Witam, mam problem z zaszyfrowanymi plikami który pojawił się dziś rano, proszę o pomoc.
Poniżej skany:
FRST: http://www.wklej.org/id/2865416/
Addition: http://www.wklej.org/id/2865418/
Shortcut: http://www.wklej.org/id/2865419/
Atis
(Atis)
24 Wrzesień 2016 08:10
#2
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses: HKLM…\Run: [Tv-Plug-In] => “C:\Program Files\Tv-Plug-In\Tv-Plug-In.exe” nogui ShellIconOverlayIdentifiers: [###MegaShellExtPending ] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\Werty\AppData\Local\MEGAsync\ShellExtX32.dll Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced ] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\Werty\AppData\Local\MEGAsync\ShellExtX32.dll Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing ] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\Werty\AppData\Local\MEGAsync\ShellExtX32.dll Brak pliku Startup: C:\Users\Werty\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe [2016-09-24] () Startup: C:\Users\Werty\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\LOA2.lnk [2016-08-03] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.yahoo.com/web?fr=avira-hp HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.yahoo.com/web?fr=avira-ds HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.yahoo.com/web?fr=avira-hp HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.yahoo.com/web?fr=avira-ds HKU\S-1-5-21-4013531424-2350987988-1471035946-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.yahoo.com/web?fr=avira-hp HKU\S-1-5-21-4013531424-2350987988-1471035946-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.yahoo.com/web?fr=avira-hp HKU\S-1-5-21-4013531424-2350987988-1471035946-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.yahoo.com/web?fr=avira-ds SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-4013531424-2350987988-1471035946-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=SAMSUNGXHD502HI_S1VZJ90S507818&ts=1428516377&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4013531424-2350987988-1471035946-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=SAMSUNGXHD502HI_S1VZJ90S507818&ts=1428516377&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-4013531424-2350987988-1471035946-1000 -> {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=SAMSUNGXHD502HI_S1VZJ90S507818&ts=1428516377&type=default&q={searchTerms} BHO: Digital More -> {c0b1016f-b7e5-46f0-b415-6bf9e55ab00d} -> Brak pliku CHR HKLM…\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-4013531424-2350987988-1471035946-1000\SOFTWARE\Google\Chrome\Extensions…\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx S3 xhunter1; ??\C:\Windows\xhunter1.sys [X] 2016-09-24 07:51 - 2016-09-24 07:52 - 00000328 _____ C:\Users\Werty\Desktop\Files encrypted.txt 2016-09-24 07:51 - 2016-09-24 07:51 - 00025088 _____ C:\Users\Werty\Documents\decryptor.exe 2016-09-24 07:51 - 2016-09-24 07:51 - 00000020 _____ C:\Users\Werty\Documents\uid.txt 2016-09-24 07:51 - 2016-09-24 07:51 - 00000020 _____ C:\Users\Werty\AppData\Roaming\uid.txt 2016-09-24 07:51 - 2016-09-24 07:51 - 00000020 _____ C:\ProgramData\uid.txt 2016-09-24 07:51 - 2012-09-18 12:20 - 00000000 ____D C:\temp 2015-03-26 21:14 - 2015-03-26 21:14 - 0004185 _____ () C:\Users\Werty\AppData\Roaming\ACRMMJY 2015-03-26 21:14 - 2015-03-26 21:14 - 0005542 _____ () C:\Users\Werty\AppData\Roaming\QUAGKVP 2016-09-24 07:51 - 2016-09-24 07:51 - 0614400 _____ () C:\ProgramData\encfiles.log CustomCLSID: HKU\S-1-5-21-4013531424-2350987988-1471035946-1000_Classes\CLSID{8B047868-21A0-7ED0-88DD-42566AC4B94B}\InprocServer32 -> C:\Users\Werty\AppData\Roaming\Adobe\Flash Player\AssetCache\VNF4VNPR\4BAE91DBAEF0CEEC0FCE5505D96DDEA865EDBFC1.xml () C:\Users\Werty\AppData\Roaming\Adobe\Flash Player\AssetCache\VNF4VNPR CustomCLSID: HKU\S-1-5-21-4013531424-2350987988-1471035946-1000_Classes\CLSID{E8FBD609-7870-D953-5B1F-0B9932C690A5}\InprocServer32 -> C:\Users\Werty\AppData\Roaming\Adobe\Acrobat\10.0\Security\services_rdr.xml () C:\Users\Werty\AppData\Roaming\Adobe\Acrobat\10.0\Security\services_rdr.xml Task: {2C59ECAF-3A27-4640-9F4B-519B05BDD70F} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku <==== UWAGA Task: {52CBC704-8B5C-4509-8DEE-1E60FF21CEEF} - \LaunchPreSignup -> Brak pliku <==== UWAGA Task: {760BB5B1-FDC4-4F25-87F6-BF3149835F53} - System32\Tasks{706DDAD6-03B1-4BF2-BD82-0CC5EB5E3571} => pcalua.exe -a J:\setup.exe -d J:\ Task: {9D71859A-F6F1-4187-87A9-2DD24F13F9C9} - System32\Tasks{65F03541-5A98-4C5A-A921-4F40D6D3B821} => pcalua.exe -a C:\PROGRA~1\SCi\CARMAG~1\UNWISE.EXE -c C:\PROGRA~1\SCi\CARMAG~1\INSTALL.LOG Task: {A25CE1EB-801A-4338-9A70-AC0073BA95E1} - System32\Tasks{36FB8D2E-4715-4299-BE02-2C076FB1D1BA} => pcalua.exe -a D:\Gry\Stellaris\unins000.exe Task: {A422FE60-1FBA-4FB7-9767-179C11D079B7} - System32\Tasks{5FAE6725-8F84-409B-B4ED-6EF966DB46C0} => pcalua.exe -a D:\Programy\Programy\GameRangerSetup.exe -d D:\Programy\Programy Task: {B880AFC2-A58F-47E8-895B-525ADF229BA4} - System32\Tasks\Inst_Rep => C:\Users\Werty\AppData\Local\Installer\Install_24898\DCytaiesmt_smtyc_setup.exe <==== UWAGA Task: {D9A565C6-F085-4126-AC44-7F544D2FC6FD} - System32\Tasks{5095E18F-CF76-176B-ADA4-20AEDCDD4879} => C:\Users\Werty\AppData\Roaming{5095E~1\UPDATE~1.EXE <==== UWAGA Task: C:\Windows\Tasks{5095E18F-CF76-176B-ADA4-20AEDCDD4879}.job => C:\Users\Werty\AppData\Roaming{5095E~1\UPDATE~1.EXE <==== UWAGA EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.
Atis
(Atis)
24 Wrzesień 2016 08:25
#4
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium: KLIK
Odinstaluj Adobe Reader X i Microsoft Silverlight.
Zainstaluj Adobe Reader XI 11.0.17 , Silverlight 5.1.50428.0 , Internet Explorer 11
Wykonałem operację naprawienia w programie FRST po czym skasowałem folder C:\FRST, ściągnąłem program Malwarebytes Anti-Malware oraz przeskanowałem dysk. Program wykrył 195 zagrożeń po czym je usunął oraz zrestartował komputer, jednak dostęp do plików dalej jest zablokowany.
Odinstalowalem oraz zainstalowałem również podane programy.
Proszę o dalszą pomoc.
Kolejne informacje: na puplicie posiadałem 2 foldery z nazwami a oraz b a w nich pewne pliki zdjęciowe.
Pomiedzy tymi plikami w folderze a znalazłem plik dokumentu tekstowego z nazwą files encrypted, usunąłem folder po czym zrestarowałem komputer, sprawdziłem folder b i w nim pojawił się ponownie dany plik.
Nie wiem też czy inny problem, który występuje już od jakiegoś czasu może mieć coś z tym wspólnego, ale podczas uruchamiania windowsa po ekranie “Zapraszamy!” gdzie normalnie po nim powinien się pojawić pulpit, mnie czasami pojawia się czarny ekran tylko z kursorem.
Gdy wejdę do Menedżera zadań i usunę proces explorer.exe oraz uruchomię go ponownie pulpit się uruchamia.
Atis
(Atis)
24 Wrzesień 2016 09:25
#6
Jeżeli rzeczywiście zostały zaszyfrowane to zapomnij o tych plikach.
Zresztą nie były ważne skoro nie utworzyłeś kopii bezpieczeństwa.
Przeczytaj od Option 1: Restore your files encrypted:
https://malwaretips.com/blogs/remove-cerber3-virus/
Nie ma znaczenia, że opis dotyczy innego wirusa.
Wyszukałem pliki z nazwą files encrypted i na wszystkich dyskach znalazło 342 pliki z datami od 7:51 do 9:36 + jedna data o 11:28.
Czy to oznacza że wszystkie pliki oraz foldery w których znajdują się pliki files encrypted są nie do odzyskania?
Atis
(Atis)
24 Wrzesień 2016 10:01
#8
Podałem link gdzie są opisane sposoby za pomocą których można próbować odzyskać dane.