Podmienione i uszkodzone pliki

[dddarek]

Witam

Mam problem z kompem, Win32:Downloader-VQV, został wrzucony na kompa, początkowo pousuwał ścieżki do poczty, ale to sie udao naprawić, potem komputer został przeskanowany esetem online. Ale zostały podmienione nazwy wszystkich często używanych plików, czyli doc, odt, zip, jpg, pdf, do każdej nazwy zostało dodane rozszerzenie i plik wygląda w tej chwili w taki sposób nazwa.DOC.qwmlkij, po usunięciu tego dodatkowego rozszerzenia niestety nie udaje się otworzyć oryginalnego pliku, program pokazuje jako plik uszkodzony i nie daje sie ich otworzyć, próbowałem jpg przepuścić przez file rapair, ale pokazuje ze plik nie jest uszkodzony, a dalej nie udaje się go otworzyć, czy ktoś ma jakiś pomysł ? Proszę o pomoc

[mateo8898]

Przede wszystkim podaj wymagane logi z FRST otl-gmer-i-inne-poradnik-t13967-15.html#p164179 i Gmer otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736

[dddarek]

Wkleiłem tutaj:

http://www.wklej.eu/index.php?id=c9e451ac19

okazuje sieże to moze być coś innego jak podany wcześniej WIn32:Dow....


Sprawa mogła mieć miejsce 20 stycznia rano, lub późniejsze dni jesli to cos innego

[mateo8898]

A co z logiem z Gmer?

Masz 2 antywirusy: MSE i Avast. Zostaw tylko jeden.

Odinstaluj McAfee Security Scan Plus

Następnie wklej do notatnika:

HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
Lsa: [Notification Packages] scecli scecli
BHO: Java(tm) Plug-In 2 SSV Helper {DBC80044-A445-435b-BC74-9C25C1C588A9} C:\Program Files\Java\j2re1.4.2_03\bin\jp2ssv.dll No File
S4 IntelIde; No ImagePath
2015-01-20 06:50 - 2015-01-22 06:26 - 00000258 ____H () C:\WINDOWS\Tasks\orilnun.job
Task: C:\WINDOWS\Tasks\orilnun.job => C:\DOCUME~1\LUBOJE~1\LOCALS~1\Temp\ncizvrj.exe
C:\DOCUME~1\LUBOJE~1\LOCALS~1\Temp\ncizvrj.exe
EmptyTemp:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.

[mateo8898]

Tutaj jest FRST nowy, po naprawie:

http://www.wklej.eu/index.php?id=3249ec7b84


Gmer jeszcze skanuje

---

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2015-01-22 13:54:57
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD400BB-55HEA0 rev.13.03G13 37,27GB
Running: gmer.exe; Driver: C:\DOCUME~1\LUBOJE~1\LOCALS~1\Temp\uwacykoc.sys


---- Registry - GMER 2.1 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher@TracesProcessed 16
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher@TracesSuccessful 13

---- EOF - GMER 2.1 ----

[mateo8898]

Log z usuwania też miałeś podać, ale mniejsza o to. Za to ma być komplet nowych logów z FRST, a nie tylko jeden. Uzupełnij.

[mateo8898]

Sorry, Ok jutro rano uzupełnię te z usuwania

---

Witam

Tutaj pełny zastaw ze skanowania po naprawie

http://www.wklej.eu/index.php?id=d385808cd9


prosze o pomoc

---

tutaj jeszcze log ze skanowania esetem online po infekcji:

http://www.wklej.eu/index.php?id=4ff6645a43

[mateo8898]

Wszelkie logi wklejamy na http://www.wklej.eu/

Wklej do notatnika:

ShellIconOverlayIdentifiers: [00avast] {472083B0-C522-11CF-8763-00608CC02F24} => No File
BHO: Java(tm) Plug-In SSV Helper {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Program Files\Java\j2re1.4.2_03\bin\ssv.dll No File
FF Plugin: @java.com/DTPlugin,version=10.51.2 C:\Program Files\Java\jre7\bin\dtplugin\npDeployJava1.dll No File
S3 SwPrv; C:\WINDOWS\System32\dllhost.exe /Processid:{50F505C6-5549-48B8-AE60-1E1B51FAA9C8}
U3 uwacykoc; \??\C:\DOCUME~1\LUBOJE~1\LOCALS~1\Temp\uwacykoc.sys [X]

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.

[dddarek]

Ok w poniedziałek, to zrobię, bo nie mam teraz dostępu do tego kompa

[dddarek]

Witam ponownie

Oto dane po naprawie i potem dane ze skanowania:

http://www.wklej.eu/index.php?id=e2f8554916

[mateo8898]

Kroki końcowe.

Wklej do notatnika:

DeleteQuarantine:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

Zainstaluj http://www.instalki.pl/programy/downloa ... hecky.html

[dddarek]

Witam

Zrobiłem wszystko niestety pliki, te zmienione dalej są takie same czyli wyglądają tak:

Wynajem Moto _HOL.ODT.qwmlkij

(pdf, zip, jpg, doc, odt)

i nie dają się otworzyć, nawet po zmianie rozszerzenia. Jpg pisze ze nie ma podglądu, a Open office, chce importowac , nie rozpoznoje strony kodowej i robi krzaczki.

[mateo8898]

Pliki zostały zaszyfrowane przez wirusa i najprawdopodobniej są nie do naprawy.

[dddarek]

Dziękuję bardo za pomoc