1710528/
http://wklej.org/id/1710532/
rozumiem ze mam teraz próbowac odzyskać pliki za pomoca shadowexplorer tak??
Atis
(Atis)
13 Maj 2015 16:11
#4
Ponieważ pomiędzy 03 a 13 nie zostały utworzone żadne punkty przywracania.
Skasuj folder C:\FRST
Dysk przeskanuj ESET Online Scanner
Odinstaluj:
Adobe Shockwave Player 11.6
Java 7 Update 45
Java 6 Update 29
JavaFX 2.1.1
Zainstaluj Java 8 Update 45
Kaszka
(Kaszka)
14 Maj 2015 08:37
#5
zrobione skanuje kasperskim 30 dni darmo. Mam pytanie chodzi mi o kilka plików z worda ktore utworzyłem wczoraj popołudniu czy moge skoro punkty przywracania nie pasują odzyskać te dokumenty jakims programem do odzyskiwania dok. czy to nic nie da?? no bo jak mam odszyfrować inaczej te dokumenty ktore są mi potrzebne
Hej,
Nie ma czego poradzić - zaszyfrowanych plików nie da się odzyskać inaczej, jak posiadając klucz deszyfrujący, a za niego osoby odpowiedzialne za zaszyfrowanie danych każą sobie płacić.
Pozdrawiam,
Dimatheus