Wirus szyfruje mi pliki - infekcja CryptoWall

Arianne66 · 27 Marzec 2015 20:39

Witam.

Korzystam z systemu Windows XP 32 bit.

Gdy włączałam dziś komputer pojawiły mi się opcje uruchomienia systemu, wybrałam opcję normalną.

Przeglądarka Chrome muliła mi wyjątkowo, więc postanowiłam uruchomić ją ponownie. Wtedy zauważyłam na pulpicie pliki HELP_DECRYPT.HTML , HELP_DECRYPT.TXT , HELP_DECRYPT.PNG .

Pojawiły się one w wielu miejscach na komputerze, a w folderach, w których są nie mogę otworzyć żadnych swoich plików tekstowych, zdjęć…

Szukając rozwiązanie w internecie natknęłam się na informację, że to sprawka wirusa CryptoWall.

Bardzo proszę o pomoc, jestem kompletnie zielona jeśli chodzi o komputery. Zależy mi tylko na pozbyciu się infekcji, nie będę nawet próbować odzyskiwać plików, pogodziłam się z ich stratą.

Jeśli jednak jest jakiś sposób odzyskania to chętnie bym go poznała.

Z komputera korzysta kilku domowników, więc nie wiem kiedy do tego doszło (czy zaczęło się już wczoraj wieczorem gdy tata przeglądał pocztę - wyłączył mu się wtedy komputer - czy może dzisiaj).

Linki do logów:

FRST: http://wklej.to/XMHUS

Addition: http://wklej.to/NUnBE

I screen plików HELP_DECRYPT.TXT http://wklej.to/PO98l

Prosiłabym o pokierowanie krok po kroku, bo kompletnie się nie znam.

Będę wdzięczna za każdą pomoc.

Atis · 27 Marzec 2015 20:59

Nie ma możliwości odszyfrowania tych plików.

W panelu sterowania odinstaluj:

Babylon toolbar on IE

free-downloads.net Toolbar

Panda Security Toolbar

Softonic-Polska Toolbar

ToggleEN Toolbar o

Yontoo 1.10.03

Pobierz i uruchom AdwCleaner Kliknij Scan i później Cleaning.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKLM\...\Run: [TkBellExe] => C:\program files\real\realplayer\update\realsched.exe [296096 2012-10-04] (RealNetworks, Inc.)
HKLM\...\Run: [ApnTBMon] => C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1757648 2014-02-08] (APN)
HKU\S-1-5-20\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
HKU\S-1-5-20\...\RunOnce: [_nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
HKU\S-1-5-21-839522115-527237240-1801674531-1002\...\Run: [5c7a825] => C:\5c7a825e\5c7a825e.exe [274432 2015-03-27] ()
HKU\S-1-5-21-839522115-527237240-1801674531-1002\...\Run: [5c7a825e] => C:\Documents and Settings\Tomek\Dane aplikacji\5c7a825e.exe [274432 2015-03-27] ()
HKU\S-1-5-18\...\RunOnce: [nltide_2] => regsvr32 /s /n /i:U shell32
HKU\S-1-5-18\...\RunOnce: [_nltide_3] => rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
HKU\S-1-5-18\...\RunOnce: [panda4_0dn] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_0dn" /f
HKU\S-1-5-18\...\RunOnce: [panda4_0dn_XP] => reg.exe delete "HKCU\Software\panda4_0dn" /f
HKU\S-1-5-18\...\RunOnce: [panda4_1dn] => reg.exe delete "HKCU\Software\AppDataLow\Software\panda4_1dn" /f
HKU\S-1-5-18\...\RunOnce: [panda4_1dn_XP] => reg.exe delete "HKCU\Software\panda4_1dn" /f
AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL => C:\PROGRA~1\SupTab\SEARCH~1.DLL File Not Found
FF NewTab: chrome://quick_start/content/index.html
FF SearchEngineOrder.1: Web Search
FF Extension: DAEMON Tools Toolbar - C:\Documents and Settings\Tomek\Dane aplikacji\Mozilla\Firefox\Profiles\uslzs0hy.default\Extensions\DTToolbar@toolbarnet.com [2011-06-26]
FF Extension: Panda Security Toolbar - C:\Documents and Settings\Tomek\Dane aplikacji\Mozilla\Firefox\Profiles\uslzs0hy.default\Extensions\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} [2014-01-12]
FF Extension: ST-Polska - C:\Documents and Settings\Tomek\Dane aplikacji\Mozilla\Firefox\Profiles\uslzs0hy.default\Extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2014-07-16]
FF Extension: free-downloads.net - C:\Documents and Settings\Tomek\Dane aplikacji\Mozilla\Firefox\Profiles\uslzs0hy.default\Extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} [2014-07-16]
 free-downloads.net CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1404681760&from=smt&uid=SAMSUNGXHD161HJ_S0V3J9AP815267"
S4 exFat; No ImagePath
S4 IntelIde; No ImagePath
2015-03-27 13:53 - 2015-03-27 13:53 - 00008706 _____ () C:\HELP_DECRYPT.HTML
2015-03-27 13:53 - 2015-03-27 13:53 - 00004296 _____ () C:\HELP_DECRYPT.TXT
2015-03-27 13:53 - 2015-03-27 13:53 - 00000304 _____ () C:\HELP_DECRYPT.URL
2015-03-27 13:00 - 2015-03-27 13:00 - 00000000 ___HD () C:\5c7a825e
2015-03-27 13:52 - 2015-03-27 13:52 - 00008706 _____ () C:\Documents and Settings\Tomek\Ustawienia lokalne\HELP_DECRYPT.HTML
2015-03-27 13:52 - 2015-03-27 13:52 - 00008706 _____ () C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.HTML
2015-03-27 13:52 - 2015-03-27 13:52 - 00008706 _____ () C:\Documents and Settings\Tomek\HELP_DECRYPT.HTML
2015-03-27 13:52 - 2015-03-27 13:52 - 00008706 _____ () C:\Documents and Settings\HELP_DECRYPT.HTML
2015-03-27 13:52 - 2015-03-27 13:52 - 00004296 _____ () C:\Documents and Settings\Tomek\Ustawienia lokalne\HELP_DECRYPT.TXT
2015-03-27 13:52 - 2015-03-27 13:52 - 00004296 _____ () C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.TXT
2015-03-27 13:52 - 2015-03-27 13:52 - 00004296 _____ () C:\Documents and Settings\Tomek\HELP_DECRYPT.TXT
2015-03-27 13:52 - 2015-03-27 13:52 - 00004296 _____ () C:\Documents and Settings\HELP_DECRYPT.TXT
2015-03-27 13:52 - 2015-03-27 13:52 - 00000304 _____ () C:\Documents and Settings\Tomek\Ustawienia lokalne\HELP_DECRYPT.URL
2015-03-27 13:52 - 2015-03-27 13:52 - 00000304 _____ () C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.URL
2015-03-27 13:52 - 2015-03-27 13:52 - 00000304 _____ () C:\Documents and Settings\Tomek\HELP_DECRYPT.URL
2015-03-27 13:52 - 2015-03-27 13:52 - 00000304 _____ () C:\Documents and Settings\HELP_DECRYPT.URL
2015-03-27 13:28 - 2015-03-27 13:28 - 00008706 _____ () C:\Documents and Settings\Tomek\Moje dokumenty\HELP_DECRYPT.HTML
2015-03-27 13:28 - 2015-03-27 13:28 - 00004296 _____ () C:\Documents and Settings\Tomek\Moje dokumenty\HELP_DECRYPT.TXT
2015-03-27 13:28 - 2015-03-27 13:28 - 00000304 _____ () C:\Documents and Settings\Tomek\Moje dokumenty\HELP_DECRYPT.URL
2015-03-27 13:17 - 2015-03-27 13:17 - 00008706 _____ () C:\Documents and Settings\Tomek\Dane aplikacji\HELP_DECRYPT.HTML
2015-03-27 13:17 - 2015-03-27 13:17 - 00004296 _____ () C:\Documents and Settings\Tomek\Dane aplikacji\HELP_DECRYPT.TXT
2015-03-27 13:17 - 2015-03-27 13:17 - 00000304 _____ () C:\Documents and Settings\Tomek\Dane aplikacji\HELP_DECRYPT.URL
2015-03-27 13:08 - 2015-03-27 13:08 - 00008706 _____ () C:\Documents and Settings\LocalService\HELP_DECRYPT.HTML
2015-03-27 13:08 - 2015-03-27 13:08 - 00008706 _____ () C:\Documents and Settings\LocalService\Dane aplikacji\HELP_DECRYPT.HTML
2015-03-27 13:08 - 2015-03-27 13:08 - 00008706 _____ () C:\Documents and Settings\Default User\Ustawienia lokalne\HELP_DECRYPT.HTML
2015-03-27 13:08 - 2015-03-27 13:08 - 00008706 _____ () C:\Documents and Settings\Default User\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.HTML
2015-03-27 13:08 - 2015-03-27 13:08 - 00008706 _____ () C:\Documents and Settings\Default User\HELP_DECRYPT.HTML
2015-03-27 13:08 - 2015-03-27 13:08 - 00008706 _____ () C:\Documents and Settings\All Users\HELP_DECRYPT.HTML
2015-03-27 13:08 - 2015-03-27 13:08 - 00008706 _____ () C:\Documents and Settings\All Users\Dane aplikacji\HELP_DECRYPT.HTML
2015-03-27 13:08 - 2015-03-27 13:08 - 00004296 _____ () C:\Documents and Settings\LocalService\HELP_DECRYPT.TXT
2015-03-27 13:08 - 2015-03-27 13:08 - 00004296 _____ () C:\Documents and Settings\LocalService\Dane aplikacji\HELP_DECRYPT.TXT
2015-03-27 13:08 - 2015-03-27 13:08 - 00004296 _____ () C:\Documents and Settings\Default User\Ustawienia lokalne\HELP_DECRYPT.TXT
2015-03-27 13:08 - 2015-03-27 13:08 - 00004296 _____ () C:\Documents and Settings\Default User\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.TXT
2015-03-27 13:08 - 2015-03-27 13:08 - 00004296 _____ () C:\Documents and Settings\Default User\HELP_DECRYPT.TXT
2015-03-27 13:08 - 2015-03-27 13:08 - 00004296 _____ () C:\Documents and Settings\All Users\HELP_DECRYPT.TXT
2015-03-27 13:08 - 2015-03-27 13:08 - 00004296 _____ () C:\Documents and Settings\All Users\Dane aplikacji\HELP_DECRYPT.TXT
2015-03-27 13:08 - 2015-03-27 13:08 - 00000304 _____ () C:\Documents and Settings\LocalService\HELP_DECRYPT.URL
2015-03-27 13:08 - 2015-03-27 13:08 - 00000304 _____ () C:\Documents and Settings\LocalService\Dane aplikacji\HELP_DECRYPT.URL
2015-03-27 13:08 - 2015-03-27 13:08 - 00000304 _____ () C:\Documents and Settings\Default User\Ustawienia lokalne\HELP_DECRYPT.URL
2015-03-27 13:08 - 2015-03-27 13:08 - 00000304 _____ () C:\Documents and Settings\Default User\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.URL
2015-03-27 13:08 - 2015-03-27 13:08 - 00000304 _____ () C:\Documents and Settings\Default User\HELP_DECRYPT.URL
2015-03-27 13:08 - 2015-03-27 13:08 - 00000304 _____ () C:\Documents and Settings\All Users\HELP_DECRYPT.URL
2015-03-27 13:08 - 2015-03-27 13:08 - 00000304 _____ () C:\Documents and Settings\All Users\Dane aplikacji\HELP_DECRYPT.URL
Task: C:\WINDOWS\Tasks\gukahiaqs.job => 
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
Task: C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-839522115-527237240-1801674531-1002.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe
Task: C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-839522115-527237240-1801674531-1002.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe
C:\Documents and Settings\Tomek\Dane aplikacji\*.exe
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Arianne66 · 27 Marzec 2015 22:25

Fixlog:

Atis · 27 Marzec 2015 22:33

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
Startup: C:\Documents and Settings\Tomek\Menu Start\Programy\Autostart\HELP_DECRYPT.HTML ()
Startup: C:\Documents and Settings\Tomek\Menu Start\Programy\Autostart\HELP_DECRYPT.PNG ()
Startup: C:\Documents and Settings\Tomek\Menu Start\Programy\Autostart\HELP_DECRYPT.TXT ()
InternetURL: C:\Documents and Settings\Tomek\Menu Start\Programy\Autostart\HELP_DECRYPT.URL -> hxxp://paytoc4gtpn5czl2.optionstopaytos.com/1maN25p
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
2015-03-27 22:36 - 2015-03-27 22:42 - 00000000 ____ D () C:\AdwCleaner
2015-03-27 20:27 - 2015-03-27 20:27 - 00008706 _____ () C:\Documents and Settings\Tomek\Pulpit\HELP_DECRYPT.HTML
2015-03-27 20:27 - 2015-03-27 20:27 - 00004296 _____ () C:\Documents and Settings\Tomek\Pulpit\HELP_DECRYPT.TXT
2015-03-27 20:27 - 2015-03-27 20:27 - 00000304 _____ () C:\Documents and Settings\Tomek\Pulpit\HELP_DECRYPT.URL
2015-03-27 13:17 - 2015-03-27 13:17 - 0045893 _____ () C:\Documents and Settings\Tomek\Dane aplikacji\HELP_DECRYPT.PNG
2015-03-27 13:52 - 2015-03-27 13:52 - 0045893 _____ () C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\HELP_DECRYPT.PNG
C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\setup.exe
2015-03-27 13:08 - 2015-03-27 13:08 - 0045893 _____ () C:\Documents and Settings\All Users\HELP_DECRYPT.PNG
C:\Documents and Settings\Tomek\Menu Start\Programy\Autostart\*.exe
C:\WINDOWS\Tasks\gukahiaqs.job
Folder: C:\WINDOWS\Tasks
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Arianne66 · 27 Marzec 2015 23:02

Fixlog:

Atis · 27 Marzec 2015 23:36

Skasuj folder C:\FRST

Wyłącz i ponownie włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl

Dysk przeskanuj ESET Online Scanner

Odinstaluj:

Adobe Flash Player 16 ActiveX

Adobe Flash Player 16 NPAPI

Adobe Reader X

Adobe Shockwave Player 11.6

Java 6 Update 16

Zainstaluj:

Flash Player 17.0.0.134 Plugin

Flash Player 17.0.0.134 ActiveX

Adobe Reader XI 11.0.10

Java 8 Update 40

Arianne66 · 28 Marzec 2015 17:19

Utknęłam na skanowaniu dysku.

W nocy komputer wyłączył mi się na 69%, dziś uruchomiłam żeby włączyć skanowanie od nowa. Trwa to już 5 godzin i od trzech godzin stoi na 99%.

Nie wiem czy czekać dalej?

Czy pozostałe pliki help_decrypt mam pousuwać ręcznie?

Atis · 28 Marzec 2015 20:41

W takim razie nie skanuj, a pliki skasuj ręcznie.

Arianne66 · 30 Marzec 2015 15:34

Czy to już wszystko? Infekcję udało się usunąć?

Jeśli tak to bardzo serdecznie dziękuję za pomoc.