Virus CTB-Locker- prośba o pomoc w sprawdzeniu logów

czarus073 · 25 Styczeń 2015 21:39

Witam.

Zacznę od tego że jak podobnie wszyscy tutaj złapałem go chyba przez maila który do trochę przypominał mi wiadomość z mojej poprzedniej firmy. Cóż stało się. To cholerstwo zablokowało mi pulpit i większość plików na kompie…na szczęście te najważniejsze przechowuje na osobnym przenośnym dysku. Szukałem wiele informacji na temat tego wirusa i tak jak na tutejszym forum gdzieś tu wyczytałem to zastosowałem się do tych porad i zastosowałem programy typu Malwarebytes Anti-Malware i SpyHanter do tego pełne wersje AVG I AdCllener no i przyznam się że pomogło. Pozbyłem się chyba tej zarazy ale utraconych plików niestety już nie odzyskałem. Zauważyłem jednak iż pomimo system jest zainstalowany na dodatkowym dysku SSD to jednak tak jakby niektóre może programy przez tego wirusa już wolniej się uruchamiają, bądź też jakieś inne programy lub wpisy go spowalniają. Szczególnie widać to na przeglądarce Opery. Tak jakby trochę ją zamulało.

W związku z tym proszę o pomoc w sprawdzeniu logów. Nie wiem czy to wina usunietego wirusa czy też coś innego ma jakiś wpływ na mój komputer.

Lenovo y510p system Windows 8.1 (do aktualizacji windows 8)- dodatkowo zamiast kieszenie napędu CD-ROM jest drugi dysk SSD z kopią systemu z której to uruchamia sie system.

Podaje logi;

OTL;

http://wklej.org/id/1609126/

FRST;

http://wklej.org/id/1609135/

Atis · 25 Styczeń 2015 21:53

Nie widać infekcji, ale wymagane są dwa logi z FRST.

Plików nie można odszyfrować:

http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

czarus073 · 25 Styczeń 2015 22:28

…a mógłbyś mi powiedzieć jaki to ma być ten drugi log z FRST…?

Zapoznałem się z tym linkiem co mi wysłałeś ale nie bardzo wiem co musiałbym dalej zrobić.

Atis · 25 Styczeń 2015 22:35

Drugi będzie jeśli zaznaczysz Addition.txt: Nowy log obowiązkowy - Farbar Recovery Scan Tool

Nic nie zrobisz, bo nie ma sposobu żeby odszyfrować pliki.

Można spróbować odzyskiwać za pomocą ShadowExplorer jeśli wirus nie skasował punktów przywracania.

czarus073 · 25 Styczeń 2015 22:55

Ok dzięki…już podaję drugi log z FRST Addition.txt;

http://wklej.org/id/1609324/

Atis · 25 Styczeń 2015 23:03

To nie jest log Addition.txt

czarus073 · 25 Styczeń 2015 23:10

Hym…wydawało mi się że zaznaczyłem to co mi wskazałeś ale jeszcze raz sprawdzę. Sorry za błąd.

Atis · 25 Styczeń 2015 23:19

Najstarszy punkt masz z 13-01-2015, więc jeśli chcesz odzyskać jakieś pliki to możesz spróbować ShadowExplorer: http://www.shadowexplorer.com/documentation/manual.html

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

IFEO\freemakevideodownloader.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\htcsyncmanager.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\lightshot.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
IFEO\unins000.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
S3 MEIx64; \SystemRoot\system32\DRIVERS\TeeDriverx64.sys [X]
2015-01-21 21:05 - 2015-01-21 21:05 - 00000000 ____ D () C:\Users\Lenovo\Doctor Web
2015-01-20 21:11 - 2015-01-20 21:11 - 00000000 ____ D () C:\Program Files\Enigma Software Group
2015-01-19 19:45 - 2015-01-19 20:16 - 00278238 _____ () C:\ProgramData\kttvkrl.html
2015-01-19 19:22 - 2014-10-26 18:02 - 00003966 _____ () C:\{b6a94784-0ffb-4121-88c6-435139067ee2}.xpi
2015-01-19 19:07 - 2015-01-19 19:07 - 00003028 _____ () C:\WINDOWS\System32\Tasks\emlvxnh
2015-01-25 23:43 - 2014-10-16 12:53 - 00000000 ____ D () C:\AdwCleaner
2014-12-27 01:49 - 2014-08-17 01:05 - 00003952 _____ () C:\Users\Lenovo\AppData\Local\WiDiSetupLog.20141227.014944.TXT.ghzjcjl
2014-08-21 14:01 - 2014-08-21 14:01 - 0003584 _____ () C:\Users\Lenovo\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2014-09-14 21:12 - 2014-09-14 21:12 - 0000003 _____ () C:\Users\Lenovo\AppData\Local\updater.log
2014-09-14 21:12 - 2014-10-08 21:15 - 0000439 _____ () C:\Users\Lenovo\AppData\Local\UserProducts.xml
2014-08-17 01:05 - 2014-12-24 02:12 - 0007744 _____ () C:\Users\Lenovo\AppData\Local\WiDiLog.20141224.021213.TXT.ghzjcjl
2014-08-17 01:05 - 2014-12-24 02:13 - 0006944 _____ () C:\Users\Lenovo\AppData\Local\WiDiLog.20141224.021240.TXT.ghzjcjl
2014-12-24 03:45 - 2014-12-24 03:45 - 0048111 _____ () C:\Users\Lenovo\AppData\Local\WiDiLog.20141224.034516.wdl
2014-12-27 00:32 - 2014-12-27 00:37 - 0484652 _____ () C:\Users\Lenovo\AppData\Local\WiDiLog.20141227.003241.wdl
2014-06-02 17:53 - 2014-06-02 17:53 - 0011843 _____ () C:\Users\Lenovo\AppData\Local\WiDiSetupLog.20140602.185304.wdl
2014-06-02 17:54 - 2014-06-02 17:54 - 0012545 _____ () C:\Users\Lenovo\AppData\Local\WiDiSetupLog.20140602.185430.wdl
2014-06-02 17:55 - 2014-06-02 17:55 - 0012528 _____ () C:\Users\Lenovo\AppData\Local\WiDiSetupLog.20140602.185505.wdl
2014-06-02 17:59 - 2014-06-02 18:00 - 0012528 _____ () C:\Users\Lenovo\AppData\Local\WiDiSetupLog.20140602.185953.wdl
2014-06-02 18:00 - 2014-06-02 18:01 - 0012452 _____ () C:\Users\Lenovo\AppData\Local\WiDiSetupLog.20140602.190054.wdl
2014-06-03 04:26 - 2014-06-03 04:27 - 0012552 _____ () C:\Users\Lenovo\AppData\Local\WiDiSetupLog.20140603.052653.wdl
2014-06-03 04:53 - 2014-06-03 04:53 - 0012545 _____ () C:\Users\Lenovo\AppData\Local\WiDiSetupLog.20140603.055327.wdl
2014-06-03 05:03 - 2014-06-03 05:03 - 0012713 _____ () C:\Users\Lenovo\AppData\Local\WiDiSetupLog.20140603.060329.wdl
2014-06-03 05:31 - 2014-06-03 05:31 - 0031069 _____ () C:\Users\Lenovo\AppData\Local\WiDiSetupLog.20140603.063120.wdl
2014-08-17 01:05 - 2014-12-24 01:42 - 0003520 _____ () C:\Users\Lenovo\AppData\Local\WiDiSetupLog.20141224.014209.TXT.ghzjcjl
2014-12-24 03:28 - 2014-12-24 03:44 - 0040872 _____ () C:\Users\Lenovo\AppData\Local\WiDiSetupLog.20141224.032810.wdl
2014-08-17 01:05 - 2014-12-27 01:49 - 0003952 _____ () C:\Users\Lenovo\AppData\Local\WiDiSetupLog.20141227.014944.TXT.ghzjcjl
2014-12-24 01:20 - 2014-12-24 01:20 - 0010304 _____ () C:\Users\Lenovo\AppData\Local\WiDiUtilsLog.20141224.012013.wdl
2014-08-21 19:26 - 2014-08-21 19:26 - 0000000 ____ H () C:\ProgramData\DP45977C.lfl
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

czarus073 · 26 Styczeń 2015 00:16

Oto wynik ze Scanu FRST:

http://wklej.org/id/1609391/

Atis · 26 Styczeń 2015 00:25

Przecież nie wykonałeś poprzedniej instrukcji.

Plik fixlist zapisz tam gdzie jest FRST: C:\Users\Lenovo\Downloads

czarus073 · 26 Styczeń 2015 19:26

Wydawało mi się że postępowałem wedle instrukcji…coś musiałem chyba źle wykonać. Spróbuję jeszcze raz.

Atis · 26 Styczeń 2015 21:13

Skasuj folder C:\FRST

czarus073 · 26 Styczeń 2015 21:41

Już to właśnie zrobiłem.

Jeśli to by było wszystko to duże dzięki za rady i pomoc…sam bez fachowych wskazówek nic bym nie zdziałał.

Atis · 26 Styczeń 2015 21:45

Czy sprawdziłeś najstarszy punkt przywracania, bo w ShadowExplorer można wybierać punkt z którego będziesz odzyskiwał.

Na przyszłość zapisuj kopię ważnych danych na innym dysku lub wyślij w chmurę.

czarus073 · 26 Styczeń 2015 21:56

Tak sprawdziłem. Najwcześniejszy znalazłem z pierwszej połowy stycznia i właśnie z tego najwcześniejszego próbowałem je odzyskać no i wszyszło tak jak powyżej opisałem.