adonisekk
(Adam1234 11)
24 Wrzesień 2016 08:33
#1
Podczas gry w CSGO wyskoczył błąd który wyłączył grę. Po chwili na pulpicie zamiast tapety pojawiły się napisy o treści:
You used to download illegal
files from the internet.
Now all of your private files
has been locked and encrypted!
To unblock them visit one
of these websites:
http://unblockupc.xyz
http://unblockupc.in
http://moscovravir.ru
http://213.167.243.215
http://185.45.192.17
http://unblockupc.club
Your UID: U1HEC
Wirus zablokował wszystkie pliki głownie zdjęcia (nie można ich otworzyć) wyskakuje komunikat, przeglądarka fotografii systemu windows nie może otworzyć tego obrazu, ponieważ nie obsługuje tego formatu lub nie zainstalowano najnowszych aktualizacji
http://wklej.org/id/2865415/ - Shortcut
http://wklej.org/id/2865413/ - Addition
http://wklej.org/id/2865412/ - FRST
Zdjęcia próbowałem otwierać innymi programami - bezskutecznie
Atis
(Atis)
24 Wrzesień 2016 08:45
#2
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
ShellIconOverlayIdentifiers: [###MegaShellExtPending ] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\KOMP\AppData\Local\MEGAsync\ShellExtX64.dll Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced ] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\KOMP\AppData\Local\MEGAsync\ShellExtX64.dll Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing ] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\KOMP\AppData\Local\MEGAsync\ShellExtX64.dll Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => C:\Program Files\AVAST Software\Avast\ashShA64.dll [2016-09-10] (AVAST Software) ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending ] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => C:\Users\KOMP\AppData\Local\MEGAsync\ShellExtX32.dll Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced ] -> {05B38830-F4E9-4329-978B-1DD28605D202} => C:\Users\KOMP\AppData\Local\MEGAsync\ShellExtX32.dll Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing ] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => C:\Users\KOMP\AppData\Local\MEGAsync\ShellExtX32.dll Brak pliku GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HKLM-x32…\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32…\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx S4 EslWireHelper; C:\Program Files\EslWire\service\WireHelperSvc.exe [X] S3 EagleX64; ??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 xhunter1; ??\C:\Windows\xhunter1.sys [X] 2016-09-23 21:08 - 2016-09-23 21:08 - 00025088 _____ C:\Users\KOMP\Desktop\decryptor.exe 2016-09-23 20:46 - 2016-09-23 20:46 - 00000328 _____ C:\Users\KOMP\Files encrypted.txt 2016-09-23 20:40 - 2016-09-23 20:55 - 00000328 _____ C:\Users\KOMP\Documents\Files encrypted.txt 2016-09-23 20:39 - 2016-09-23 20:53 - 00000328 _____ C:\Users\KOMP\Desktop\Files encrypted.txt 2016-09-23 20:38 - 2016-09-23 20:38 - 00025088 _____ C:\Users\KOMP\Documents\decryptor.exe 2016-09-23 20:38 - 2016-09-23 20:38 - 00000020 _____ C:\Users\KOMP\Documents\uid.txt 2016-09-23 20:38 - 2016-09-23 20:38 - 00000020 _____ C:\Users\KOMP\AppData\Roaming\uid.txt 2016-09-23 20:38 - 2016-09-23 20:38 - 00000020 _____ C:\ProgramData\uid.txt 2016-09-24 08:23 - 2016-08-01 22:10 - 00000000 ____D C:\AdwCleaner 2016-02-27 02:28 - 2016-04-14 19:07 - 0000058 _____ () C:\Users\KOMP\AppData\Local\DonationCoder_ScreenshotCaptor_InstallInfo.dat 2016-09-23 20:38 - 2016-09-23 21:08 - 3014020 _____ () C:\ProgramData\encfiles.log 2016-09-23 21:08 - 2016-09-23 21:08 - 0061741 _____ () C:\ProgramData\encinfo.jpg 2016-09-23 20:38 - 2016-09-23 20:38 - 0000020 _____ () C:\ProgramData\uid.txt CustomCLSID: HKU\S-1-5-21-2766164107-2321698709-1706096559-1000_Classes\CLSID{42575E16-6C0B-AC52-366D-BF183CB7EE9B}\InprocServer32 -> C:\Users\KOMP\AppData\Roaming\assets\virtual\legacy\icons\icon_16x16.inf () CustomCLSID: HKU\S-1-5-21-2766164107-2321698709-1706096559-1000_Classes\CLSID{E632F873-365E-EC79-3022-D20031037149}\InprocServer32 -> C:\ProgramData\Adobe\ARM\S\13982\AdobeARM.nls () C:\ProgramData\Adobe\ARM\S\13982 Task: {0FF11A82-E68D-406E-92BF-E90D60E608A4} - System32\Tasks{6EE193DB-6F1B-4EC3-8F81-93F41FCCE9F2} => Chrome.exe hxxp://ui.skype.com/ui/0/7.18.85.111/pl/abandoninstall?page=tsMain Task: {22D6B3E7-255C-428E-BEC0-71F2261D9C34} - System32\Tasks{88FA8AF7-3CE9-4654-A9FC-273064F609AF} => pcalua.exe -a “C:\Users\KOMP\Downloads\CrystalLauncher-Installer (1).exe” -d C:\Users\KOMP\Downloads Task: {D08641A4-C800-459E-9076-92EBD35632B2} - System32\Tasks{CA7F8123-F500-4114-AD0A-13E660AAD2FD} => Chrome.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/abandoninstall?page=tsMain Task: {E539FC56-7472-44AA-BE26-B8AA876CF101} - System32\Tasks{3C5155D4-B3A3-4147-B73B-89B2CBFB5C24} => pcalua.exe -a D:\smite\HiRezGames\smite\Binaries\Redist\UE3Redist_vs2012.exe -d D:\smite\HiRezGames\smite\Binaries\Redist Task: {F2BBED05-5695-4B24-AD87-73CC7A30CE2D} - System32\Tasks{49B6E899-AADC-4740-B204-DBBBE1849D78} => pcalua.exe -a “C:\Program Files (x86)\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe” -c uninstall=17 AlternateDataStreams: C:\Users\KOMP\Cookies:xzIGuQUziDYDI5PjBsq0Po [1924] AlternateDataStreams: C:\Users\KOMP\AppData\Local\Temp:NSYDmP2vDNISxPi7VuYWeBfh3 [1860] Reg: reg delete “HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^KOMP^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^einfo.exe” /f C:\Windows\pss\einfo.exe.Startup EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.
adonisekk
(Adam1234 11)
24 Wrzesień 2016 08:58
#3
Atis
(Atis)
24 Wrzesień 2016 09:08
#4
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST
Odinstaluj:
Adobe Flash Player 20 ActiveX
Adobe Flash Player 20 NPAPI
Adobe Reader XI
Java 8 Update 91
Zainstaluj:
Flash Player 23.0.0.162 ActiveX
Flash Player 23.0.0.162 NPAPI
Adobe Reader XI 11.0.17
Java 8 Update 101
adonisekk
(Adam1234 11)
24 Wrzesień 2016 10:01
#5
C:\FRST --> http://wklej.org/id/2865541/
(chyba dobrze wykonałem ta czynność)
Javy na razie nie zainstaluje - Problem z serwerami
Atis
(Atis)
24 Wrzesień 2016 10:02
#6
Ja nie chciałem nowych logów.
adonisekk
(Adam1234 11)
24 Wrzesień 2016 10:05
#7
W takim razie co mam robić dalej? Dotychczasowe instrukcje nic mi nie pomogły.
Atis
(Atis)
24 Wrzesień 2016 10:13
#8
Możesz się modlić i liczyć na cud, bo wszystko wskazuje na to, że pliki zostały zaszyfrowane.
Przeczytaj moją odpowiedź w tym temacie:
https://forum.dobreprogramy.pl/files-encrypted-zablokowane-pliki-ciag-dalszy-534561t.html/
adonisekk
(Adam1234 11)
24 Wrzesień 2016 10:26
#9
Dzieki za pomoc faktycznie pliki zostaly zablokowane
Mam tylko 1 pytanie czy opłaca się meczyc? czy te pliki sa do odzyskania czy moge juz je kasowac?
Atis
(Atis)
24 Wrzesień 2016 18:29
#10
Nie wiadomo czy kiedykolwiek będzie możliwość odszyfrowania tych plików.