Rosyjski wirus, zaszyfrowane pliki mp3, pdf, jpg

dominik1968 · 7 Październik 2016 20:58

Laptop Dell win 7 pro

Zarażony tydzień temu, straciłem wszelkie pliki mp3, jpg, pdf. Przeskanowałem nod32, malwarebytes, hitmanpro i adwcleaner. Programy pokazują że system jest już czysty ale bardzo się boję utraty innych danych oraz logowania do banku. Wydaje mi się jednak że coś jest nie tak bo chyba kolejne pliki przestają się otwierać. Bardzo proszę o info czy z moim systemem jest wszystko OK.

http://www.wyslij-plik.pl/pokaz/924971—hbco.html

http://www.wyslij-plik.pl/pokaz/924972—1fir.html

http://www.wyslij-plik.pl/pokaz/924973—jeo8.html

Czy jest szansa na odzyskanie zaszyfrowanych plików? Jak i gdzie szukać klucza?

Raport K.txt

bachus · 7 Październik 2016 21:17

W takiej sytuacji trzeba było wyłączyć komputer i przegrać bezpośrednio z dysku pliki - może część się uratowała.

Odzyskanie: zapłacić okup, albo z backupu.

dominik1968 · 7 Październik 2016 21:38

Dziękuję za odpowiedź ale jesteś tutaj jedyny który zaleca płacenie okupu.

Chyba nie skorzystam.

Atis · 7 Październik 2016 21:43

Nie ma możliwości odszyfrowania tych plików bez płacenia:

http://www.bleepingcomputer.com/forums/t/627582/unblockupc-ransomware-help-support-topic-files-encryptedtxt/

dominik1968 · 7 Październik 2016 21:50

Dzięki.

A czy jesteś w stanie coś powiedzieć o raportach, które załączyłem?

bachus · 7 Październik 2016 21:59

Gdzieś napisałem, że zalecam?

Odpowiedziałem na jasno postawione pytanie i dałem Ci dwie możliwości. Zobaczysz na ile warte są dla Ciebie utracone pliki i tyle.

Atis · 7 Październik 2016 22:15

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-2870210391-2533538150-3872907252-1003…\Policies\Explorer: [] BootExecute: autocheck autochk * bootdelete HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-2870210391-2533538150-3872907252-1003 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKU\S-1-5-21-2870210391-2533538150-3872907252-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKU.DEFAULT -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Toolbar: HKU\S-1-5-21-2870210391-2533538150-3872907252-1003 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=sy&ts=1435069705&z=71f6e2b9f74480332fb601eg9z7c6w3e2q2t3m8eaw&from=cvs&uid=TOSHIBAXMK2556GSY_Y0SDTAVNTXXY0SDTAVNT CHR StartupUrls: Default -> “hxxp://www.gazeta.pl/0,0.html?p=181&d=20140918”,“hxxp://search.conduit.com/?ctid=CT2504091&SearchSource=48&CUI=UN19517436731106427&UM=1”,“hxxp://www.mystartsearch.com/?type=hp&ts=1435069677&z=677be9715672dfc23189e16gbzbc2w6ebqat4qcm9m&from=cvs&uid=TOSHIBAXMK2556GSY_Y0SDTAVNTXXY0SDTAVNT”,“hxxp://www.mystartsearch.com/?type=hppp&ts=1435069705&z=71f6e2b9f74480332fb601eg9z7c6w3e2q2t3m8eaw&from=cvs&uid=TOSHIBAXMK2556GSY_Y0SDTAVNTXXY0SDTAVNT” CHR HKU\S-1-5-21-2870210391-2533538150-3872907252-1003\SOFTWARE\Google\Chrome\Extensions…\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx S1 qdjmpgcq; ??\C:\Windows\system32\drivers\qdjmpgcq.sys [X] 2016-09-26 17:45 - 2016-10-01 19:45 - 00000000 ____D C:\AdwCleaner 2016-09-26 07:41 - 2016-09-26 07:41 - 00000372 _____ C:\DelFix.txt 2016-09-25 09:19 - 2016-09-25 09:19 - 00000020 _____ C:\Users\Zdzisiek\Documents\uid.txt 2016-09-25 09:19 - 2016-09-25 09:19 - 00000020 _____ C:\Users\Zdzisiek\AppData\Roaming\uid.txt 2016-09-25 09:19 - 2016-09-25 09:19 - 00000020 _____ C:\ProgramData\uid.txt 2016-09-25 09:19 - 2016-09-25 12:18 - 0893982 _____ () C:\ProgramData\encfiles.log 2016-09-25 12:18 - 2016-09-25 12:18 - 0061741 _____ () C:\ProgramData\encinfo.jpg 2011-12-11 21:09 - 2016-10-07 17:45 - 0000000 _____ () C:\Users\Zdzisiek\AppData\Local\WavXMapDrive.bat 2016-09-25 09:19 - 2016-09-25 09:19 - 0000020 _____ () C:\ProgramData\uid.txt CustomCLSID: HKU\S-1-5-21-2870210391-2533538150-3872907252-1003_Classes\CLSID{9F7C8D61-0482-4BCC-4F8D-ED0A9D12541F}\InprocServer32 -> C:\Users\Zdzisiek\AppData\Roaming\Azureus\plugins\aznettor\data\cached-microdescs.txt () CustomCLSID: HKU\S-1-5-21-2870210391-2533538150-3872907252-1003_Classes\CLSID{ADEC4C85-FA52-A621-B594-DD58AB950E15}\InprocServer32 -> C:\ProgramData\Adobe\ARM\Reader_10.1.1\30112\AcrobatUpdater.log () CustomCLSID: HKU\S-1-5-21-2870210391-2533538150-3872907252-1003_Classes\CLSID{CAD14E3C-2626-E239-0B89-5897F9D2A2B1}\InprocServer32 -> C:\Users\Zdzisiek\AppData\Roaming\Macromedia\Flash Player#Security\FlashPlayerTrust\air.1.0.trust.txt () C:\Users\Zdzisiek\AppData\Roaming\Azureus\plugins\aznettor\data\cached-microdescs.txt C:\ProgramData\Adobe\ARM\Reader_10.1.1\30112\AcrobatUpdater.log C:\Users\Zdzisiek\AppData\Roaming\Macromedia\Flash Player#Security\FlashPlayerTrust\air.1.0.trust.txt Task: {16F1B936-D1C2-4EB1-95AD-0C8F29FE9A37} - System32\Tasks{D983B819-CCCE-4DBD-A267-062123DBA8A1} => pcalua.exe -a C:\Users\Zdzisiek\Downloads\irfanview_lang_polski.exe -d C:\Users\Zdzisiek\Downloads Task: {2C59ECAF-3A27-4640-9F4B-519B05BDD70F} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku <==== UWAGA Task: {76FF1BF5-1DB3-4526-8852-F0B68AE5F20F} - System32\Tasks{5E91875D-D80D-4B13-B2DC-29236AF99EBE} => pcalua.exe -a “C:\Users\Zdzisiek\Documents\Vuze Downloads\Microsoft Office Professional Plus (x86) 2013 Incl Activator P2P\setup.exe” -d “C:\Users\Zdzisiek\Documents\Vuze Downloads\Microsoft Office Professional Plus (x86) 2013 Incl Activator P2P” Task: {A8956017-DF09-4F48-9F52-0542E5E1B841} - System32\Tasks{B7BAD0E5-3814-4437-9060-0FF16D99EFDF} => pcalua.exe -a “C:\Program Files\7-Zip\7zFM.exe” -d C:\Users\Zdzisiek\Downloads -c “C:\Users\Zdzisiek\Downloads\AdbeRdr11000_mui_Std.zip” Task: {B40163F5-6AFB-46DF-86AF-B08473B56C53} - \RealTimes (32-bit) -> Brak pliku <==== UWAGA Task: {D3770045-CD64-4294-B826-1FCD87FB3D60} - System32\Tasks\SmartDefrag_Startup => C:\Program Files\IObit\Smart Defrag 2\SmartDefrag.exe Task: {E6904E33-5C5B-4B80-A73E-AE1EDC5E6B44} - System32\Tasks\SmartDefragUpdate => C:\Program Files\IObit\Smart Defrag 2\AutoUpdate.exe Task: {F4A6B8E4-CAF7-4447-B530-034BCFD1D833} - System32\Tasks{CBB6202C-774F-4058-B074-3592EE64EBAD} => pcalua.exe -a “C:\Users\Zdzisiek\Desktop\OpenOffice.org 3.4.1 (pl) Installation Files\setup.exe” -d “C:\Users\Zdzisiek\Desktop\OpenOffice.org 3.4.1 (pl) Installation Files” Task: {915CA18D-A736-43AA-91C7-168C5C8E212E} - System32\Tasks\RealDownloader Update Check => C:\program files\real\realplayer\RealDownloader\downloader2.exe Task: {FAEE5C95-99B2-4974-B6C9-6B0554153AC0} - System32\Tasks\RealUpgradeLogonTaskS-1-5-21-2870210391-2533538150-3872907252-1003 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe Task: {FBA725A6-19D2-4B7D-97A7-027D4AAE8A2F} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-2870210391-2533538150-3872907252-1003 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST

Odinstaluj Java 8 Update 71 i zainstaluj Java 8 Update 101

dominik1968 · 8 Październik 2016 19:55

Zrobiłem co napisałeś.

Czy możemy w jakiś sposób sprawdzić jaki to dało efekt i czy wszystko już w porządku?

Bardzo Ci dziękuję.

Bym zapomniał:) - raport z delfixa

http://www.wyslij-plik.pl/pokaz/925639—idp7.html