Zaszyfrowane pliki CryptoWall - prosze o pomoc

kuba1184 · 23 Październik 2015 19:22

Witam , proszę o pomoc dziś zainfekowało mi kompa i nie mogę odczytać plików. Oto logi:

FRST - http://wklej.org/id/1824072/

Addition - http://wklej.org/id/1824073/

Shortcut - http://wklej.org/id/1824075/

Za pomoc bede wdzięczny

Atis · 23 Październik 2015 20:31

Nie ma możliwości odszyfrowania plików:

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKU\S-1-5-21-1438902647-244689729-2373667917-1000\...\Run: [EEDSpeedLauncher] = rundll32.exe C:\Windows\system32\eed_ec.dll,SpeedLauncher
HKU\S-1-5-21-1438902647-244689729-2373667917-1000\...\Run: [168b499] = C:\Windows\syswow64\regsvr32.exe C:\168b4991\168b4991.dll
HKU\S-1-5-21-1438902647-244689729-2373667917-1000\...\Run: [168b4991] = C:\Windows\syswow64\regsvr32.exe C:\Users\Aga-Kuba\AppData\Roaming\168b4991.dll ===== UWAGA
HKU\S-1-5-18\...\Run: [EEDSpeedLauncher] = rundll32.exe C:\Windows\system32\eed_ec.dll,SpeedLauncher
Startup: C:\Users\Aga-Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\168b4991.exe [2015-10-23] ()
HKLM-x32\...\Run: [ProductUpdater] = C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe [74752 2015-09-01] ()
CHR StartupUrls: Default - "hxxp://www.google.com/","hxxp://www.google.com","","hxxp://aartemis.com/?type=hpts=1388762796from=coruid=HitachiXHTS541616J9SA00_SB344CHRJ3SL0DJ3SL0DX","hxxp://websearch.amaizingsearches.info/?pid=2517r=2014/04/10hid=14669224326965363260lg=ENcc=PLunqvl=51"
2015-10-23 11:22 - 2015-10-23 11:22 - 00000000 ___HD C:\168b4991
C:\Users\Aga-Kuba\AppData\Roaming\*.dll
C:\Users\Aga-Kuba\AppData\Roaming\*.exe
CMD: del /q /s C:\HELP_DECRYPT.*
CMD: del /q /s D:\HELP_DECRYPT.*
CMD: del /q /s E:\HELP_DECRYPT.*
CMD: del /q /s H:\HELP_DECRYPT.*
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

kuba1184 · 23 Październik 2015 21:24

FRST - http://wklej.org/id/1824162/

Fixlog - http://wklej.org/id/1824165/

Atis · 23 Październik 2015 21:49

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

S3 Origin Client Service; "D:\Origin\OriginClientService.exe" [X]
R4 ps6ah4nb; system32\drivers\ps6ah4nb.sys [X]
DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST