Ruskie wirusy, potrzebna pomoc :P

zirex312 · 23 Wrzesień 2016 17:35

Windows - 7 64bit home premium

Ogólnie zaczeło się tak, że grałem sobie w grę CSGO, w miedzy czasie właczyłem facebook’a i nagle pojawił się komunikat “System widnows zostanie zamkniety” okienko w stylu (wielkość okienka i wyglad) jakby sie error wysypał. Odpalam pc spowrotem i widze coś takiego

http://www74.zippyshare.com/v/o0gTBVPA/file.html

You used to download illegal
files from the internet.
Now all of your private files
has been locked and encrypted!

To unblock them visit one
of these websites:
http://unblockupc.xyz
http://unblockupc.in
http://moscovravir.ru
http://213.167.243.215
http://185.45.192.17
http://unblockupc.club

Your UID: U1HEC

Tak to wygląda, wszystkie zdjęcia są poblokowane, a jedyną formą powrotu zdjęcia jest wejście w właściwości i klikniecie przywrócenie poprzedniej wersji…

Znalazłem lokalizacje wirusa

C:\Users\Durex\AppData\Local\Temp\D68E8D0-AB5E775-FC244EF7-7E79FE21

lecz niestety nie można go usunąć… są odpalone 2 pliki .exe w menadżerku, lecz

oczywiscie procesu nie da sie wylaczyc…

dr web cureit nie wyszukuje tego jako wirusa

jakieś propozycje jak to usunac?

Addition.txt

FRST.txt

Shortcut.txt

spandaupol · 23 Wrzesień 2016 18:29

Skan FRST wykonany na złych ustawieniach. Proszę ustawić FRST jak w instrukcji i wykonać skan ponownie

Raporty proszę umieścić ma www.wklej.org a tutaj w poście podasz linka do wklejek.

zirex312 · 1 Październik 2016 12:17

shortcut http://www.wklej.org/id/2878310/

addiction http://www.wklej.org/id/2878312/

frst http://www.wklej.org/id/2878313/

Atis · 1 Październik 2016 19:36

Nie ma możliwości odszyfrowania tych plików.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

GroupPolicyScripts-x32: Ograniczenia <======= UWAGA GroupPolicyScripts-x32\User: Ograniczenia <======= UWAGA 208.67.222.222S1 afqdbsdr; ??\C:\Windows\system32\drivers\afqdbsdr.sys [X] 2016-09-23 18:32 - 2016-09-23 18:41 - 00000000 ____D C:\Users\Durex\Doctor Web 2016-09-23 17:36 - 2016-09-23 17:36 - 00000020 _____ C:\Users\Durex\Documents\uid.txt 2016-09-23 17:36 - 2016-09-23 17:36 - 00000020 _____ C:\ProgramData\uid.txt 2016-04-18 16:56 - 2016-04-18 16:56 - 0000000 _____ () C:\Users\Durex\AppData\Local{9B00DD89-9725-472F-844E-BDC3613DAA85} 2016-09-23 17:36 - 2016-09-23 18:21 - 0647614 _____ () C:\ProgramData\encfiles.log 2016-09-23 18:21 - 2016-09-23 18:21 - 0061741 _____ () C:\ProgramData\encinfo.jpg 2016-09-23 17:36 - 2016-09-23 17:36 - 0000020 _____ () C:\ProgramData\uid.txt CustomCLSID: HKU\S-1-5-21-386986558-3474852654-1809666302-1001_Classes\CLSID{4BE47A64-BFEE-C851-303E-7B4249B52151}\InprocServer32 -> C:\Users\Durex\AppData\Roaming\TS3Client\cache\aE8xMXZwOHJaS3AvOUgweWs1VmR1OUt2SDZ3PQ==\channels\cache.txt () CustomCLSID: HKU\S-1-5-21-386986558-3474852654-1809666302-1001_Classes\CLSID{D39571D9-8AC6-E3F1-6AC5-5CAE605F91DD}\InprocServer32 -> C:\Users\Durex\AppData\Roaming\TS3Client\cache\aE8xMXZwOHJaS3AvOUgweWs1VmR1OUt2SDZ3PQ==\channels\cache.log () C:\Users\Durex\AppData\Roaming\TS3Client\cache Task: {11E4A904-1ECF-4F0F-9227-AD0B51CF6F8F} - System32\Tasks{73FAD650-F94C-4152-9700-3F3CE92B92DD} => pcalua.exe -a “C:\Users\Durex\Downloads\Microsoft Office Professional Plus 2013\setup.exe” -d “C:\Users\Durex\Downloads\Microsoft Office Professional Plus 2013” Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku <==== UWAGA EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

zirex312 · 2 Październik 2016 07:11

szkoda

Dzięki za pomoc

fixlog:

http://wklej.org/id/2879604/

Atis · 3 Październik 2016 18:21

Skasuj folder C:\FRST
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium: KLIK

Majkel_G · 24 Październik 2016 12:17

Hej, a czy mógłbyś podesłać jakoś te exe-ki na forum BLEEPING COMPUTER do analizy?

Tak jak pisze o tym ekspert, potrzebują źródła aby zanalizować i unieszkodliwić gada, bez tego praktycznie nie ma szans.

Jeśli by Ci się udało, skorzystamy na tym wszyscy (poszkodowani) !

Dasz radę? :o