grochu8
(Grochu8)
20 Styczeń 2015 18:28
#1
Witam
Dostał mi się do komputera dziwny wirus. Nigdzie nie mogę o nim znaleźć informacji. Wirus pozmieniał wszystkie pliki na swoje rozszerzenie (zdjęcia, dokumenty, pdf) .uirrgdk
LOGI:
http://wklej.to/szi6s
http://wklej.to/sbByL
Najgorsze, że zmieniając rozszerzenie na prawidłowe plik automatycznie zostaje uszkodzony i nadaje się do usunięcia jedynie.
Z góry dziękuję za pomoc.
Atis
(Atis)
20 Styczeń 2015 20:50
#2
Nie widać tego wirusa.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\...\Run: [fst_fr_68] => [X]
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 catchme; \??\C:\Users\GrOcHu\AppData\Local\Temp\catchme.sys [X]
2015-01-19 22:40 - 2015-01-19 22:40 - 00775968 _____ (Reimage®) C:\Users\GrOcHu\Desktop\ReimageRepair.exe
2015-01-19 22:20 - 2014-02-03 08:34 - 00000000 ____ D () C:\AdwCleaner
Task: {907A1ADF-92C3-415A-87D1-09CC080D405F} - System32\Tasks\rvfzntm => C:\Users\GrOcHu\AppData\Local\Temp\wtatkeg.exe <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
grochu8
(Grochu8)
20 Styczeń 2015 21:04
#3
Żona, przyznała się, że otworzyła jakąś wiadomośc, maila rara plik. Wiadomość jak by przyszła z niemiec. Po nimieceku cała. Nie mam jej usunęła z przerażenia
logi:
Fixlog
http://wklej.to/N1vMK
frst
http://wklej.to/OHqyx
Atis
(Atis)
20 Styczeń 2015 21:09
#4
Jeżeli nadal zmienia rozszerzenia to nie widać przyczyny w tych logach.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
DeleteQuarantine:
CMD: C:\Users\GrOcHu\Desktop\ComboFix.exe /uninstall
Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST
Przeskanuj za pomocą Dr.Web CureIt
CTB Locker szyfruje pliki i dodaje losowe rozszerzenie.
Nie ma możliwości odszyfrowania tych plików.
http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information