Proszę o sprawdzenie loga zainfekowane pliki z worda


(Kaszka) #1

Witam nie mogę otworzyć plików z worda a mam zwane dokumenty na moim laptopie, wczoraj jeszcze wszystko było ok musiał je zainfekować jakiś wirus proszę o przejrzenie loga i sprawdzenie czy jakieś pliki zostały zainfekowane. Wczoraj na pc miałem jakieś syfy ale dzięki Acorus udało się posprzątać a dziś to masakra jakaś.

 

http://wklej.org/id/1710493/

http://wklej.org/id/1710495/

http://wklej.org/id/1710496/


(Atis) #2

Losowe rozszerzenie wskazuje na wirusa szyfrującego pliki typu CTB Locker:

http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

http://www.dobreprogramy.pl/Ransomware-coraz-sprytniejsze-udaja-Poczte-Polska-by-zaszyfrowac-ofiarom-pliki,News,62956.html

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3926007747-1577261744-3546285809-1000 -> {D295DECA-B3C4-4BC9-BEE6-FEE184DCACAE} URL = 
BHO: No Name -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 nmwcdcx64; system32\drivers\ccdcmbox64.sys [X]
S3 nmwcdx64; system32\drivers\ccdcmbx64.sys [X]
S3 upperdev; system32\DRIVERS\usbser_lowerfltx64.sys [X]
S3 UsbserFilt; system32\DRIVERS\usbser_lowerfltx64j.sys [X]
2015-05-13 00:59 - 2015-05-13 00:59 - 00001266 _____ () C:\Users\kk\Documents\!Decrypt-All-Files-hnplnfm.txt
2015-04-29 22:18 - 2015-05-13 00:59 - 00533136 _____ () C:\ProgramData\gnhvghc.html
2012-02-20 19:21 - 2012-02-20 19:21 - 2371152 _____ (DownVision ) C:\Users\kk\AppData\Local\setup.exe
Task: {2D4B4298-7EE5-4D71-80F8-8A15120A5288} - System32\Tasks\{73B640BA-EC6D-4FDF-A7B6-1A678F0D6F2F} => pcalua.exe -a C:\Windows\system32\pcwrun.exe -c "C:\Program Files (x86)\SubEdit-Player\subedit.exe"
Task: {622614E0-3FD2-4CCE-8F56-9AD0B588D19F} - System32\Tasks\eqkmsjf => C:\Users\kk\AppData\Local\Temp\uplunoa.exe <==== ATTENTION
Task: {A4B10044-97AA-4BB3-8375-94CECFD0EBC5} - System32\Tasks\{0945B815-3C1A-4001-92D7-56E5B0762BE6} => pcalua.exe -a C:\Users\kk\Desktop\subedit+codecpack_b4072_install.exe -d C:\Users\kk\Desktop
Task: {EB8B6850-FC99-4C6A-ABCF-CE09BA53080B} - System32\Tasks\{C1F7084C-2C85-45E2-91CA-9FD714A10ADF} => pcalua.exe -a "C:\Users\kk\Downloads\subedit-player [1].exe" -d C:\Users\kk\Downloads
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

 

Wirus nie skasował punktów przywracania, więc spróbuj odzyskać pliki za pomocą ShadowExplorer:

http://www.shadowexplorer.com/documentation/manual.html

http://www.howtogeek.com/howto/windows-vista/recover-files-with-shadow-copies-on-any-version-of-windows-vista/


(Kaszka) #3

http://wklej.org/id/1710528/

http://wklej.org/id/1710532/

 rozumiem ze mam teraz próbowac odzyskać pliki za pomoca shadowexplorer tak??


(Atis) #4

Ponieważ pomiędzy 03 a 13 nie zostały utworzone żadne punkty przywracania.

Skasuj folder C:\FRST

Dysk przeskanuj ESET Online Scanner

Odinstaluj:

Adobe Shockwave Player 11.6

Java 7 Update 45

Java 6 Update 29

JavaFX 2.1.1

Zainstaluj Java 8 Update 45


(Kaszka) #5

zrobione skanuje kasperskim 30 dni darmo. Mam pytanie chodzi mi o kilka plików z worda ktore utworzyłem wczoraj popołudniu czy moge skoro punkty przywracania nie pasują odzyskać te dokumenty jakims programem do odzyskiwania dok. czy to nic nie da?? no bo jak mam odszyfrować inaczej te dokumenty ktore są mi potrzebne


(Dimatheus) #6

Hej,

Nie ma czego poradzić - zaszyfrowanych plików nie da się odzyskać inaczej, jak posiadając klucz deszyfrujący, a za niego osoby odpowiedzialne za zaszyfrowanie danych każą sobie płacić.

Pozdrawiam,

Dimatheus