Wirus zmienijący pliki na .uirrgdk

Dla specjalistów Bezpieczeństwo
#1

Witam

 

  Dostał mi się do komputera dziwny wirus. Nigdzie nie mogę o nim znaleźć informacji. Wirus pozmieniał wszystkie pliki na swoje rozszerzenie (zdjęcia, dokumenty, pdf) .uirrgdk

 

LOGI:

http://wklej.to/szi6s

http://wklej.to/sbByL

 

Najgorsze, że zmieniając rozszerzenie na prawidłowe plik automatycznie zostaje uszkodzony i nadaje się do usunięcia jedynie.

 

Z góry dziękuję za pomoc.

#2

Nie widać tego wirusa.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [fst_fr_68] => [X]
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
S3 catchme; \??\C:\Users\GrOcHu\AppData\Local\Temp\catchme.sys [X]
2015-01-19 22:40 - 2015-01-19 22:40 - 00775968 _____ (Reimage®) C:\Users\GrOcHu\Desktop\ReimageRepair.exe
2015-01-19 22:20 - 2014-02-03 08:34 - 00000000 ____ D () C:\AdwCleaner
Task: {907A1ADF-92C3-415A-87D1-09CC080D405F} - System32\Tasks\rvfzntm => C:\Users\GrOcHu\AppData\Local\Temp\wtatkeg.exe <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#3

Żona, przyznała się, że otworzyła jakąś wiadomośc, maila rara plik. Wiadomość jak by przyszła z niemiec. Po nimieceku cała. Nie mam jej usunęła z przerażenia :stuck_out_tongue:

 

logi:

Fixlog

http://wklej.to/N1vMK

 

frst

http://wklej.to/OHqyx

#4

Jeżeli nadal zmienia rozszerzenia to nie widać przyczyny w tych logach.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

DeleteQuarantine:
CMD: C:\Users\GrOcHu\Desktop\ComboFix.exe /uninstall

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Przeskanuj za pomocą Dr.Web CureIt

CTB Locker szyfruje pliki i dodaje losowe rozszerzenie.

Nie ma możliwości odszyfrowania tych plików.

http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information