Zamulony komputer i zaszyfrowanie plików CryptoLocker


(Plik) #1

Witam, mam problem z zamulonym komputerem oraz z wirusem szyfrującym dane - CryptoLocker. Wirusa udało mi się usunąć, mianowicie pliki które zostały zaszyfrowane niestety nadal są zaszyfrowane, jak je odszyfrować?? Próbowałem działać tym decryptolockerem działać, ale coś mi nie idzie...

 

Poniżej wklejam log z frst:

 

Addition:

http://wklej.org/id/1752046/

 

Pozdrawiam.


(Atis) #2

Na jakiej podstawie twierdzisz, że masz wirusa CryptoLocker?

 

Z plików widocznych w logu wynika, że jest to CryptoWall, a w takim przypadku nie ma możliwości odszyfrowania plików:

http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information

W logach widać tylko zainfekowaną przeglądarkę Chrome.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Extension: No Name - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0033-ABCDEFFEDCBA} [2015-06-04]
FF Extension: No Name - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA} [2015-06-04]
FF Extension: No Name - C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} [2015-06-04]
S1 ClntMgmt.sys; \SystemRoot\System32\Drivers\ClntMgmt.sys [X]
S3 GTIPCI21; system32\DRIVERS\gtipci21.sys [X]
U5 ScsiPort; C:\WINDOWS\system32\drivers\scsiport.sys [96384 2008-04-13] (Microsoft Corporation)
S3 tifm21; system32\drivers\tifm21.sys [X]
2015-07-05 21:27 - 2015-07-05 21:29 - 00000000 ____ D C:\AdwCleaner
2011-06-23 15:49 - 2011-06-23 15:49 - 0000000 ____ C () C:\Documents and Settings\Sadowski\Ustawienia lokalne\Dane aplikacji\{5CC5803C-7E8D-465F-9263-043CE6CDE290}
2015-05-10 11:38 - 2015-05-10 11:38 - 0007721 _____ () C:\Documents and Settings\All Users\DECRYPT_INSTRUCTIONS.html
2015-05-10 11:38 - 2015-05-10 11:38 - 0003203 _____ () C:\Documents and Settings\All Users\DECRYPT_INSTRUCTIONS.txt
CustomCLSID: HKU\S-1-5-21-3785831936-3158673975-2715231975-1008_Classes\CLSID\{1365A45F-0C8F-4806-A26A-6B22AD37EC66}\localserver32 -> C:\Program Files\AutoCAD 2005\acad.exe /Automation No File
CustomCLSID: HKU\S-1-5-21-3785831936-3158673975-2715231975-1008_Classes\CLSID\{8E75D913-3D21-11D2-85C4-080009A0C626}\localserver32 -> C:\Program Files\AutoCAD 2005\acad.exe No File
CustomCLSID: HKU\S-1-5-21-3785831936-3158673975-2715231975-1008_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\AutoCAD 2005\acadficn.dll No File
CustomCLSID: HKU\S-1-5-21-3785831936-3158673975-2715231975-1008_Classes\CLSID\{FC280999-88C6-4499-9622-3B795A8B4A5F}\localserver32 -> C:\Program Files\AutoCAD 2005\acad.exe /Automation No File
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Odinstaluj Chrome zaznaczając usunięcie danych przeglądania za pomocą Geek Uninstaller Free: KLIK

Najpierw możesz wyeksportować zakładki: KLIK

Później zainstaluj stabilną wersję: KLIK

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(Plik) #3

Log: http://wklej.org/id/1752091/

Niestety przeglądarki Chrom nie widać z poziomu systemu oraz z poziomu tego programu. Usunąłem jedynie folder z Document and Settings.


(Atis) #4

Ja tam nie widzę żadnego CryptoLockera:

http://www.dobreprogramy.pl/Dzieki-DecryptCryptoLocker-odzyskamy-pliki-zaszyfrowane-przez-popularnego-szkodnika,News,56988.html

http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

C:\Documents and Settings\Sadowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST