proszę o pomoc, wszystkie zdjęcia na dysku mam zastąpione jakimiś dziwnymi plikami
Wirus CryptoWall 4.0, więc nie ma możliwości odszyfrowania tych plików:
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
HKU\S-1-5-21-3801483155-2241918483-3742453685-1000\...\Run: [Google Update**.d*] = "C:\Users\HansG\AppData\Local\Google\Desktop\Install\{a87cfbac-69fb-cced-0cf1-15f1239364f8}\❤≸⋙\Ⱒ☠⍨\ﯹ๛\{a87cfbac-69fb-cced-0cf1-15f1239364f8}\GoogleUpdate.exe" ===== UWAGA (Nazwa wartości zawiera nieprawidłowe znaki)
HKU\S-1-5-21-3801483155-2241918483-3742453685-1000\...\Run: [DE6E6534] = C:\Users\HansG\AppData\Roaming\DE6E6534\bin.exe
HKU\S-1-5-21-3801483155-2241918483-3742453685-1000\...\Run: [EE2C0148] = C:\Users\HansG\AppData\Roaming\EE2C0148\bin.exe
HKU\S-1-5-21-3801483155-2241918483-3742453685-1000\...\Run: [BackUp2821214302] = C:\Users\HansG\AppData\Roaming\BackUp2821214302.exe [524288 2009-07-14] ()
HKU\S-1-5-21-3801483155-2241918483-3742453685-1000\...\RunOnce: [FlashPlayerUpdate] = C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_20_0_0_270_ActiveX.exe [1163968 2016-01-10] (Adobe Systems Incorporated)
HKU\S-1-5-18\...\Winlogon: [Shell] C:\Windows\1531346486-1581793421.exe [196098 2015-11-27] () ==== UWAGA
HKLM\...\AppCertDlls: [cmstvr32] - C:\Windows\system32\bthufmon.dll
ShellIconOverlayIdentifiers: [00avast] - {472083B0-C522-11CF-8763-00608CC02F24} = Brak pliku
SearchScopes: HKU\.DEFAULT - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
BHO: avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll = Brak pliku
BHO-x32: Wander Burst - {d0c77922-11a1-42bf-ae29-ae155c6a7844} - C:\Program Files (x86)\Wander Burst\Extensions\d0c77922-11a1-42bf-ae29-ae155c6a7844.dll = Brak pliku
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll Brak pliku
Toolbar: HKU\S-1-5-21-3801483155-2241918483-3742453685-1000 - Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
DPF: HKLM-x32 {0F2AAAE3-7E9E-4B64-AB5D-1CA24C6ACB9C} hxxps://portal.cideon.com/,DSID=ac73998be78834f5ee82e891f347ba6c,DanaInfo=webmail-bz.int.cideon.com,SSL,ST=1+/dwa85W.cab
DPF: HKLM-x32 {12545791-AC9A-44B2-8964-0DA216C4A4E5} hxxp://b2b.partcommunity.com/FileService/FileLoader/cnsViewer3D/pwebdownloader.cab
DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
DPF: HKLM-x32 {C3E3BB4F-269C-41A3-9F5F-A360E933CAD3} hxxps://as.photoprintit.com/ips-opdata/activex/ImageUploader6.cab
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
FF Extension: Brak nazwy - C:\Users\HansG\AppData\Roaming\Mozilla\Firefox\Profiles\ly1jtgi2.default\Extensions\{32574a52-1ec9-4d4b-a243-8e9d81264727}.xpi [2015-08-15] [Brak podpisu cyfrowego]
S2 HPSLPSVC; C:\Users\HansG\AppData\Local\Temp\7zS32F2\hpslpsvc64.dll [X]
S2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{a87cfbac-69fb-cced-0cf1-15f1239364f8}\ \...\ﯹ๛\{a87cfbac-69fb-cced-0cf1-15f1239364f8}\GoogleUpdate.exe" ==== UWAGA (ZeroAccess)
S3 BS2821214302; \??\C:\Users\HansG\AppData\Local\Temp\NTFS.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
2016-01-23 12:03 - 2016-01-23 12:07 - 00000000 ____ D C:\AdwCleaner
C:\Users\HansG\AppData\Roaming\*.exe
RemoveDirectory: C:\Users\HansG\AppData\Local\Google\Desktop
RemoveDirectory: C:\Program Files (x86)\Google\Desktop
C:\Windows\system32\bthufmon.dll
C:\Windows\1531346486-1581793421.exe
DeleteJunctionsIndirectory: C:\Program Files\Windows DefenderTask: {5E55BFB8-29E4-4279-AA6A-C5D1DDDCA757} - System32\Tasks\{DE4F2888-7781-43DD-BF3A-AF229BA5DE41} = pcalua.exe -a F:\PC-Wojtek\F\instalki\kav8.0.0.454pl.exe -d F:\PC-Wojtek\F\instalki
Task: {72AAB267-5E0E-4665-9E3E-21C1B80EE862} - System32\Tasks\{EA3FAF1D-1719-4500-9A3C-E73660DC9B65} = pcalua.exe -a "C:\Program Files (x86)\Nokia\Nokia PC Suite 7\ApplicationInstaller.exe" -d C:\Users\HansG\Desktop -c "C:\Users\HansG\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2WA1XT59\maps_installer_3.04_10wk17_b07_s60_3.2.Nocs.sis"
Task: {BBA82917-B24E-4B2A-A8EE-7F7484435DE5} - System32\Tasks\{ABF48081-FDDE-4971-8C7D-3B38EF552780} = pcalua.exe -a "C:\Users\HansG\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TYFWNKDT\jre-6u30-windows-i586-iftw.exe" -d C:\Users\HansG\Desktop
CMD: del /q /s C:\HELP_YOUR_FILES.*
CMD: del /q /s D:\HELP_YOUR_FILES.*
CMD: del /q /s F:\HELP_YOUR_FILES.*
EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
raport po usuwaniu fixloga : http://www.wklej.org/id/1915816/
i po scan :
http://www.wklej.org/id/1915826/
http://www.wklej.org/id/1915829/
na prawdę nic nie można zrobić z tymi plikami jpg ?
Możesz spróbować programów do odzyskiwana.
wojtekdz na forum piszemy w języku polskim, czyli korzystamy z polskich znaków diakrytycznych (ą, ć, ę, ł, ń, ó, ś, ź, ż).
dzień dobry,
dziękuje za poradę spróbuje jakoś odzyskać te pliki i je zapisać na pamięci zewnętrznej, tylko będę musiał usunąć wirusa z dysku przenośnego, bo zauważyłem że jest także zainfekowany.
tutaj raport po usuwaniu fixloga: http://www.wklej.org/id/1917472/
oraz po skanowaniu FRST z zapiętym dyskiem zewn.:
http://www.wklej.org/id/1917511/
nie mogę uruchomić, nawet po zapisaniu da dysk
To wyłącz Comodo.
Nie podłączyłeś zainfekowanego dysku?
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
DeleteJunctionsIndirectory: C:\Program Files\Windows Defender
RemoveDirectory: H:\Recycled
RemoveDirectory: H:\RECYCLER
H:\msdownld.tmp
Unlock: C:\Program Files (x86)\Google\Desktop
RemoveDirectory: C:\Program Files (x86)\Google\Desktop\Install
DeleteQuarantine:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Nic nie można usunąć na tym twoim systemie. Może Comodo blokuje, bo nie widać aktywnej infekcji.
Skasuj folder C:\FRST
dopiero teraz wykonałem ESET Service Repair ale po uruchomieniu systmu nie wyświetlił się żaden Log
scan online w toku…