Wirus, pomocy

dixo · 7 Grudzień 2015 20:59

Witam Państwa.

Zainfekowałem się jakimś wirusem, który po włączeniu komputera wyświetla mi plick “how to recover your files” w notatniku, oraz kilka zakładek z tym samym tytułem w przeglądarce (Opera)

Ponadtwo pozmieniał mi kilka rozszerzeń w niektórych plikach i pododawał te pliki “how to recover”(notatnik) w menu start i ogólnie w kilku miejscach na komputerze.

Proszę o pomoc jak się tego pozbyć.

Skan z FRS (za pierwszym skanem “program przestał poprawnie działać”, za drugim poszlo normalnie)

http://www.wklejto.pl/242277

Proszę o pomoc

Atis · 7 Grudzień 2015 22:04

Na tym forum wymagane są trzy logi i to nie na wklejto, bo brakuje ukośników.

dixo · 7 Grudzień 2015 22:19

Przepraszam, nie doczytałem.

Czy maszjakiś pomysł jak to usunąć ? bo próbowałem programami które wymieniłeś i niestety nie pomogło.

Atis · 7 Grudzień 2015 23:26

Zacznij od odinstalowania wymienionych programów.

dixo · 8 Grudzień 2015 02:10

http://www.wklej.org/id/1870728/

http://www.wklej.org/id/1870729/

http://www.wklej.org/id/1870730/

wszystkie trzy wklejone jak w poradniku

Atis · 8 Grudzień 2015 09:12

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKU\S-1-5-21-746137067-616249376-682003330-1003\...\Run: [SpybotPostWindows10UpgradeReInstall] = C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
HKU\S-1-5-21-746137067-616249376-682003330-1003\...\Run: [Trojan Killer (32-bit)] = "C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe" -startupscan
Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\lnodkct9ts.0u15 [2015-12-06] ()
Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\m0a3zj.rsbm9 [2015-12-06] ()
Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\x180c.0c38w [2015-12-06] ()
Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\ylo6aeu0.010v0 [2015-12-06] ()
Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\55jhx48.k1s8 [2015-12-06] ()
Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\8sbt9ho.e7 [2015-12-06] ()
Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\8sf942o9i.bs3io [2015-12-06] ()
Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\8svah.c89o1 [2015-12-06] ()
Startup: C:\Documents and Settings\Piotr\Menu Start\Programy\Autostart\0pbccz5we.7czxc [2015-12-06] ()
Startup: C:\Documents and Settings\Piotr\Menu Start\Programy\Autostart\848azgoq3.z5j6d [2015-12-06] ()
Startup: C:\Documents and Settings\Piotr\Menu Start\Programy\Autostart\k6lop00181.136 [2015-12-06] ()
Startup: C:\Documents and Settings\Piotr\Menu Start\Programy\Autostart\uumbgf8igv.u680 [2015-12-06] ()
BootExecute: autocheck autochk * sdnclean.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
SearchScopes: HKLM - DefaultScope - brak wartości
S2 citevebo; Brak ImagePath
U5 506855beaac921b9; C:\Windows\System32\Drivers\506855beaac921b9.sys [84224 2015-12-02] () ===== UWAGA Necurs Rootkit?
S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2015-12-06] ()
S2 ATE_PROCMON; \??\C:\Program Files\Anti Trojan Elite\ATEPMon.sys [X]
S4 IntelIde; Brak ImagePath
S2 Nsynas32; Brak ImagePath
S3 SBFWIMCLMP; system32\DRIVERS\SBFWIM.sys [X]
2015-12-06 23:52 - 2015-12-06 23:52 - 00019984 _____ C:\WINDOWS\system32\Drivers\EsgScanner.sys
2015-12-06 23:50 - 2015-12-06 23:50 - 03286400 _____ (Enigma Software Group USA, LLC.) C:\Documents and Settings\Piotr\Moje dokumenty\SpyHunter-Installer.exe
2015-12-06 23:50 - 2015-12-06 23:50 - 02042328 _____ (iS3, Inc.) C:\Documents and Settings\Piotr\Moje dokumenty\STOPzillaPRO_Downloader.exe
2015-12-06 23:06 - 2015-12-06 23:32 - 00000000 ____ D C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search Destroy
2015-12-06 23:07 - 2015-07-28 17:52 - 00821920 _____ (Safer-Networking Ltd. ) C:\Documents and Settings\All Users\Pulpit\Post Win10 Spybot-install.exe
2015-12-06 23:05 - 2015-12-06 23:05 - 00000000 ____ D C:\Documents and Settings\All Users\Dane aplikacji\GridinSoft
2015-12-06 23:03 - 2015-12-06 23:05 - 75901760 _____ (GridinSoft LLC) C:\Documents and Settings\Piotr\Moje dokumenty\gtk-2.2.8.3-setup.exe
2015-12-06 23:03 - 2015-12-06 23:04 - 46525608 _____ (Safer-Networking Ltd. ) C:\Documents and Settings\Piotr\Moje dokumenty\spybot-2.4.exe
2015-12-06 22:52 - 2015-11-14 02:29 - 00450560 __RSH C:\WINDOWS\system32\TR2468MsDtcb.dll
2015-12-06 22:49 - 2015-12-06 22:50 - 28167528 _____ (Simply Super Software ) C:\Documents and Settings\Piotr\Moje dokumenty\trjsetup693.exe
2015-12-06 15:37 - 2015-12-06 22:48 - 00000000 ____ D C:\Program Files\Anti Trojan Elite
2015-12-06 15:37 - 2015-12-06 22:48 - 00000000 ____ D C:\Documents and Settings\All Users\Menu Start\Programy\Anti Trojan Elite
2015-12-06 15:36 - 2015-12-06 15:36 - 06369419 _____ (ISecSoft, Inc. ) C:\Documents and Settings\Piotr\Moje dokumenty\rtesetup_[www.programosy.pl].exe
2015-11-26 00:37 - 2015-12-06 15:50 - 00000000 ____ D C:\Temp
Hosts:
CMD: del /q /s C:\how_recover*
CMD: del /q /s D:\how_recover*
CMD: del /q /s E:\how_recover*
CMD: del /q /s C:\HELP_YOUR_FILES.*
CMD: del /q /s D:\HELP_YOUR_FILES.*
CMD: del /q /s E:\HELP_YOUR_FILES.*
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

dixo · 8 Grudzień 2015 13:29

nie mogę wkleić na wklej.org raportu z usuwania, wiesza się strona, chyba za długi

nowy skan po naprawie

http://www.wklej.org/id/1871101/

usunęły się pliki how_to_recover ale w menu start i innych miejscach zostało wiele śmieciowych plików takich jak “qp3b1.12gl”, “cr1hh.rh6n” itp.

Dimatheus · 8 Grudzień 2015 14:49

dixo, na forum używamy polskich liter diakrytycznych (ą, ć, ę, ń i tak dalej). Proszę - korzystając z przycisku Edytuj (na dole każdego posta po lewej stronie) - wyedytować swój ostatni post. Zignorowanie tej prośby będzie skutkować przeniesieniem tematu do kosza.

Pozdrawiam,

Dimatheus

Atis · 8 Grudzień 2015 14:58

To są twoje pliki które zostały zaszyfrowane. Nie można ich usunąć hurtowo, bo CryptoWall 4.0 do każdego pliku dodaje inne losowe roszerzenie.

Pobierz ESET Necurs Cleaner:

dixo · 8 Grudzień 2015 15:07

Logi z FRST po Esecie

http://www.wklej.org/id/1871213/

Atis:

To są twoje pliki które zostały zaszyfrowane. Nie można ich usunąć hurtowo, bo CryptoWall 4.0 do każdego pliku dodaje inne losowe roszerzenie.http://bitdefender.pl/jeszcze-bardziej-zlosliwy-cryptowall-powracaPobierz ESET Necurs Cleaner:http://download.eset.com/special/ESETNecursCleaner.exeUruchom ESETNecursCleaner i postępuj zgodnie z zaleceniami programu.Później pokaż nowe logi z FRST. Sytuacja u mnie wygląda tak, że jestem producentem muzycznym i wirus uszkodził program, w którym miałem zgromadzone 8 lat swojej pracy muzycznej. CAŁE SZCZĘŚCIE wirus nie atakuje plików muzycznych z rozszerzeniami wav oraz mp3 dzięki czemu popsuł tylko sam program bez naruszenia jego zawartości. Co za tym idzie zainstalowałem inną wersję tego samego programu na innej partycji i teraz wystarczy jedynie przenieść wszystkie pliki wav, mp3 do nowego programu i wszystko śmiga. Uff… Logi z FRST po Eseciehttp://www.wklej.org/id/1871213/ czy wszystko jest ok ?

Atis · 8 Grudzień 2015 17:18

Radzę skopiować ważne dane na inny dysk, pendrive itp., bo następnym razem może nie będziesz miał tyle szczęścia.

dixo · 8 Grudzień 2015 17:25

Raport z naprawy

http://www.wklej.org/id/1871328/

Czy mógłbym na odchodne poprosić o polecenie jakiegoś antywirusa? Bo nie mam żadnego.