Zamiast zdjęć jpg pliki z wirusami


(wojtekdz) #1

proszę o pomoc, wszystkie zdjęcia na dysku mam zastąpione jakimiś dziwnymi plikami

http://wklej.to/pKTNv


(Atis) #2
https://forum.dobreprogramy.pl/t/471355/1?source_topic_id=506250

(wojtekdz) #3

poniżej raporty:

http://www.wklej.org/id/1915709/

http://www.wklej.org/id/1915722/

http://www.wklej.org/id/1915715/


(Atis) #4

Wirus CryptoWall 4.0, więc nie ma możliwości odszyfrowania tych plików:

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKU\S-1-5-21-3801483155-2241918483-3742453685-1000\...\Run: [Google Update**.d*] = "C:\Users\HansG\AppData\Local\Google\Desktop\Install\{a87cfbac-69fb-cced-0cf1-15f1239364f8}\❤≸⋙\Ⱒ☠⍨\‮ﯹ๛\{a87cfbac-69fb-cced-0cf1-15f1239364f8}\GoogleUpdate.exe" ===== UWAGA (Nazwa wartości zawiera nieprawidłowe znaki)
HKU\S-1-5-21-3801483155-2241918483-3742453685-1000\...\Run: [DE6E6534] = C:\Users\HansG\AppData\Roaming\DE6E6534\bin.exe
HKU\S-1-5-21-3801483155-2241918483-3742453685-1000\...\Run: [EE2C0148] = C:\Users\HansG\AppData\Roaming\EE2C0148\bin.exe
HKU\S-1-5-21-3801483155-2241918483-3742453685-1000\...\Run: [BackUp2821214302] = C:\Users\HansG\AppData\Roaming\BackUp2821214302.exe [524288 2009-07-14] ()
HKU\S-1-5-21-3801483155-2241918483-3742453685-1000\...\RunOnce: [FlashPlayerUpdate] = C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_20_0_0_270_ActiveX.exe [1163968 2016-01-10] (Adobe Systems Incorporated)
HKU\S-1-5-18\...\Winlogon: [Shell] C:\Windows\1531346486-1581793421.exe [196098 2015-11-27] () ==== UWAGA
HKLM\...\AppCertDlls: [cmstvr32] - C:\Windows\system32\bthufmon.dll
ShellIconOverlayIdentifiers: [00avast] - {472083B0-C522-11CF-8763-00608CC02F24} =  Brak pliku
SearchScopes: HKU\.DEFAULT - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
BHO: avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll = Brak pliku
BHO-x32: Wander Burst - {d0c77922-11a1-42bf-ae29-ae155c6a7844} - C:\Program Files (x86)\Wander Burst\Extensions\d0c77922-11a1-42bf-ae29-ae155c6a7844.dll = Brak pliku
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\Program Files\AVAST Software\Avast\aswWebRepIE64.dll Brak pliku
Toolbar: HKU\S-1-5-21-3801483155-2241918483-3742453685-1000 - Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
DPF: HKLM-x32 {0F2AAAE3-7E9E-4B64-AB5D-1CA24C6ACB9C} hxxps://portal.cideon.com/,DSID=ac73998be78834f5ee82e891f347ba6c,DanaInfo=webmail-bz.int.cideon.com,SSL,ST=1+/dwa85W.cab
DPF: HKLM-x32 {12545791-AC9A-44B2-8964-0DA216C4A4E5} hxxp://b2b.partcommunity.com/FileService/FileLoader/cnsViewer3D/pwebdownloader.cab
DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
DPF: HKLM-x32 {C3E3BB4F-269C-41A3-9F5F-A360E933CAD3} hxxps://as.photoprintit.com/ips-opdata/activex/ImageUploader6.cab
DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
FF Extension: Brak nazwy - C:\Users\HansG\AppData\Roaming\Mozilla\Firefox\Profiles\ly1jtgi2.default\Extensions\{32574a52-1ec9-4d4b-a243-8e9d81264727}.xpi [2015-08-15] [Brak podpisu cyfrowego]
S2 HPSLPSVC; C:\Users\HansG\AppData\Local\Temp\7zS32F2\hpslpsvc64.dll [X]
S2 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{a87cfbac-69fb-cced-0cf1-15f1239364f8}\   \...\‮ﯹ๛\{a87cfbac-69fb-cced-0cf1-15f1239364f8}\GoogleUpdate.exe" ==== UWAGA (ZeroAccess)
S3 BS2821214302; \??\C:\Users\HansG\AppData\Local\Temp\NTFS.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
2016-01-23 12:03 - 2016-01-23 12:07 - 00000000 ____ D C:\AdwCleaner
C:\Users\HansG\AppData\Roaming\*.exe
RemoveDirectory: C:\Users\HansG\AppData\Local\Google\Desktop
RemoveDirectory: C:\Program Files (x86)\Google\Desktop
C:\Windows\system32\bthufmon.dll
C:\Windows\1531346486-1581793421.exe
DeleteJunctionsIndirectory: C:\Program Files\Windows DefenderTask: {5E55BFB8-29E4-4279-AA6A-C5D1DDDCA757} - System32\Tasks\{DE4F2888-7781-43DD-BF3A-AF229BA5DE41} = pcalua.exe -a F:\PC-Wojtek\F\instalki\kav8.0.0.454pl.exe -d F:\PC-Wojtek\F\instalki
Task: {72AAB267-5E0E-4665-9E3E-21C1B80EE862} - System32\Tasks\{EA3FAF1D-1719-4500-9A3C-E73660DC9B65} = pcalua.exe -a "C:\Program Files (x86)\Nokia\Nokia PC Suite 7\ApplicationInstaller.exe" -d C:\Users\HansG\Desktop -c "C:\Users\HansG\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2WA1XT59\maps_installer_3.04_10wk17_b07_s60_3.2.Nocs.sis"
Task: {BBA82917-B24E-4B2A-A8EE-7F7484435DE5} - System32\Tasks\{ABF48081-FDDE-4971-8C7D-3B38EF552780} = pcalua.exe -a "C:\Users\HansG\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TYFWNKDT\jre-6u30-windows-i586-iftw.exe" -d C:\Users\HansG\Desktop
CMD: del /q /s C:\HELP_YOUR_FILES.*
CMD: del /q /s D:\HELP_YOUR_FILES.*
CMD: del /q /s F:\HELP_YOUR_FILES.*
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

 


(wojtekdz) #5

raport po usuwaniu fixloga : http://www.wklej.org/id/1915816/

i po scan :

http://www.wklej.org/id/1915826/

http://www.wklej.org/id/1915829/

na prawdę nic nie można zrobić z tymi plikami jpg ?

 


(Atis) #6

Możesz spróbować programów do odzyskiwana.


(rgabrysiak) #7

wojtekdz na forum piszemy w języku polskim, czyli korzystamy z polskich znaków diakrytycznych (ą, ć, ę, ł, ń, ó, ś, ź, ż).


(wojtekdz) #8

dzień dobry,

dziękuje za poradę spróbuje jakoś odzyskać te pliki i je zapisać na pamięci zewnętrznej, tylko będę musiał usunąć wirusa z dysku przenośnego, bo zauważyłem że jest także zainfekowany.

tutaj raport po usuwaniu fixloga: http://www.wklej.org/id/1917472/

oraz po skanowaniu FRST z zapiętym dyskiem zewn.:

http://www.wklej.org/id/1917511/

http://www.wklej.org/id/1917512/

http://www.wklej.org/id/1917514/


(Atis) #9

Pobierz i uruchom UsbFix. Download UsbFix Windows Installer: KLIK


(wojtekdz) #10

nie mogę uruchomić, nawet po zapisaniu da dysk


(Atis) #11

To wyłącz Comodo.


(wojtekdz) #12

(Atis) #13

Nie podłączyłeś zainfekowanego dysku?

 


(wojtekdz) #14

musiał być nie widoczny

teraz poszło:

http://www.wklej.org/id/1918286/


(Atis) #15

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

DeleteJunctionsIndirectory: C:\Program Files\Windows Defender
RemoveDirectory: H:\Recycled
RemoveDirectory: H:\RECYCLER
H:\msdownld.tmp
Unlock: C:\Program Files (x86)\Google\Desktop
RemoveDirectory: C:\Program Files (x86)\Google\Desktop\Install
DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.


(wojtekdz) #16

raport z usuwania Fixloga:

http://www.wklej.org/id/1918324/


(Atis) #17

Nic nie można usunąć na tym twoim systemie. Może Comodo blokuje, bo nie widać aktywnej infekcji.

 

 


(wojtekdz) #18

teraz zmielił przy starcie windowsa może juz coś usunął

http://www.wklej.org/id/1918356/


(Atis) #19

Skasuj folder C:\FRST


(wojtekdz) #20

dopiero teraz wykonałem ESET Service Repair ale po uruchomieniu systmu nie wyświetlił się żaden Log

scan online w toku…