dixo
(Dixo1)
7 Grudzień 2015 20:59
#1
Witam Państwa.
Zainfekowałem się jakimś wirusem, który po włączeniu komputera wyświetla mi plick “how to recover your files” w notatniku, oraz kilka zakładek z tym samym tytułem w przeglądarce (Opera)
Ponadtwo pozmieniał mi kilka rozszerzeń w niektórych plikach i pododawał te pliki “how to recover”(notatnik) w menu start i ogólnie w kilku miejscach na komputerze.
Proszę o pomoc jak się tego pozbyć.
Skan z FRS (za pierwszym skanem “program przestał poprawnie działać”, za drugim poszlo normalnie)
http://www.wklejto.pl/242277
Proszę o pomoc
Atis
(Atis)
7 Grudzień 2015 22:04
#2
Na tym forum wymagane są trzy logi i to nie na wklejto, bo brakuje ukośników.
dixo
(Dixo1)
7 Grudzień 2015 22:19
#3
Przepraszam, nie doczytałem.
Czy maszjakiś pomysł jak to usunąć ? bo próbowałem programami które wymieniłeś i niestety nie pomogło.
Atis
(Atis)
7 Grudzień 2015 23:26
#4
Zacznij od odinstalowania wymienionych programów.
dixo
(Dixo1)
8 Grudzień 2015 02:10
#5
Atis
(Atis)
8 Grudzień 2015 09:12
#6
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
HKU\S-1-5-21-746137067-616249376-682003330-1003\...\Run: [SpybotPostWindows10UpgradeReInstall] = C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
HKU\S-1-5-21-746137067-616249376-682003330-1003\...\Run: [Trojan Killer (32-bit)] = "C:\Program Files\GridinSoft Trojan Killer\trojankiller.exe" -startupscan
Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\lnodkct9ts.0u15 [2015-12-06] ()
Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\m0a3zj.rsbm9 [2015-12-06] ()
Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\x180c.0c38w [2015-12-06] ()
Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\ylo6aeu0.010v0 [2015-12-06] ()
Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\55jhx48.k1s8 [2015-12-06] ()
Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\8sbt9ho.e7 [2015-12-06] ()
Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\8sf942o9i.bs3io [2015-12-06] ()
Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\8svah.c89o1 [2015-12-06] ()
Startup: C:\Documents and Settings\Piotr\Menu Start\Programy\Autostart\0pbccz5we.7czxc [2015-12-06] ()
Startup: C:\Documents and Settings\Piotr\Menu Start\Programy\Autostart\848azgoq3.z5j6d [2015-12-06] ()
Startup: C:\Documents and Settings\Piotr\Menu Start\Programy\Autostart\k6lop00181.136 [2015-12-06] ()
Startup: C:\Documents and Settings\Piotr\Menu Start\Programy\Autostart\uumbgf8igv.u680 [2015-12-06] ()
BootExecute: autocheck autochk * sdnclean.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
SearchScopes: HKLM - DefaultScope - brak wartości
S2 citevebo; Brak ImagePath
U5 506855beaac921b9; C:\Windows\System32\Drivers\506855beaac921b9.sys [84224 2015-12-02] () ===== UWAGA Necurs Rootkit?
S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2015-12-06] ()
S2 ATE_PROCMON; \??\C:\Program Files\Anti Trojan Elite\ATEPMon.sys [X]
S4 IntelIde; Brak ImagePath
S2 Nsynas32; Brak ImagePath
S3 SBFWIMCLMP; system32\DRIVERS\SBFWIM.sys [X]
2015-12-06 23:52 - 2015-12-06 23:52 - 00019984 _____ C:\WINDOWS\system32\Drivers\EsgScanner.sys
2015-12-06 23:50 - 2015-12-06 23:50 - 03286400 _____ (Enigma Software Group USA, LLC.) C:\Documents and Settings\Piotr\Moje dokumenty\SpyHunter-Installer.exe
2015-12-06 23:50 - 2015-12-06 23:50 - 02042328 _____ (iS3, Inc.) C:\Documents and Settings\Piotr\Moje dokumenty\STOPzillaPRO_Downloader.exe
2015-12-06 23:06 - 2015-12-06 23:32 - 00000000 ____ D C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search Destroy
2015-12-06 23:07 - 2015-07-28 17:52 - 00821920 _____ (Safer-Networking Ltd. ) C:\Documents and Settings\All Users\Pulpit\Post Win10 Spybot-install.exe
2015-12-06 23:05 - 2015-12-06 23:05 - 00000000 ____ D C:\Documents and Settings\All Users\Dane aplikacji\GridinSoft
2015-12-06 23:03 - 2015-12-06 23:05 - 75901760 _____ (GridinSoft LLC) C:\Documents and Settings\Piotr\Moje dokumenty\gtk-2.2.8.3-setup.exe
2015-12-06 23:03 - 2015-12-06 23:04 - 46525608 _____ (Safer-Networking Ltd. ) C:\Documents and Settings\Piotr\Moje dokumenty\spybot-2.4.exe
2015-12-06 22:52 - 2015-11-14 02:29 - 00450560 __RSH C:\WINDOWS\system32\TR2468MsDtcb.dll
2015-12-06 22:49 - 2015-12-06 22:50 - 28167528 _____ (Simply Super Software ) C:\Documents and Settings\Piotr\Moje dokumenty\trjsetup693.exe
2015-12-06 15:37 - 2015-12-06 22:48 - 00000000 ____ D C:\Program Files\Anti Trojan Elite
2015-12-06 15:37 - 2015-12-06 22:48 - 00000000 ____ D C:\Documents and Settings\All Users\Menu Start\Programy\Anti Trojan Elite
2015-12-06 15:36 - 2015-12-06 15:36 - 06369419 _____ (ISecSoft, Inc. ) C:\Documents and Settings\Piotr\Moje dokumenty\rtesetup_[www.programosy.pl].exe
2015-11-26 00:37 - 2015-12-06 15:50 - 00000000 ____ D C:\Temp
Hosts:
CMD: del /q /s C:\how_recover*
CMD: del /q /s D:\how_recover*
CMD: del /q /s E:\how_recover*
CMD: del /q /s C:\HELP_YOUR_FILES.*
CMD: del /q /s D:\HELP_YOUR_FILES.*
CMD: del /q /s E:\HELP_YOUR_FILES.*
EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
dixo
(Dixo1)
8 Grudzień 2015 13:29
#7
nie mogę wkleić na wklej.org raportu z usuwania, wiesza się strona, chyba za długi
nowy skan po naprawie
http://www.wklej.org/id/1871101/
usunęły się pliki how_to_recover ale w menu start i innych miejscach zostało wiele śmieciowych plików takich jak “qp3b1.12gl”, “cr1hh.rh6n” itp.
Dimatheus
(Dimatheus)
8 Grudzień 2015 14:49
#8
3.12 Należy pisać poprawnie, z zachowaniem zasad gramatyki, ortografii i interpunkcji. NIE NALEŻY UŻYWAĆ PRZY TYM WIELKICH LITER, które traktowane są jak krzyk.
dixo, na forum używamy polskich liter diakrytycznych (ą, ć, ę, ń i tak dalej). Proszę - korzystając z przycisku Edytuj (na dole każdego posta po lewej stronie) - wyedytować swój ostatni post. Zignorowanie tej prośby będzie skutkować przeniesieniem tematu do kosza.
Pozdrawiam,
Dimatheus
Atis
(Atis)
8 Grudzień 2015 14:58
#9
To są twoje pliki które zostały zaszyfrowane. Nie można ich usunąć hurtowo, bo CryptoWall 4.0 do każdego pliku dodaje inne losowe roszerzenie.
Pobierz ESET Necurs Cleaner:
dixo
(Dixo1)
8 Grudzień 2015 15:07
#10
Logi z FRST po Esecie
http://www.wklej.org/id/1871213/
Atis:
To są twoje pliki które zostały zaszyfrowane. Nie można ich usunąć hurtowo, bo CryptoWall 4.0 do każdego pliku dodaje inne losowe roszerzenie.http://bitdefender.pl/jeszcze-bardziej-zlosliwy-cryptowall-powracaPobierz ESET Necurs Cleaner:http://download.eset.com/special/ESETNecursCleaner.exeUruchom ESETNecursCleaner i postępuj zgodnie z zaleceniami programu.Później pokaż nowe logi z FRST. Sytuacja u mnie wygląda tak, że jestem producentem muzycznym i wirus uszkodził program, w którym miałem zgromadzone 8 lat swojej pracy muzycznej. CAŁE SZCZĘŚCIE wirus nie atakuje plików muzycznych z rozszerzeniami wav oraz mp3 dzięki czemu popsuł tylko sam program bez naruszenia jego zawartości. Co za tym idzie zainstalowałem inną wersję tego samego programu na innej partycji i teraz wystarczy jedynie przenieść wszystkie pliki wav, mp3 do nowego programu i wszystko śmiga. Uff… Logi z FRST po Eseciehttp://www.wklej.org/id/1871213/ czy wszystko jest ok ?
Atis
(Atis)
8 Grudzień 2015 17:18
#11
Radzę skopiować ważne dane na inny dysk, pendrive itp., bo następnym razem może nie będziesz miał tyle szczęścia.
dixo
(Dixo1)
8 Grudzień 2015 17:25
#12
Raport z naprawy
http://www.wklej.org/id/1871328/
Czy mógłbym na odchodne poprosić o polecenie jakiegoś antywirusa? Bo nie mam żadnego.