Powazny problem, zmienione wszystkie rozszezenia plików

przez **BialyProblemiasz** » 06 Lut 2015, 01:29

witam! mam bardzo powazny problem z laptopem mojej dziewczyny.przez nieuwage i jak to bywa z kobietami pobrala na komputer wirusa z jakiegos spamu i go rozpakowala z .zip wirus pozamienial wszystkie rozszezenia plikow dodajac takie rozszezenie:
.lfmhtjh

w dodatku zaszyfrowal wszystkie pliki txt,jpg,cr2 itp.

pozostaje tylko format czy da sie jakos przyworcic zdjecia itp?
oczywiscie dodam ze wyskakuje komunikat w ktorym to trzeba uiscic oplate za odszyfrowanie plikow.ponadto tapeta zamienila sie na ostrzezenie itp...

przez **mateo8898** » 06 Lut 2015, 10:13

Przede wszystkim trzeba usunąć infekcję, podaj wymagane logi z FRST

otl-gmer-i-inne-poradnik-t13967-15.html#p164179 i Gmer

otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736
Wykonaj je w trybie awaryjnym.

Jeśli chodzi o zaszyfrowane pliki, raczej marne szanse na ich odzyskanie. Niestety.

przez **BialyProblemiasz** » 06 Lut 2015, 14:04

Logi wstawie wieczorem a mam jeszcze pytanie jezeli uiszcze oplate na konto tego zlamasa to odszyfruje mi pliki?moja dziewczyna ma tam 200gb zdjec z 5lat i wszystko jest zaszyfrowane

przez **mateo8898** » 06 Lut 2015, 14:05

Wątpię.

przez **BialyProblemiasz** » 07 Lut 2015, 01:05

FRST:
http://www.wklej.eu/index.php?id=095234630a
http://www.wklej.eu/index.php?id=d1063512dd
http://www.wklej.eu/index.php?id=c10a0adaf5
GMER:
http://www.wklej.eu/index.php?id=68cf5ae1f9

przez **mateo8898** » 07 Lut 2015, 11:56

Odinstaluj MyPC Backup

Następnie wklej do notatnika:

Task: {2778EA23-43C5-47D4-9B0F-E2375C3DD2DC} - System32\Tasks\epkpapn => C:\Users\Justyna\AppData\Local\Temp\azzlepf.exe [2015-02-04] () <==== ATTENTION
Task: {45C558E6-5C8F-485F-B51E-FDF304A6D192} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe [2014-11-25] (MyPC Backup) <==== ATTENTION
ShellIconOverlayIdentifiers: [00avast] {472083B0-C522-11CF-8763-00608CC02F24} => No File
KLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1412126623&from=cor&uid=HitachiXHTS545050B9A300_101116PBN403M7C8JWBEX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1412126623&from=cor&uid=HitachiXHTS545050B9A300_101116PBN403M7C8JWBEX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1412126623&from=cor&uid=HitachiXHTS545050B9A300_101116PBN403M7C8JWBEX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1412126623&from=cor&uid=HitachiXHTS545050B9A300_101116PBN403M7C8JWBEX&q={searchTerms}
HKU\S-1-5-21-3971440189-4188189226-3082623173-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1412126623&from=cor&uid=HitachiXHTS545050B9A300_101116PBN403M7C8JWBEX&q={searchTerms}
HKU\S-1-5-21-3971440189-4188189226-3082623173-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1412126623&from=cor&uid=HitachiXHTS545050B9A300_101116PBN403M7C8JWBEX&q={searchTerms}
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1412126623&from=cor&uid=HitachiXHTS545050B9A300_101116PBN403M7C8JWBEX
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path
U3 kgliraog; \??\C:\Users\Justyna\AppData\Local\Temp\kgliraog.sys [X]
2015-02-04 16:55 - 2015-02-04 16:55 - 03148854 _____ () C:\Users\Justyna\Documents\!Decrypt-All-Files-lfmhtjh.bmp
2015-02-04 16:55 - 2015-02-04 16:55 - 00001266 _____ () C:\Users\Justyna\Documents\!Decrypt-All-Files-lfmhtjh.txt
2015-02-04 15:55 - 2015-02-04 16:55 - 01035672 _____ () C:\ProgramData\qofrgsh.html
2015-02-04 15:47 - 2013-12-29 21:02 - 00000000 ____D () C:\ProgramData\giffmhoghihemcajgfhcocceagggnflf
EmptyTemp:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.

Jeśli chodzi o odszyfrowanie plików, jest to niestety niemożliwe, nadają się tylko do kasacji. Próba przywrócenia wcześniejszych wersji z punktów przywracania odpada, gdyż infekcja wszystkie usunęła. Możesz jedynie próbować jakiegoś programu do odzyskiwania danych, ale to oczywiście dopiero po zakończeniu sprawy logów.

przez **BialyProblemiasz** » 08 Lut 2015, 00:55

przez **mateo8898** » 08 Lut 2015, 13:54

Wklej do notatnika:

C:\ProgramData\IePluginServices
R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [705416 2014-09-24] (Cherished Technololgy LIMITED)

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.

Drugi komputer:
1. Odinstaluj: Radio Canyon, RelevantKnowledge, Search App by Ask, Settings Manager, SoftwareUpdater
2. Użyj AdwCleaner

frst-otl-gmer-i-inne-poradnik-t13967-15.html#p139531 z opcji Usuń i podaj utworzony log.
3. Podaj nowe logi z FRST.
Kolejność jak podałem.

przez **BialyProblemiasz** » 08 Lut 2015, 18:31

log z 1szego komputera:
http://www.wklej.eu/index.php?id=64a5e89b83

oraz drugi:
ADW:
http://wklej.eu/index.php?id=618bda0475
FRST:
http://wklej.eu/index.php?id=6d34d5334f
http://www.wklej.eu/index.php?id=90015bf722
http://www.wklej.eu/index.php?id=ad56ea9a14

przez **mateo8898** » 09 Lut 2015, 15:13

1 komp:
Wklej do notatnika:

DeleteQuarantine:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po zainstalowaniu odznacz okres testowy)

2 komp:
W AdwCleaner

Odinstaluj

Wklej do notatnika:

Task: {E26B5355-98FE-4CA9-9BDE-9E39E6D39AC0} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File <==== ATTENTION
Task: {ABF28430-BC3E-4D44-A793-49E7FD7D377C} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File <==== ATTENTION
Task: {A72AA8EE-3255-461E-9A56-F213661A2A8F} - System32\Tasks\{D6556565-A461-44D9-8895-34C1B0B12BF6} => pcalua.exe -a C:\Users\marcinek\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor
C:\Users\marcinek\AppData\Roaming\sweet-page
HKU\S-1-5-21-1026863621-3163709612-1001100603-1000\...\Run: [ALLUpdate] => C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe [2765256 2014-11-03] (ALLPlayer Group Ltd.)
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
EmptyTemp:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.

przez **BialyProblemiasz** » 12 Lut 2015, 01:10

czesc narazie czekam na logi z 2giego komputera poniewaz to laptop brata...1 juz zrobilem jak napisales mam jeszcze pytanko jaki program do odzyskiwania danych polecisz??

EDIT:
logi z drugiego laptopa:
http://www.wklej.eu/index.php?id=eb63c1c1b4

http://wklej.eu/index.php?id=95fa02a22f
http://www.wklej.eu/index.php?id=5b09c0c5c8
http://www.wklej.eu/index.php?id=5a63be4526

przez **mateo8898** » 12 Lut 2015, 16:16

http://www.instalki.pl/programy/downloa ... ecuva.html

Wklej do notatnika:

CHR Extension: (Faster Light) - C:\Users\marcinek\AppData\Local\Google\Chrome\User Data\Default\Extensions\alfoljaapgobblfpenmdcfdjeiaoodce [2014-12-29]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path
2015-02-08 15:25 - 2015-02-08 15:31 - 00000000 ____D () C:\AdwCleaner
DeleteQuarantine:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

Zainstaluj

http://www.instalki.pl/programy/downloa ... hecky.html

Powazny problem, zmienione wszystkie rozszezenia plików

Powazny problem, zmienione wszystkie rozszezenia plików

Re: bardzo powazny problem

Re: bardzo powazny problem

Re: bardzo powazny problem

Re: bardzo powazny problem

Re: bardzo powazny problem

Re: Powazny problem, zmienione wszystkie rozszezenia plików

Re: Powazny problem, zmienione wszystkie rozszezenia plików

Re: Powazny problem, zmienione wszystkie rozszezenia plików

Re: Powazny problem, zmienione wszystkie rozszezenia plików

Re: Powazny problem, zmienione wszystkie rozszezenia plików

Re: Powazny problem, zmienione wszystkie rozszezenia plików

Kto jest na forum