Prawie cały komputer zaszyfrowany plikami .crypted.

Post16 sie 2013, 16:54

Teraz usuń wszystko z kwarantanny...

Post16 sie 2013, 18:52

Okay, wybacz, że o tym zapomniałem

Wszystko zostało usunięte.

Post16 sie 2013, 19:43

oskaru1234 pisze:Okay, wybacz, że o tym zapomniałem Wszystko zostało usunięte.

Bardzo dobrze.

Komentarz.

W imieniu innych użytkowników dziękuję za opis - komuś może się przydać.

"Usbfix" = UsbFix By El Desaparecido
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster

Odinstaluj.

[2013-08-08 22:34:54 | 000,008,448 | ---- | M] () -- C:\Users\1\AppData\Local\Resmon.ResmonCfg.crypted
[2013-08-08 22:34:54 | 000,004,224 | ---- | M] () -- C:\Users\1\AppData\Local\recently-used.xbel.crypted
[2013-08-08 22:34:54 | 000,003,968 | ---- | M] () -- C:\Users\1\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini.crypted

Jeszcze te 3 pliki do deszyfrowania.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Reg Error: Value error.
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3374562511-2249349261-2254905696-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3374562511-2249349261-2254905696-1000\..\SearchScopes,DefaultScope = ${searchCLSID}
IE - HKU\S-1-5-21-3374562511-2249349261-2254905696-1000\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdfkbdkkfmmckaadapdipihjfaacnkgd\3_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\fanogbnclpilemkifpjeglokomebpnef\1.43_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmolgbmkhjnoekekdogckilbbedhdnoh\1.0.194_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji\1.3.0_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\joepfemoahndhaicaeaimohjnehakggf\10.16.4.512_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdfkbdkkfmmckaadapdipihjfaacnkgd\3_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\fanogbnclpilemkifpjeglokomebpnef\1.43_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmolgbmkhjnoekekdogckilbbedhdnoh\1.0.194_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji\1.3.0_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\joepfemoahndhaicaeaimohjnehakggf\10.16.4.512_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdfkbdkkfmmckaadapdipihjfaacnkgd\3_0
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\fanogbnclpilemkifpjeglokomebpnef\1.43_0
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmolgbmkhjnoekekdogckilbbedhdnoh\1.0.194_0
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji\1.3.0_0
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\joepfemoahndhaicaeaimohjnehakggf\10.16.4.512_0
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdfkbdkkfmmckaadapdipihjfaacnkgd\3_0
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\fanogbnclpilemkifpjeglokomebpnef\1.43_0
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmolgbmkhjnoekekdogckilbbedhdnoh\1.0.194_0
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji\1.3.0_0
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\joepfemoahndhaicaeaimohjnehakggf\10.16.4.512_0
O4 - HKLM..\RunOnce: [] File not found
[2013-08-16 10:52:06 | 000,000,000 | ---D | C] -- C:\UsbFix
[2013-08-16 10:51:59 | 001,257,293 | ---- | C] (El Desaparecido) -- C:\Users\1\Desktop\UsbFix.exe
[2013-08-15 20:38:54 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013-08-15 11:58:31 | 008,099,738 | ---- | C] (Hulubulu Software ) -- C:\Users\1\Desktop\advanced_renamer_setup.exe
[2013-08-14 12:52:22 | 004,286,744 | ---- | C] (Microsoft Corporation) -- C:\Users\1\Desktop\vcredist_x64.exe
[2013-08-14 12:41:40 | 000,000,000 | ---D | C] -- C:\Users\1\AppData\Local\PMB Files
[2013-08-14 12:41:39 | 000,000,000 | ---D | C] -- C:\ProgramData\PMB Files
[2013-08-14 12:41:36 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Pando Networks
[2013-08-14 12:02:03 | 034,249,488 | ---- | C] (Riot Games) -- C:\Users\1\Desktop\LeagueofLegends_EUNE_Installer_06_17_13.exe
[2013-08-16 10:59:45 | 000,959,680 | ---- | M] () -- C:\UsbFix_Upload_Me_1-KOMPUTER.zip
[2013-08-10 21:07:05 | 000,007,808 | ---- | M] () -- C:\AdwCleaner[R1].tx
[2013-08-10 21:07:05 | 000,007,424 | ---- | M] () -- C:\AdwCleaner[S2].tx

:Files
$RECYCLE.BIN /alldrives
C:\AdwCleaner*.*
C:\RannohDecryptor*.*
C:\*.txt
C:\XoristDecryptor*.*
D:\a0d2c23bf218ac5bac
D:\Config.Msi
D:\CROFSFASDASDASD
D:\*.txt
D:\*.tmp
D:\SketchUp.exe
D:\temp

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

Post16 sie 2013, 20:17

W imieniu innych użytkowników dziękuję za opis - komuś może się przydać.

Nie ma sprawy

. Jeśli choć trochę dzięki temu komuś pomogę to będę szczęśliwy

Odinstalowałem niepotrzebne programy i deszyfrowałem te 3 dodatkowe pliki.

Logi:

Z usuwania OTL: Dostępne tylko dla zarejestrowanych użytkowników
Z Autoruns: Dostępne tylko dla zarejestrowanych użytkowników

Post16 sie 2013, 20:58

Autoruns.

W Dostępne tylko dla zarejestrowanych użytkowników (jeśli czegoś nie znajdziesz, bądź nie będzie chciało pójść to spróbuj w trybie normalnym, jeśli nadal nie będzie chciało pójść to tylko odznacz), w Autoruns usuń następujące wpisy (co nie będzie dało się usunąć to po prostu odznacz):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

MBAMScheduler
MBAMService
PnkBstrA
WinDefend

HKLM\System\CurrentControlSet\Services

catchme

HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32

VIDC.FPS1

HKLM\Software\Classes\Filter

Wszystko.

HKLM\Software\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance

Wszystko.

HKLM\Software\Wow6432Node\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance

Sony Wave Hammer Surround

Następnie podajesz nowe logi z OTL.

Post16 sie 2013, 21:47

Okay! Usunąłem wszystko w trybie awaryjnym.. no poza zakładką Task Scheduler, którą usunąłem w trybie normalnym, bowiem nie widziałem jej w trybie awaryjnym.

Logi:

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Post16 sie 2013, 21:56

oskaru1234 pisze:Okay! Usunąłem wszystko w trybie awaryjnym.. no poza zakładką Task Scheduler, którą usunąłem w trybie normalnym, bowiem nie widziałem jej w trybie awaryjnym.

Logi:

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników

Użyj jeszcze Dostępne tylko dla zarejestrowanych użytkowników. Następnie usuń pobrany deinstalator.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-3374562511-2249349261-2254905696-1000\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
[2013-08-16 20:10:40 | 000,000,000 | ---D | C] -- C:\Users\1\Desktop\Autoruns
[2013-08-16 20:03:39 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013-08-16 20:13:48 | 000,033,932 | ---- | M] () -- C:\Users\1\Desktop\AutoRuns.rar
[2013-08-16 20:12:26 | 002,377,362 | ---- | M] () -- C:\Users\1\Desktop\AutoRuns.arn

:Files
$RECYCLE.BIN /alldrives

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL naciśnij przycisk Sprzątanie.

"{26A24AE4-039D-4CA4-87B4-2F86417006FF}" = Java 7 Update 6 (64-bit)
"{1111706F-666A-4037-7777-211328764D10}" = JavaFX 2.1.1
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9

Odinstaluj i zainstaluj Dostępne tylko dla zarejestrowanych użytkowników wersję.

"{AAF80000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 8.0 Professional Edition
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish

Odinstaluj i zainstaluj Dostępne tylko dla zarejestrowanych użytkowników wersję.

"Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl)

W Firefox -> Pomoc -> O Programie -> Aktualizuj.

Kroki Finalizujące.

Wykonaj pełne skanowanie Dostępne tylko dla zarejestrowanych użytkowników (nie gódź się na wersję testową), jeśli coś znajdzie usuń i daj raport.
Przeczyść dysk i rejestr Dostępne tylko dla zarejestrowanych użytkowników.

Post16 sie 2013, 22:07

Okay, użyłem programu i go odinstalowałem. OTL "wysprzątał" mi komputer

Logi z Malwarebytes dam jutro, bo to by skanowało 2h, a ja jestem dzisiaj troszkę zmęczony. Dobranoc

Logi:

Z usuwania OTL: Dostępne tylko dla zarejestrowanych użytkowników

Post16 sie 2013, 22:11

oskaru1234 pisze:Okay, użyłem programu i go odinstalowałem. (teraz robię OTL)

Dobrze. Czekamy

.

Post17 sie 2013, 16:27

Okay! Skanowanie Malwarebytes wyszło tak: Dostępne tylko dla zarejestrowanych użytkowników, więc raczej dobrze

Przeczyściłem dysk i rejestr CCleanerem aczkolwiek w przypadku tego ostatniego postanowiłem zrobić sobie kopię zapasową, na wszelki wypadek

. No ale komputer dalej działa więc zaraz ją usunę.

Post17 sie 2013, 16:28

Okay! Skanowanie Malwarebytes wyszło tak: Dostępne tylko dla zarejestrowanych użytkowników, więc raczej dobrze Przeczyściłem dysk i rejestr CCleanerem aczkolwiek w przypadku tego ostatniego postanowiłem zrobić sobie kopię zapasową, na wszelki wypadek . No ale komputer dalej działa więc zaraz ją usunę.

W porządku

.

Post17 sie 2013, 16:50

I co teraz

? Oto co mam gdy otwieram losowy plik w moich dokumentach (które były zainfekowane) , np. plik konfiguracyjny gry Skyrim: Dostępne tylko dla zarejestrowanych użytkowników.

Post17 sie 2013, 17:19

I co teraz ?

No to mamy poważny problem, gdyż ten wirus używa losowych kluczy szyfrujących gromadzonych na serwerze i nie ma szans na stworzenie narzędzia deszyfrującego. Jedyne co możesz zrobić w kwestii odzyskania tych plików to wypróbowanie narzędzi do odzyskiwania skasowanych danych takich jak PhotoRec. Być może wyszuka poprzednią postać plików... Dostępne tylko dla zarejestrowanych użytkowników masz podobne instrukcje dla innej infekcji (Gpcode), której plików też nie można odszyfrować i Kaspersky podaje jak szukać oryginalnych wersji skasowanych przez trojana(do wykonania treść aż do instrukcji z StopGpcode = to się tu nie aplikuje).

Post17 sie 2013, 17:46

Ohh.. no cóż. No trudno, w takim razie dam sobie spokój. Dziękuje Ci z całego serca, za wyczyszczenie mojego komputera ze zbędnych śmieci oraz pomoc w tej sprawie

Pozdrawiam.

Post17 sie 2013, 23:28

oskaru1234 pisze:Ohh.. no cóż. No trudno, w takim razie dam sobie spokój. Dziękuje Ci z całego serca, za wyczyszczenie mojego komputera ze zbędnych śmieci oraz pomoc w tej sprawie Pozdrawiam.

Warto spróbować.